Менеджер событий безопасности - Security event manager
Управление событиями безопасности (SEM), и связанные SIM и SIEM, представляют собой дисциплины компьютерной безопасности, которые используют инструменты проверки данных для централизованного хранения и интерпретации журналов или событий, созданных другим программным обеспечением, работающим в сети.[1][2][3]
Обзор
Акронимы SEM, SIM и SIEM иногда использовались как синонимы,[4] но обычно относятся к разным основным направлениям продуктов:
- Управление журналом: Сосредоточьтесь на простом сборе и хранении сообщения журнала и контрольные журналы[5]
- Управление информацией о безопасности (SIM ): Долгосрочное хранение, а также анализ и создание отчетов по данным журнала.
- Менеджер событий безопасности (SEM): мониторинг в реальном времени, корреляция событий, уведомлений и представлений консоли.
- Информация о безопасности и управление событиями (SIEM ): Объединяет SIM и SEM и обеспечивает анализ в реальном времени предупреждений безопасности, генерируемых сетевым оборудованием и приложениями.[6][7]
На практике многие продукты в этой области будут иметь сочетание этих функций, поэтому часто будет некоторое совпадение - и многие коммерческие поставщики также продвигают свою собственную терминологию.[нужна цитата ]
Журналы событий
Многие системы и приложения, работающие в компьютерной сети, генерируют события, которые хранятся в журналах событий. По сути, эти журналы представляют собой списки произошедших действий, причем записи о новых событиях добавляются в конец журналов по мере их возникновения. Протоколы, Такие как системный журнал и SNMP, может использоваться для передачи этих событий по мере их возникновения в программное обеспечение для ведения журналов, которое не находится на том же хосте, на котором генерируются события. Лучшие SEM предоставляют гибкий набор поддерживаемых протоколов связи, позволяющих собирать самый широкий диапазон событий.
Отправлять все события в централизованную систему SEM выгодно по следующим причинам:
- Доступ ко всем журналам можно обеспечить через единый центральный интерфейс.
- SEM может обеспечить безопасное и надежное хранение и архивирование журналов событий (это также классическая функция управления журналами).
- На SEM можно запустить мощные инструменты отчетности для поиска полезной информации в журналах.
- События могут быть проанализированы по мере их попадания в SEM на предмет значимости, а предупреждения и уведомления могут быть немедленно отправлены заинтересованным сторонам, если это необходимо.
- Связанные события, которые происходят в нескольких системах, могут быть обнаружены, что было бы очень трудно обнаружить, если бы каждая система имела отдельный журнал.
- События, которые отправляются из системы в SEM, остаются в SEM, даже если отправляющая система выходит из строя или журналы в ней случайно или намеренно стерты.
Анализ безопасности
Хотя централизованное ведение журнала существует уже давно, SEM - это относительно новая идея, впервые реализованная в 1999 году небольшой компанией E-Security.[8] и по-прежнему быстро развиваются. Ключевой особенностью инструмента управления событиями безопасности является возможность анализировать собранные журналы, чтобы выделить интересующие события или поведение, например, администратора или Вход суперпользователя, в нерабочее время. Это может включать прикрепление контекстной информации, такой как информация о хосте (значение, владелец, местоположение и т. Д.), Идентификационная информация (информация о пользователе, связанная с учетными записями, на которые ссылается событие, например, имя / фамилия, идентификатор рабочей силы, имя менеджера и т. и так далее. Эта контекстная информация может быть использована для обеспечения лучшей корреляции и возможностей отчетности и часто называется метаданными. Продукты могут также интегрироваться с внешними инструментами исправления, продажи билетов и рабочих процессов, чтобы помочь в процессе разрешения инцидентов. Более совершенные SEM предоставят гибкий, расширяемый набор возможностей интеграции, чтобы гарантировать, что SEM будет работать с большинством клиентских сред.
Нормативные требования
Эта секция нуждается в расширении. Вы можете помочь добавляя к этому. (Май 2018) |
SEM часто продаются, чтобы удовлетворить нормативные требования США, такие как Сарбейнс-Оксли, PCI-DSS, GLBA.[нужна цитата ]
Стандартизация
Одна из основных проблем в области SEM - сложность последовательного анализа данных о событиях. Каждый поставщик, а во многих случаях и разные продукты от одного поставщика, использует свой собственный формат данных о событиях и метод доставки. Даже в тех случаях, когда для какой-то части цепочки используется «стандарт», например Системный журнал, стандарты обычно не содержат достаточных руководств, чтобы помочь разработчикам в том, как создавать события, администраторам в том, как их правильно и надежно собирать, а потребителям - в их эффективном анализе.
В попытке решить эту проблему предпринимаются параллельные усилия по стандартизации. Первый, Открытая группа обновляет свои около 1997 года XDAS стандарт, который никогда не выходил за рамки статуса проекта. Это новое усилие, получившее название XDAS v2, будет пытаться формализовать формат события, включая то, какие данные должны быть включены в события и как они должны быть выражены.[нужна цитата ] Стандарт XDAS v2 не будет включать стандарты доставки событий, но другие стандарты, разрабатываемые Целевая группа по распределенному управлению может предоставить обертку.
Кроме того, МИТРА разработал усилия по унификации отчетов о событиях с Общее выражение событий (CEE), который был несколько шире по своему охвату, поскольку в нем предпринималась попытка определить структуру событий, а также методы доставки. Однако в 2014 году проекту не хватило финансирования.
Смотрите также
- Управление инцидентами компьютерной безопасности
- Управление информацией о безопасности
- Сравнение систем сетевого мониторинга
- Информация о безопасности и управление событиями
Рекомендации
- ^ «Архивная копия». Архивировано из оригинал в 2014-10-19. Получено 2013-07-17.CS1 maint: заархивированная копия как заголовок (связь) SIEM
- ^ Подготовка к управлению событиями безопасности
- ^ Практическое применение SIM / SEM / SIEM для автоматизации идентификации угроз
- ^ Свифт, Дэвид (26 декабря 2006 г.). «Практическое применение SIM / SEM / SIEM, автоматизация идентификации угроз» (PDF). Институт SANS. п. 3. Получено 14 мая 2014.
... акроним SIEM будет использоваться для обозначения ...
- ^ http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf
- ^ "SIEM: обзор рынка". Журнал доктора Добба. 5 февраля 2007 г.
- ^ Будущее SIEM - рынок начнет расходиться
- ^ «Novell покупает электронную безопасность», 2006, ZDNet