SIEM системы: выбор правильных продуктов и их корреляция


SIEM — это сложные технологии, которые требуют обширной интеграции с средствами управления безопасностью предприятия и многочисленными хостами в организации. Чтобы оценить, какой инструмент лучше всего подходит для вашей организации, может быть полезно определить основные критерии оценки SIEM.

Не существует ни одного продукта SIEM, который является лучшей системой для всех организаций; В каждой среде своя комбинация характеристик IT и потребностей в безопасности.

Установление надежных критериев оценки SIEM и их применение к бизнес-процессах организации подразумевает правильный выбор продуктов SIEM. Подробнее читайте в этой статье.

Продукты и сервисы по защите информации и управлению событиями собирают, анализируют и предоставляют отчеты по журналам безопасности от большого количества средств управления безопасностью предприятия, операционных систем хоста, корпоративных приложений и другого программного обеспечения, используемого организацией. Некоторые SIEM также пытаются остановить обнаруживаемые атаки, потенциально предотвращая взлом или уменьшая ущерб, который могут нанести успешные взломы защиты.

Сегодня доступно много систем SIEM, в том числе легкие продукты, разработанные для организаций, которые не могут себе позволить или не чувствуют, что им необходим полнофункциональный SIEM, добавленный к их текущим операциям безопасности.

Поскольку легкие продукты SIEM предлагают мало возможностей и их гораздо легче оценить, они выходят за рамки данной статьи. Вместо этого эта функция указывает на возможности обычных SIEM и может служить руководством для создания критериев оценки SIEM, которые заслуживают особенно пристального внимания по сравнению с другими технологиями безопасности.


Определить, какие продукты и оценить их, может быть довольно сложно, не говоря уже о том, чтобы выбрать тот, который лучше всего подходит для конкретной организации или команды. Часть процесса оценки включает в себя создание списка критериев оценки SIEM, которые потенциальные покупатели могут использовать для выделения важных возможностей.

Какую встроенную поддержку предоставляет SIEM для соответствующих источников журналов?

Значение SIEM уменьшается, если он не может получать и понимать данные журнала из всех источников создания журнала в организации. Наиболее очевидным является контроль безопасности предприятия, такой как брандмауэры, виртуальные частные сети, системы предотвращения вторжений, шлюзы электронной почты и веб-безопасности, а также продукты для защиты от вредоносных программ.


Разумно ожидать, что SIEM будет по-настоящему понимать файлы журналов, созданные любым крупным продуктом или облачной службой в этих категориях. Если инструмент не работает, он не должен играть никакой роли в ваших операциях безопасности.

Кроме того, система SIEM должна обеспечивать встроенную поддержку файлов журналов из операционных систем организации. Исключением являются операционные системы мобильных устройств, которые часто не предоставляют никаких возможностей ведения журнала безопасности.

SIEM также должны изначально поддерживать основные платформы базы данных организации, а также любые корпоративные приложения, которые позволяют пользователям взаимодействовать с конфиденциальными данными. Собственная поддержка SIEM для другого программного обеспечения, как правило, желательна, но не обязательна.


Если система SIEM изначально не поддерживает ведение журналов, то организация может либо разработать собственный код для обеспечения необходимой поддержки, либо использовать SIEM без данных источника журналов.

Может ли SIEM система дополнить существующие возможности в регистрации?

Конкретные приложения и программное обеспечение организации могут не иметь надежных возможностей ведения журнала. Некоторые системы и службы SIEM могут дополнять их, выполняя собственный мониторинг в дополнение к своей обычной работе по управлению журналами.

По сути, это расширяет возможности SIEM от того, чтобы быть строго централизованным средством сбора, анализа и отчетности, до генерации необработанных данных журнала от имени других хостов.

Насколько эффективно система SIEM может использовать информацию об угрозах?

Большинство SIEM способны принимать информацию об угрозах . Эти каналы, которые часто получают из отдельных подписок, содержат актуальную информацию об угрозах, наблюдаемых во всем мире, в том числе о том, какие хосты используются для организации или запуска атак и каковы характеристики этих атак.

Наибольшее значение в использовании этих каналов дает возможность SIEM точнее идентифицировать атаки и принимать более обоснованные решения, часто автоматически, о том, какие атаки необходимо остановить и какой лучший способ остановить их.

Конечно, качество информации об угрозах различается у разных поставщиков. Факторы, которые необходимо учитывать при оценке информации об угрозах, должны включать частоту обновления информации об угрозах и то, как поставщик информации об угрозах указывает на свою уверенность в вредоносном характере каждой угрозы.

Какие функции предоставляют продукты SIEM для проведения анализа данных?

Продукты SIEM, которые используются для обнаружения и обработки инцидентов, должны предоставлять функции, которые помогают пользователям просматривать и анализировать данные журнала для себя, а также собственные предупреждения SIEM и другие выводы. Одна из причин этого заключается в том, что даже высокоточный SIEM будет иногда неправильно интерпретировать события и генерировать ложные срабатывания, поэтому у людей должен быть способ проверить результаты SIEM.

Другая причина этого заключается в том, что пользователям занимающимся аналитикой безопасности, необходимы полезные интерфейсы для облегчения их расследований. Примеры таких интерфейсов включают в себя сложные возможности поиска и возможности визуализации данных.

Насколько своевременны, безопасны и эффективны возможности автоматического реагирования SIEM?

Еще один критерий оценки SIEM — возможности автоматического ответа продукта. Это часто зависит от конкретной организации, поскольку она сильно зависит от сетевой архитектуры организации, средств управления сетевой безопасностью и других аспектов управления безопасностью.

Например, конкретный продукт SIEM может не иметь возможности направлять брандмауэр организации или другие элементы управления безопасностью сети для прекращения злонамеренного соединения.

Помимо обеспечения того, чтобы продукт SIEM мог сообщать о своих потребностях другим основным средствам безопасности организации, важно также учитывать следующие характеристики:

  • Сколько времени требуется SIEM для обнаружения атаки и направления соответствующих мер безопасности, чтобы остановить ее?
  • Как защищена связь между SIEM и другими средствами управления безопасностью, чтобы предотвратить подслушивание и изменение?
  • Насколько эффективен продукт SIEM для предотвращения атак до того, как произойдет повреждение?

Какие инициативы по обеспечению безопасности поддерживает SIEM с помощью встроенной отчетности?

Большинство SIEM предлагают настраиваемые возможности отчетности. Многие из этих продуктов также предлагают встроенную поддержку для создания отчетов, которые соответствуют требованиям различных инициатив по обеспечению безопасности. Каждая организация должна определить, какие инициативы применимы, а затем убедиться, что продукт SIEM поддерживает как можно больше таких инициатив.

Для любых инициатив, которые SIEM не поддерживает, убедитесь, что продукт SIEM поддерживает надлежащие настраиваемые параметры отчетности, соответствующие вашим требованиям.


Понравилась статья? Поделиться с друзьями: