Информация о безопасности и управление событиями - Security information and event management

Информация о безопасности и управление событиями (SIEM) является подразделом в области компьютерная безопасность, где сочетаются программные продукты и услуги управление информацией о безопасности (SIM) и управление событиями безопасности (SEM). Они обеспечивают анализ в реальном времени предупреждений безопасности, генерируемых приложениями и сетевым оборудованием.

Продавцы продают SIEM как программное обеспечение, как устройства или как управляемые услуги; эти продукты также используются для регистрации данных безопасности и создания отчетов для согласие целей.^[1]

Термин и инициализм SIEM были придуманы Марком Николеттом и Амрит Уильямс из Gartner в 2005 году.^[2]

Обзор

Акронимы SEM, SIM и SIEM иногда использовались как синонимы,^[3] но обычно относятся к разным основным направлениям продуктов:

Управление журналом: Сосредоточьтесь на простом сборе и хранении сообщения журнала и контрольные журналы^[4]
Управление информацией о безопасности (SIM ): Долгосрочное хранение, а также анализ и создание отчетов по данным журнала.^[5]
Менеджер событий безопасности (SEM ): Мониторинг в реальном времени, корреляция событий, уведомлений и представлений консоли.
Информация о безопасности и управление событиями (SIEM): объединяет SIM и SEM и обеспечивает анализ в реальном времени предупреждений безопасности, генерируемых сетевым оборудованием и приложениями.^[1]^[6]
Управляемая служба безопасности: (MSS ) или же Поставщик услуг управляемой безопасности: (MSSP): Наиболее распространенные управляемые сервисы, по-видимому, развиваются вокруг подключения и пропускной способности, мониторинга сети, безопасности и виртуализация и аварийное восстановление.
Безопасность как услуга (SECaaS ): Эти службы безопасности часто включают аутентификация, антивирус, антивирус / шпионское ПО, обнаружения вторжений, Среди прочего, тестирование на проникновение и управление событиями безопасности.

На практике многие продукты в этой области будут иметь сочетание этих функций, поэтому часто будет некоторое совпадение - и многие коммерческие поставщики также продвигают свою собственную терминологию.^[7] Часто коммерческие поставщики предоставляют различные комбинации этих функций, которые позволяют улучшить SIEM в целом. Само по себе управление журналами не дает информации о сетевой безопасности в режиме реального времени, SEM сама по себе не предоставляет полные данные для глубокого анализа угроз. Когда SEM и управление журналами совмещены, SIEM получает больше информации для мониторинга.

Основное внимание уделяется мониторингу и помощи в управлении привилегиями пользователей и служб, справочные службы и другие^{[требуется разъяснение ]} изменения конфигурации системы; а также обеспечение аудита и анализа журналов и реагирование на инциденты.^[5]

Возможности / компоненты

Агрегация данных: Управление журналом собирает данные из многих источников, включая сеть, безопасность, серверы, базы данных, приложения, обеспечивая возможность консолидировать отслеживаемые данные, чтобы избежать пропуска важных событий.
Корреляция: Ищет общие атрибуты и связывает события вместе в значимые пакеты. Эта технология дает возможность применять различные методы корреляции для интеграции различных источников, чтобы превратить данные в полезную информацию. Корреляция обычно является функцией части управления событиями безопасности полного решения SIEM.^[8]
Предупреждение: Автоматический анализ коррелированных событий
Панели мониторинга: Инструменты могут брать данные о событиях и превращать их в информационные диаграммы, чтобы помочь увидеть закономерности или определить активность, которая не формирует стандартный образец.
Согласие: Приложения могут использоваться для автоматизации сбора данных о соответствии, создания отчетов, которые адаптируются к существующим процессам безопасности, управления и аудита.^[9]
Удержание: Использование долгосрочного хранения исторических данных для облегчения корреляции данных во времени и обеспечения хранения, необходимого для соответствия требованиям. Долгосрочный журнал хранение данных имеет решающее значение для судебно-медицинских расследований, поскольку маловероятно, что обнаружение нарушения сети будет происходить во время нарушения.^[10]
Судебно-медицинский анализ: Возможность поиска по журналам на разных узлах и в разные периоды времени на основе определенных критериев. Это избавляет от необходимости собирать информацию журнала в голове или искать в тысячах и тысячах журналов.^[9]

Сценарии использования

Исследователь компьютерной безопасности Крис Кубецка определили следующие варианты использования SIEM, представленные на хакерской конференции 28C3 (Конгресс Хаоса Коммуникации ).^[11]

Видимость SIEM и обнаружение аномалий могут помочь обнаружить нулевые дни или же полиморфный код. В первую очередь из-за низких показателей антивирус обнаружение этого типа быстро меняющегося вредоносного ПО.
Анализ, нормализация журналов и категоризация могут выполняться автоматически, независимо от типа компьютера или сетевого устройства, если они могут отправлять журнал.
Визуализация с помощью SIEM с использованием событий безопасности и сбоев журнала может помочь в обнаружении шаблонов.
Аномалии протокола, которые могут указывать на неправильную конфигурацию или проблему безопасности, могут быть идентифицированы с помощью SIEM с использованием обнаружения шаблонов, предупреждений, базовых показателей и информационных панелей.
SIEMS может обнаруживать скрытые, злонамеренные коммуникации и зашифрованные каналы.
Кибервойна могут быть точно обнаружены SIEM, обнаруживая как злоумышленников, так и жертв.

Примеры правил корреляции.

Системы SIEM могут иметь сотни и тысячи правил корреляции. Некоторые из них простые, а некоторые более сложные. После срабатывания правила корреляции система может предпринять соответствующие шаги для защиты от кибератаки. Обычно это включает отправку уведомления пользователю, а затем, возможно, ограничение или даже выключение системы. В соответствии с UTMStack, это одни из самых важных.

Обнаружение грубой силы

Обнаружение грубой силы относительно просто. Брутфорс относится к постоянным попыткам угадать переменную. Чаще всего это относится к тому, кто пытается постоянно угадывать ваш пароль - вручную или с помощью инструмента. Однако это может относиться к попытке угадать URL-адреса или расположение важных файлов в вашей системе.

Автоматический брутфорс легко обнаружить, поскольку попытка ввести пароль 60 раз в минуту невозможна.

Невозможное путешествие

Когда пользователь входит в систему, как правило, создается временная метка события. Помимо времени, система часто может записывать другую полезную информацию, такую как используемое устройство, адрес GPS, IP-адрес, неправильные попытки входа в систему и т. Д. Чем больше данных собирается, тем больше возможностей можно использовать. Для невозможного путешествия система проверяет текущую и последнюю дату / время входа в систему и разницу между записанными расстояниями. Если он сочтет, что это невозможно, например, преодолев сотни миль за минуту, он выдаст предупреждение.

К сожалению, многие сотрудники и пользователи сейчас пользуются услугами VPN, поэтому это следует учитывать при настройке такого правила.

Чрезмерное копирование файлов

Если вы думаете о своей повседневной деятельности, вы, скорее всего, не копируете и не перемещаете много файлов в своей системе. Поэтому любое чрезмерное копирование файлов в системе может быть связано с желанием причинить вред вашей компании. К сожалению, это не так просто, как заявить, что кто-то получил доступ к вашей сети незаконно и хочет украсть конфиденциальную информацию. Это также может быть сотрудник, который хочет продать информацию о компании, или он может просто захотеть забрать домой какие-то файлы на выходные.

DDoS-атака

Атака DDoS (распределенный отказ в обслуживании) вызовет проблемы практически для любой компании. DDoS-атака может не только отключить ваши веб-ресурсы, но и ослабить вашу систему. При наличии подходящих правил корреляции ваш SIEM должен активировать предупреждение в самом начале атаки, чтобы вы могли принять необходимые меры предосторожности для защиты своих систем.

Изменение целостности файла

Мониторинг целостности и изменений файлов (FIM) - это процесс мониторинга файлов в вашей системе. Неожиданные изменения в ваших системных файлах вызовут предупреждение, поскольку это вероятный признак кибератаки.

Модели

Помимо правил корреляции, SIEM также может иметь модели. Модели несколько отличаются от правил корреляции, но при правильной реализации могут быть столь же полезными. Вместо использования взаимно-однозначной корреляции модель требует выполнения ряда шагов, чтобы вызвать предупреждение. Обычно это означает, что правило применяется впервые, после чего следует аномальное поведение. Это может быть так же просто, как пользователь входит в систему из другого места, чем обычно, а затем выполняет передачу большого файла.

Это может быть чрезвычайно полезно, поскольку единичное событие не обязательно означает компрометацию серверов или сети организации, это может быть просто член команды, работающий в кафе для смены обстановки.

Обработка ложных срабатываний

К сожалению, ложные срабатывания возникают во всех сферах жизни, и это верно для SIEM. Все инструменты и системы имеют возможность давать ложноположительный результат. Например, слишком много неудачных попыток входа в систему может означать, что сотрудник просто забыл свой пароль, а не кто-то пытается взломать систему. Важно, чтобы для любых инициированных событий предпринятые шаги были оправданными и принимали соответствующие меры, поскольку вы не хотите, чтобы сотрудники были заблокированы на несколько часов в таких сценариях. ^[12]

Примеры предупреждений

Некоторые примеры настраиваемых правил для оповещения об условиях события включают правила аутентификации пользователей, обнаруженные атаки и обнаруженные инфекции.^[13]

Правило	Цель	Спусковой крючок	Источники событий
Источник повторной атаки-входа	Раннее предупреждение об атаках методом грубой силы, подборе паролей и неправильно настроенных приложениях.	Оповещение о 3 или более неудачных попытках входа в систему за 1 минуту с одного хоста.	Active Directory, Syslog (хосты Unix, коммутаторы, маршрутизаторы, VPN), RADIUS, TACACS, отслеживаемые приложения.
Повторная атака-брандмауэр	Раннее предупреждение о сканировании, распространении червей и т. Д.	Оповещение о 15 или более событиях сброса / отклонения / отказа брандмауэра с одного IP-адреса за одну минуту.	Межсетевые экраны, маршрутизаторы и коммутаторы.
Система предотвращения повторных атак в сети	Раннее предупреждение о сканировании, распространении червей и т. Д.	Оповещение о 7 или более оповещениях IDS с одного IP-адреса за одну минуту	Устройства обнаружения и предотвращения сетевых вторжений
Система предотвращения вторжений на хост с повторной атакой	Найдите хосты, которые могут быть заражены или скомпрометированы (демонстрирует инфекционное поведение)	Оповещение о 3 или более событиях с одного IP-адреса за 10 минут	Оповещения системы предотвращения вторжений на хост
Обнаружение / удаление вирусов	Оповещать при обнаружении вируса, шпионского ПО или другого вредоносного ПО на хосте	Оповещать, когда один хост видит идентифицируемую вредоносную программу	Антивирус, HIPS, детекторы сетевых / системных поведенческих аномалий
Обнаружен вирус или шпионское ПО, но удалить его не удалось	Оповещать, когда с момента обнаружения вредоносного ПО в источнике прошло> 1 часа, а соответствующий вирус не был успешно удален	Оповещать, когда один хост не может автоматически очистить вредоносное ПО в течение 1 часа после обнаружения	Брандмауэр, NIPS, Антивирус, HIPS, События неудачного входа в систему