Мониторинг текущего состояния безопасности — это программные решения, предназначенные для централизованного сбора и анализа данных о событиях безопасности со всего ИТ-ландшафта компании (серверы, сетевое оборудование, приложения, СУБД, антивирусы).
Решение разрабатывает с помощью инструментов MS ArcSight и MaxPatrol SIEM:
- MS ArcSight. Система отличается высокой степенью масштабируемости и способна обрабатывать огромные объемы событий — до сотен тысяч событий в секунду (EPS) в крупных развертываниях
- MaxPatrol SIEM. Отличается глубокой интеграцией с другими продуктами Positive Technologies и имеет большую базу готовых правил корреляции, адаптированных под специфику российского рынка
Возможности продукта
Централизованный сбор логов (Log Collection)
- Агрегация данных из тысяч разнородных источников с использованием различных протоколов (Syslog, SNMP, NetFlow, JDBC, API и др.)
Нормализация и парсинг
- Преобразование сырых, разноформатных логов в единый, структурированный формат для упрощения анализа
Корреляция событий (Event Correlation)
- Применение набора правил для анализа последовательности событий и выявления аномалий или атак. Например, серия неудачных попыток входа с разных IP-адресов может коррелироваться в единый инцидент «Brute Force Attack»
Визуализация и дашборды
- Предоставление наглядных графических интерфейсов, дашбордов и отчетов для оперативного контроля состояния безопасности
Управление инцидентами (Incident Management)
- Автоматизация процесса реагирования на выявленные инциденты, назначение ответственных, отслеживание статуса устранения угрозы
Ретроспективный анализ
- Возможность хранения больших объемов исторических данных для проведения расследований (форензики) уже после совершения атаки
Решаемые проблемы
Отсутствие полной картины происходящего
Решение:
SIEM устраняет «слепые зоны», объединяя информацию со всех систем в едином центре мониторинга
SIEM устраняет «слепые зоны», объединяя информацию со всех систем в едином центре мониторинга
Невозможность оперативного реагирования
Решение:
Автоматическая корреляция позволяет сократить время от момента возникновения инцидента до момента его обнаружения и начала реагирования (MTTD - Mean Time To Detect, MTTR - Mean Time To Respond)
Автоматическая корреляция позволяет сократить время от момента возникновения инцидента до момента его обнаружения и начала реагирования (MTTD - Mean Time To Detect, MTTR - Mean Time To Respond)
Сложность выполнения регуляторных требований
Решение:
Системы генерируют автоматические аудиторские отчеты, необходимые для прохождения проверок ФСТЭК, ЦБ РФ, PCI DSS и других стандартов
Системы генерируют автоматические аудиторские отчеты, необходимые для прохождения проверок ФСТЭК, ЦБ РФ, PCI DSS и других стандартов
Выявление сложных атак (APT)
Решение:
Ручной анализ миллионов строк логов невозможен. SIEM-системы с помощью правил корреляции помогают выявлять скрытые, продолжительные атаки, которые используют легитимные учетные записи или обходят стандартные средства защиты (антивирусы, файрволы)
Ручной анализ миллионов строк логов невозможен. SIEM-системы с помощью правил корреляции помогают выявлять скрытые, продолжительные атаки, которые используют легитимные учетные записи или обходят стандартные средства защиты (антивирусы, файрволы)
Разгрузка аналитиков ИБ
Решение:
Системы фильтруют «шум» из огромного количества событий, предоставляя аналитикам уже готовые, приоритизированные инциденты для расследования
Системы фильтруют «шум» из огромного количества событий, предоставляя аналитикам уже готовые, приоритизированные инциденты для расследования