BeaVisS Oct 11 2012 at 10:58

Работа с инцидентами информационной безопасности

5 min

57K

Comments 11

shanker Oct 11 2012 at 12:24

Обычно проблема возникает при анализе логов от кучи разных средств (маршрутизаторы, веб-серверы, ПО контроля целостности ФС и т.д.), которые пишут эти логи в самых разных форматах

BeaVisS Oct 11 2012 at 12:34

Есть программы-аггрегаторы, они собирают информацию из логов, либо со своих агентов в системе и выдают единый отчёт.

siniysv Oct 11 2012 at 12:47

Вот как раз для этого и нужны «аггрегаторы», упомянутые в статье. Обычно их называют SIEM, системы собирают логи, приводят их в читаемый вид, обеспечивают поиск и т.д. + к всему этому корреляция — сопоставление событий и действий пользователей для выявления потенциально опасных процессов и нарушений. Есть у многих производителей, McAfee ESM, HP ArcSight, Symantec (забыл как), IBM Qradar, Splunk.

bondbig Oct 15 2012 at 09:27

Symantec SIM.
На самом деле, использовать SIEM как логсервер это отвратительно. Для этого есть другие решения, например Logger у того же HP Arcsight. Основная задача SIEM это макрокорреляция.

siniysv Oct 15 2012 at 11:13

Я считаю, что лог-менеджмент — это часть SIEM. Может быть такой модуль, может не быть, а может использоваться отдельно. Что отвратительного?

BeaVisS Oct 15 2012 at 11:17

Поддержу!
Аггрегация логов — это неотъемлемая часть функционала SIEM. Конечно использовать такой комбайн ради ограниченного функционала не комильфо, но и не отвратительно.

bondbig Oct 15 2012 at 11:20

Лог-менеджмент — это не просто часть SIEM, это его фундамент. Я уточню, использовать SIEM только как логсервер — это отвратительная, бессмысленная трата денег и потенциала системы. Что печально, именно как логсервер и используют SIEM очень многие заказчики. Потратили 500К (а то и пару миллионов) на интеллектуальную, мощную систему, а могли за 80К купить Логгер с тем же успехом. А вся проблема в кадрах. Просто некому по-нормальному заниматься этими системами, мало кадров профессиональных, по крайней мере в России.

Akr0n Apr 15 2013 at 04:03

Есть ли смысл заносить успешно отраженные сетевые атаки на узлах сети в журнал инцидентов?

siniysv Apr 15 2013 at 09:28

Смотря откуда: из интернета, думаю, не стоит, а вот если внутри сети, то стоит. Это как пример.

Akr0n Apr 15 2013 at 16:23

А если атаки из корпоративной сети, но из других регионов, не нашей подчиненности? И если их сотни на разные узлы? Бюрократия поглотит все рабочее время…

siniysv Apr 15 2013 at 16:45

Вот-вот, это зависит от конфигурации каждой отдельной сети. Однозначного ответа нет.