Управление событиями безопасности

Управление событиями безопасности ( SEM ) и соответствующие SIM и SIEM — это дисциплины компьютерной безопасности, которые используют инструменты проверки данных для централизации хранения и интерпретации журналов или событий, генерируемых другим программным обеспечением, работающим в сети. ^[1]^[2]^[3]

Обзор [ править ]

Аббревиатуры SEM , SIM и SIEM иногда используются как синонимы. ^[3]^{: 3}^[4] но обычно относятся к различным основным направлениям продуктов:

Управление журналами : сосредоточьтесь на простом сборе и хранении сообщений журнала и журналов аудита. ^[5]
Управление информацией безопасности ( SIM ): долгосрочное хранение, а также анализ и отчетность данных журнала.
Менеджер событий безопасности (SEM): мониторинг в реальном времени, корреляция событий, уведомления и представления консоли.
Управление информацией о безопасности и событиями ( SIEM ): объединяет SIM и SEM и обеспечивает анализ предупреждений безопасности, генерируемых сетевым оборудованием и приложениями, в режиме реального времени. ^[6]^[7]

Журналы событий [ править ]

Многие системы и приложения, работающие в компьютерной сети, генерируют события, которые сохраняются в журналах событий. Эти журналы по сути представляют собой списки произошедших действий, причем записи о новых событиях добавляются в конец журналов по мере их возникновения. Протоколы , такие как системный журнал и SNMP , могут использоваться для передачи этих событий по мере их возникновения для регистрации программного обеспечения, которое не находится на том же хосте, на котором генерируются события. Лучшие SEM предоставляют гибкий набор поддерживаемых протоколов связи, позволяющий собирать самый широкий спектр событий.

Отправлять все события в централизованную систему SEM выгодно по следующим причинам:

Доступ ко всем журналам может быть предоставлен через единый центральный интерфейс.
SEM может обеспечить безопасное, криминалистическое хранение и архивирование журналов событий (это также классическая функция управления журналами).
На SEM можно запустить мощные инструменты отчетности для поиска в журналах полезной информации.
События можно анализировать по мере их поступления в SEM на предмет значимости, а оповещения и уведомления могут быть немедленно отправлены заинтересованным сторонам, если это необходимо.
Могут быть обнаружены связанные события, которые происходят в нескольких системах, что было бы очень сложно обнаружить, если бы каждая система имела отдельный журнал.
События, которые отправляются из системы в SEM, остаются на SEM, даже если отправляющая система выходит из строя или журналы в ней случайно или намеренно удаляются.

Анализ безопасности [ править ]

Хотя централизованное ведение журналов существует уже давно, SEM — это относительно новая идея, впервые предложенная в 1999 году небольшой компанией E-Security. ^[8] и до сих пор быстро развиваются. Ключевой особенностью инструмента управления событиями безопасности является возможность анализировать собранные журналы, чтобы выделить интересующие события или поведение, например вход в систему администратора или суперпользователя в нерабочее время. Это может включать в себя прикрепление контекстной информации, такой как информация об хосте (значение, владелец, местоположение и т. д.), идентификационная информация (информация пользователя, связанная с учетными записями, на которые ссылается событие, например имя/фамилия, идентификатор рабочей силы, имя менеджера и т. д.), и так далее. Эту контекстную информацию можно использовать для обеспечения лучшей корреляции и возможностей отчетности, и ее часто называют метаданными. Продукты также могут интегрироваться с внешними инструментами исправления, обработки заявок и рабочих процессов, чтобы помочь в процессе разрешения инцидентов. Лучшие SEM будут предоставлять гибкий, расширяемый набор возможностей интеграции, гарантирующий, что SEM будет работать с большинством клиентских сред.

требования Нормативные

SEM часто продаются для удовлетворения нормативных требований США, таких как требования Сарбейнса-Оксли , PCI-DSS , GLBA . ^{[ нужна ссылка ]}

Стандартизация [ править ]

Одной из основных проблем в сфере SEM является сложность последовательного анализа данных о событиях. Каждый поставщик, а во многих случаях и разные продукты одного поставщика, используют свой собственный формат данных о событиях и метод доставки. Даже в тех случаях, когда для какой-то части цепочки используется «стандарт», например системный журнал , стандарты обычно не содержат достаточных указаний, которые могли бы помочь разработчикам в том, как генерировать события, администраторам — в том, как правильно и надежно их собирать, а потребителям — в том, как их собирать. эффективно их анализировать.

В попытке решить эту проблему предпринимаются несколько параллельных усилий по стандартизации. Во-первых, The Open Group обновляет свой стандарт XDAS , выпущенный примерно в 1997 году , который так и не вышел за рамки статуса черновика. Эта новая разработка, получившая название XDAS v2, попытается формализовать формат событий, в том числе указать, какие данные следует включать в события и как их следует выражать. ^{[ нужна ссылка ]} Стандарт XDAS v2 не будет включать стандарты доставки событий, но другие стандарты, разрабатываемые Рабочей группой по распределенному управлению, могут предоставить оболочку.

Кроме того, MITRE предприняла усилия по унификации отчетов о событиях с Common Event Expression (CEE), который был несколько шире по объему, поскольку пытался определить структуру событий, а также методы доставки. Однако в 2014 году у проекта закончилось финансирование.

См. также [ править ]

Ссылки [ править ]

^ «Управление событиями безопасности» . Архивировано из оригинала 19 октября 2014 г. Проверено 17 июля 2013 г. СИЕМ
^ «Подготовка к управлению событиями безопасности» (PDF) . 360 Information Security Ltd. Архивировано из оригинала (PDF) 22 июня 2023 г.
^ Jump up to: ^а ^б Свифт, Дэвид (26 декабря 2006 г.). «Практическое применение SIM/SEM/SIEM для автоматизации идентификации угроз» (PDF) . Институт САНС . Проверено 14 июня 2024 г.
^ Келли, Диана (март 2004 г.). «Отчет: Конвергенция управления безопасностью через SIM (управление информацией о безопасности) — взгляд на требования» . Журнал сетевого и системного управления . 12 (1): 137–144. дои : 10.1023/B:JONS.0000015702.05980.d2 . ISSN 1064-7570 . S2CID 1204926 .
^ http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf . ^{[ пустой URL PDF ]}
^ «SIEM: обзор рынка» . Журнал доктора Добба. 5 февраля 2007 г.
^ Будущее SIEM - Рынок начнет расходиться
^ «Novell покупает электронную безопасность» , 2006, ZDNet

Внешние ссылки [ править ]

[1] «Управление событиями безопасности» . Архивировано из оригинала 19 октября 2014 г. Проверено 17 июля 2013 г. СИЕМ

[2] «Подготовка к управлению событиями безопасности» (PDF) . 360 Information Security Ltd. Архивировано из оригинала (PDF) 22 июня 2023 г.

[practical-3] Jump up to: ^а ^б Свифт, Дэвид (26 декабря 2006 г.). «Практическое применение SIM/SEM/SIEM для автоматизации идентификации угроз» (PDF) . Институт САНС . Проверено 14 июня 2024 г.

[4] Келли, Диана (март 2004 г.). «Отчет: Конвергенция управления безопасностью через SIM (управление информацией о безопасности) — взгляд на требования» . Журнал сетевого и системного управления . 12 (1): 137–144. дои : 10.1023/B:JONS.0000015702.05980.d2 . ISSN 1064-7570 . S2CID 1204926 .

[5] ttp://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf . ^{[ пустой URL PDF ]}

[drdobbs2007-6] «SIEM: обзор рынка» . Журнал доктора Добба. 5 февраля 2007 г.

[7] Будущее SIEM - Рынок начнет расходиться

[8] «Novell покупает электронную безопасность» , 2006, ZDNet

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]