Что такое система SIEM?

Мы предлагаем разработку и оптимизацию системы SIEM на базе Elastic Stack.

SIEM (Security Information and Event Management) — объединение двух терминов, обозначающих область применения ПО: SIM (Security Information Management) — управление информационной безопасностью и SEM (Security Event Management) — управление событиями безопасности.

SIEM-системы не предназначены и не способны предотвратить инциденты нарушения информационной безопасности.

Технология SIEM обеспечивает сбор и анализ в реальном времени событий безопасности, исходящих от сетевых устройств и приложений, с последующим хранением в базах данных, формированием отчетов и анализом поведения на основе предыдущих наблюдений.  SIEM представлено в качестве программного обеспечения и/или аппаратных средств.

Наиболее известны такие продукты как — Security QRadar SIEM от IBM, ArcSight от HP, NitroSecurity от McAfee.

Об Elastic Stack

Elastic Stack представлен тремя самостоятельными Open Source продуктами, объединенными в одно мощное решение для широкого спектра задач по хранению и  обработке данных.

Комплекс состоит из Elasticsearch, Logstash и Kibana. Logstash собирает и обрабатывает данные зарегистрированных событий. За хранение и поиск данных отвечает Elasticsearch. Kibana визуализирует данные, индексированные Logstash, через web-интерфейс.

По сравнению с традиционными SIEM решение на базе  Elastic Stack, несмотря на необходимость адаптации некоторого функционала к задачам ИБ,  имеет ряд существенных преимуществ. Рассмотрим некоторые из них.

Централизованное управление журналами регистрации событий

Cбор, агрегирование и нормализация связанных журналов регистрации безопасности из различных источников таких, как межсетевые экраны, DLP, IDS/IPS, антивирусное ПО и т.д. Повышение информативности событий дополнительными данными такими, как геолокация  и информация о внешних угрозах, включая фальсификацию IP-адресов и имен доменов.

Полный функционал традиционных SIEM часто не реализуется в полной мере из-за лицензионных ограничений на ПО и/или использование патентованных аппаратных средств. В свою очередь, Elastic Stack в качестве OpenSource продукта, подобных проблем (ограничений) не испытывает и дает пользователю большую свободу действий.

Elastic Stack позволяет протоколировать любые  относящиеся к безопасности данные. Это дает возможность произвести более полный анализ безопасности.

Традиционные SIEM, как правило, используют собственные встроенные или реляционные базы данных, что накладывает ограничения по производительности, объему обрабатываемых  данных и гибкости их выборки.

Поиск

Просмотр ранее зарегистрированных событий с целью выявления потенциальных угроз для юридической экспертизы и анализа первопричин состоявшихся инцидентов.

Благодаря мощи Elasticsearch, включая полнотекстовый поиск, решению на базе Elastic Stack доступны запросы всех данных, относящихся к безопасности.

Гибкость и производительность поиска традиционных SIEM ограничены технологиями хранения данных, целями и логикой разработчиков этих продуктов. Большинство из них могут только индексировать данные журналов регистрации.

Базовый анализ безопасности

Обнаружение угроз или фактов совершения атак на основе одного или более наборов данных с использованием правил корреляции. Помимо поиска устанавливаются правила мониторинга для типичных «негативных» событий и действий. Результаты объединяются с возможностями расширенного анализа.

Традиционные SIEM часто содержат большое количество заранее  сконфигурированных «корреляционных правил» или  «информационных панелей».

В случае SIEM на базе Elastic Stack поставщик решения индивидуально конфигурирует правила и панели с учетом специфики задач и вычислительной инфраструктуры конкретного заказчика.

Расширенный анализ безопасности

Включает в себя обнаружение отклонений (потенциальных ошибок) при помощи машинного обучения таких, как:

  • редко встречающиеся события
  • совокупность нетипичных событий, отличающаяся от ранее зарегистрированной модели поведения
  • события, в которых одна из составляющих не соответствует прочим составляющим

Так-же производится анализ зависимостей среди обнаруженных отклонений, расширенный анализ и графическое представление обнаруженных отклонений, моделирование вероятных событий.

Здесь большинство SIEM имеют явное отставание от Elastic Stack, хотя и постоянно работают в этом направлении. Хотя, в качестве преимущества, как правило, имеют инструменты оценки угроз и рисков.

Elastic Stack имеет возможности расширенного поиска и графического анализа. Наряду с этим обладает возможностями анализа процессов, основанного на машинном обучении, обнаружение в них отклонений от норм по определенным критериям, выявление связей между отклонениями.

Предложение Инситу

Имея большой опыт в разработке решений на базе Elastic Stack, и максимально используя преимущества этого программного продукта, мы готовы на его базе предложить Вам решение в качестве системы SIEM.

Модульная структура решения дает преимущества по оптимизации производительности и себестоимости решения. Дополнительно возможности Elastic Stack могут и должны использоваться для анализа и оптимизации вычислительной инфраструктуры в вопросах, не имеющих прямого отношения к информационной безопасности.