How to become an author
My feedAll streams
Search
Write a publication
Pull to refresh

Внедрение SIEM – что нужно знать про него?

Information Security*
Invite pending

Многие уже слышали про системы класса SIM и про системы класса SEM, а что же тогда такое SIEM?


SIEM это Security Information and Event Management

Изначально, Security Information Management (SIM) и Security Event Management (SEM) были двумя различными технологиями, используемыми вместе.

В далеком 2005 году Gartner ввел понятие SIEM, чтобы охватить обе технологии.

Как и предполагает название, это не что иное, как набор инструментов и технологий, чтобы управлять инцидентами и событиями, связанными с безопасности, в одном месте. Некоторыми из основных возможностей типичной SIEM платформы являются:
  • Сбор событий с различных источников/устройств
  • Возможность хранения событий необходимое количество времени
  • Обеспечение быстрого поиска и возможность восстановления хронологии
  • Обеспечение полноты интерпретации собранных событий
  • Обеспечение возможности соотнесения между собой событий от разных типов источников
  • Базовая система работы с тикетами/ возможность оповещений

Первые 4 пункта типичны для SIM, в то время как следующие 2 пункта относятся к SEM. Любой продукт, обеспечивающий все эти пункты, может называть себя SIEM решением. Сейчас уже больше 50 продуктов различных вендоров относятся к классу SIEM. Как и среди продуктов в других классах, SIEM решения очень разнятся в сегментах рынка и ценовых диапазонах.

Если погуглить отзывы по различным системам то можно получить огромное количество отзывов о каждом продукте, зачастую противоположных друг другу, что лишний раз подчеркивает необходимость понимания задач, которые ставятся перед SIEM, и уровнем квалификации тех сотрудников, которым предстоит с ним работать.

Моя основная работа связана с 3-мя такими решениями, каждый из которых имеет свои плюсы и минусы. Сравнивать демо-версии продуктов и сравнивать их после долгого использования это 2 большие разницы. Далее я попытаюсь определить основные вещи, которые вы должны знать и понимать, когда вы планируете внедрение SIEM у себя в компании.

  1. В компании уже должен быть определен процесс логирования. Это критически важный момент для любой SIEM системы, поскольку SIEM только получает события от других систем и не выступает как источник этих событий и не логирует никакие действия. Хорошо отлаженный механизм логирования не только упрощает последующее внедрение SIEM, но так же помогает заранее оценить все плюсы и минусы каждой SIEM системы применительно именно к вашей компании и оценить ее стоимость.
  2. У каждого SIEM вендора есть компоненты, которые называются Collector/Connector/Receiver/Agent, тем не менее это лишь разные названия одного и того же – системы сбора логов от различных источников и приведения их к единому формату данных, который будет понятен системе. Эта конвертация называется нормализацией логов и обеспечивается парсингом входящих событий исходя их правил, которые применяются к событиям конкретного вендора и конкретного продукта. Большинство производителей SIEM решений предлагают свои средства для упрощения возможности написания собственных, кастомных парсеров под «неподдерживаемые» источники. Написание своих парсеров требует денег, времени и определенных скиллов, поэтому не нужно думать, что на этом возможно будет сэкономить. Отсюда вытекает очень важный вывод – поддежка необходимого источника «из коробки» всегда лучше написания такого парсера самостоятельно. Да, можно доработать парсер от производителя под себя, но писать его с нуля, скажем, под все события Windows платформ, это занятие не тривиальное. Учитывайте это прежде чем начинать внедрение конкретного решения.
  3. Определите основные направления внедрения с организационной точки зрения. Это позволит вам настроить SIEM соответствующим образом. Эти приоритетные области должны быть классифицированы, а затем и расширены на уровени ниже. Например, если ваша основная цель это выстраивание защиты исходя из принятой в компании модели угроз, посмотрите, какими системами эта модель угроз покрывается, подключите к SIEM именно эти источники и смежные с ними, обеспечьте автоматизацию процессов поиска нарушений именно тех правил, которые описывают защиту от ваших угроз и затем расширяйте покрытие сбора логов и углубляйте аналитику на их основе.
  4. Поддержка, обслуживание и тюнинг SIEM решения требует выделенного специалиста. Это очень важно, чтобы SIEM не превращался в предмет, который кто-то один раз настроил и все, дальнейшая работа с ним это только несколько дашбордов на экране руководителя. Без постоянных доработок правил корреляции, описывающих новые угрозу, подключения новых источников, тюнинга агрегации и т.д. продукт будет постепенно приходить к виду обычного хранилища логов (а они стоят значительно дешевле).
  5. Необходимо понять, что SIEM не решит разом все ваши проблемы с безопасностью. Это не волшебная палочка. Если установка и настройка сделаны правильно, SIEM сможет направить вас в нужном направлении, в направлении, в котором вы сможете выявлять и устранять проблемы безопасности в компании, тем самым постепенно поднимая общий уровень безопасности. Система поможет найти инцидент и расследовать его, но сама она это не сделает за вас, как и не примет соответствующие меры.
  6. Корреляция является жизненно важной частью SIEM решения. До внедрения SIEM решения постарайтесь классифицировать и описать основные возможные векторы атак, которые применимы к компании. Это позволит на этапе внедрения сильно сократить время, необходимое для того, чтобы SIEM давал наиболее подходящие для вас. Можно это сделать и на этапе внедрения, изучая встроенные правила SIEM, исследовать их взаимосвязи и выстраивать свои модели сначала на бумаге, а потом и конструируя свои корреляционные правила.
  7. Не забудьте про фильтрацию событий. Корреляционный движок сделает свою работу быстрее и лучше, если вы более точно будете ему указывать, «что такое плохо». К тому же, если у вас будет несколько правил, которые будут что-то делать на основе каждого из 5000 событий, приходящих в 1 секунду, то скорость работы систему будет пропорционально снижаться… Производители SIEM решений оперируют понятием Events Per Second (EPS) для определения входящей нагрузки, но этот же параметр показывает, какое количество событий в секунду используется на тех правилах, которые есть в системе изначально, или которые создаете вы сами.
  8. Помните, чем лучше описание слоев обработки, тем меньше EPS. Это хорошо объясняется на перевернутой пирамиде, когда есть поток в тысячи событий в секунду, а в итоге это сводится к единичным событиям (OS: Windows --> Type: Authentication --> Result: Failed -->Network Segment: Production Servers), требующим обработки отдельно или в связке с другими событиями.
  9. И последнее, но не менее важное, «Будьте внимательны и осторожны. Логи не врут»


Надеюсь, этот пост поможет вам в получении четкого представления идеи и технологиях SIEM. Я работаю с HP ArcSight, IBM QRadar и McAfee SIEM, больше всего нравится ArcSight. Если у вас есть идейные вопросы про SIEM или конкретно про ArcSight – прошу в комментариях их высказывать. В дальнейшем планирую развивать тему SIEM в части идей для правил корреляций и векторов атак, сравнения функциональных фишек продуктов и т.д.

Спасибо за внимание!
Tags:
Hubs:
You can’t comment this publication because its author is not yet a full member of the community. You will be able to contact the author only after he or she has been invited by someone in the community. Until then, author’s username will be hidden by an alias.

Your account

Sections

Information

Services

Support
© 2006–2025, Habr