Jump to content

Информация о безопасности и управление событиями

Управление информацией безопасности и событиями ( SIEM ) — это область в области компьютерной безопасности , где программные продукты и услуги сочетают в себе управление информацией безопасности (SIM) и управление событиями безопасности (SEM). [1] [2] SIEM обычно является основным компонентом любого центра управления безопасностью (SOC), который представляет собой централизованную группу реагирования, решающую проблемы безопасности внутри организации. [3]

Они обеспечивают анализ предупреждений безопасности, генерируемых приложениями и сетевым оборудованием, в режиме реального времени. Поставщики продают SIEM как программное обеспечение, устройства или управляемые услуги ; эти продукты также используются для регистрации данных безопасности и создания отчетов в целях обеспечения соответствия . [4] Термин и инициализм SIEM были придуманы Марком Николеттом и Амритом Уильямсом из Gartner в 2005 году. [5]

Мониторинг системных журналов становится все более распространенным, поскольку сложные кибератаки вынуждают механизмы соответствия и регулирования требовать обязательного контроля безопасности журналирования в рамках системы управления рисками (RMF). Уровни ведения журнала системы начинаются с основной функции устранения системных ошибок или отладки кода, скомпилированного и запущенного. Поскольку операционные системы и сети усложняются, то же самое происходит и с созданием событий и журналов в этих системах. Для сравнения, ведение журналов системы, безопасности и приложений — не единственный способ реагирования на инциденты. Они действительно предлагают возможность отслеживать деятельность практически любой системы или действий пользователя в течение определенного периода. С конца 1970-х годов происходило формирование рабочих групп, которые помогли установить критерии управления программами аудита и мониторинга, а также то, какие и как системные журналы могут использоваться для инсайдерских угроз, реагирования на инциденты и устранения неполадок. Это также послужило основой для обсуждения многих концепций, которые до сих пор используются в современной кибербезопасности. См. «Основы аудита и оценки компьютерной безопасности» от Специальная публикация 500-19 Национального института стандартов и технологий (NIST), опубликованная в 1977 году. [6]

Поскольку RMF внедряются во всем мире практически во всех отраслях промышленности, аудит и мониторинг являются ключевыми элементами обеспечения информационной безопасности и информационной безопасности . Персонал по обеспечению безопасности информации, инженеры по кибербезопасности и аналитики могут использовать информацию журналов для выполнения критически важных функций безопасности в режиме реального времени. Эти элементы обусловлены моделями управления, которые интегрируют или используют аудит и мониторинг в качестве основы для этой аналитической работы. По мере того, как в конце 1990-х годов и в начале 2000-х годов обеспечение информационной безопасности достигло зрелости, системные журналы необходимо было централизовать. Это позволяет централизованно размещать и просматривать записи, а также обеспечивает централизованное управление в качестве «нервного центра» для всех машин в данной сети.

Такая централизация и консолидация системных данных дадут значительно больше, чем просто целостное представление. Тем не менее, теперь организации могут использовать данные журналов для оперативных целей и помогать в устранении неполадок производительности и сетевых коммуникаций. SIEM теперь стал обычным явлением, и в этой статье есть очевидные варианты одной и той же аббревиатуры. Слово SIEM — это, прежде всего, прозвище, объединяющее все журналы в одном месте, чтобы обеспечить единую панель для безопасности и сетевых операций для выполнения анализа.

Национальный институт стандартов и технологий дает следующее определение SIEM: «Приложение, которое обеспечивает возможность собирать данные безопасности из компонентов информационной системы и представлять эти данные как полезную информацию через единый интерфейс». [7] Обеспечение информации стало обязательной функцией системного журналирования. Ведение журнала системы может обеспечить возможность отслеживания учетной записи в системе, используемой для выполнения системных действий. В сочетании с операционной системой SIEM может индексировать и анализировать системные журналы, а также предоставлять их для поиска.

17 мая 2021 года президент США Джозеф Байден подписал указ № 14028 «Повышение кибербезопасности страны». [8] Этот указ требует защиты конечных точек, дальнейшего определения требований к ведению журналов, унифицированного ведения журналов аудита и расширения возможностей для обеспечения более глубокого понимания действий системы и учетной записи. Журналы аудита были идентифицированы в трех отдельных технических областях, все из которых связаны с реагированием на инциденты и информацией о том, что происходит в системе в данный момент. Этот указ является ответом на рост числа кибератак с использованием программ-вымогателей для повреждения критически важных компонентов инфраструктуры, связанных с национальной безопасностью и обществом. Усиление существующих средств контроля безопасности информации в рамках RMF является подходящим механизмом для обеспечения соблюдения требований и обоснования финансирования на основе этих президентских требований. NIST помог разработать, внедрить и распространить утвержденную на федеральном уровне систему управления рисками .

Гарантия информации

[ редактировать ]

Опубликованное в сентябре 2006 года руководство NIST SP 800-92 по управлению журналами компьютерной безопасности является основным документом, используемым в системе управления рисками NIST для определения того, что должно подлежать аудиту. Хотя это руководство не является окончательным и исчерпывающим, поскольку с 2006 года в технологиях произошли значительные изменения, оно предполагает рост отрасли, поскольку документ по-прежнему актуален. Этот документ предшествует многим современным технологиям SIEM, которые хорошо известны сегодня, о чем свидетельствует отсутствие ссылки на термин «SIEM. [9] [10] NIST — не единственное руководство по регуляторному механизму аудита и мониторинга, в котором рекомендуется использовать решения SIEM вместо децентрализованных проверок на отдельных хостах. NIST идентифицирует несколько государственных и частных организаций со своими рекомендациями по ведению журналов, которые могут обеспечить соблюдение его требований; Федеральный закон об управлении информационной безопасностью 2002 г. (FISMA), [11] Закон Грэмма-Лича-Блайли (GLBA), [12] Закон о переносимости и подотчетности медицинского страхования 1996 г. (HIPAA), [13] Закон Сарбейнса-Оксли (SOX) 2002 г., [14] Стандарт безопасности данных индустрии платежных карт (PCI DSS), [15] и Международная организация по стандартизации (ISO) 27001. [16] На документы NIST нередко ссылаются в государственных и частных организациях.

NIST SP 800-53 AU-2 Event Monitoring — это основной элемент управления безопасностью, позволяющий включить функцию ведения журнала для поддержки процесса обеспечения информации для всего аудита в системе. [17] Мониторинг событий AU-2 также служит важной основой для непрерывного мониторинга обеспечения безопасности информации и усилий по обеспечению кибербезопасности во всей сети. Ожидается, что решение SIEM будет использоваться в качестве основного инструмента или набора инструментов для поддержки этих усилий. В зависимости от категоризации системы относительно влияния на конфиденциальность, целостность и доступность (CIA) системы обычно выделяют пять конкретных требований, необходимых для удовлетворения базовых требований к регистрации федеральной системы (AU-2, ae). [18] [19] Очень важно понимать требования к управлению безопасностью инфраструктуры и работы SIEM. Ниже приведены требования к контролю безопасности для AU-2.

Поле [Назначение: определяется организацией...] остается пустым, чтобы определить, что подходит для данного предприятия. Исполнительный указ 14028 направлен на унификацию результатов всех федеральных агентств. [20]

а. Определите типы событий, которые система способна регистрировать для поддержки функции аудита: [Назначение: определяемые организацией типы событий, которые система способна регистрировать];

б. Координировать функцию регистрации событий с другими организационными подразделениями, которым требуется информация, связанная с аудитом, для определения критериев выбора событий, подлежащих регистрации;

в. Укажите следующие типы событий для регистрации в системе: [Назначение: типы событий, определяемые организацией (подмножество типов событий, определенных в AU-2a.), а также частота регистрации (или ситуация, требующая) регистрации для каждого идентифицированного типа событий];

д. Предоставить обоснование того, почему типы событий, выбранные для регистрации, считаются достаточными для поддержки расследования инцидентов постфактум; и

е. Просмотрите и обновите типы событий, выбранные для регистрации [Назначение: частота, определяемая организацией]. [17]

События в системе могут включать, помимо прочего, изменения учетных данных, неудачные попытки доступа, изменения ролевой базы или атрибутов учетных записей, использование токенов, попытки доступа и сбои и т. д. Хотя возможна регистрация каждого системного действия в системе, часто это не рекомендуется из-за объема журналов и данных, важных для безопасности. Организации могут использовать AU-2 от a до e в качестве основы для построения, придерживаясь при этом других элементов управления, которые могут требовать или вызывать более подробные требования к аудиту безопасности. NIST SP 800-53 SI-4 Мониторинг системы — это элемент управления безопасностью, который определяет мониторинг системы. [21] [10] Этот мониторинг ориентирован на системы мониторинга, которые контролируют систему. Это может включать аппаратное и программное обеспечение в унисон для обнаружения событий и аномалий, вредоносных программ, соединений и любого другого подходящего механизма, который используется для обнаружения атак или индикаторов потенциальных атак. [21]

а. Контролируйте систему, чтобы обнаружить:

  • 1. Атаки и индикаторы потенциальных атак в соответствии со следующими целями мониторинга: [Назначение: определяемые организацией цели мониторинга]; и
  • 2. Несанкционированные локальные, сетевые и удаленные подключения;

б. Выявить несанкционированное использование системы с помощью следующих методов и методов: [Назначение: методы и методы, определенные организацией];

в. Задействуйте возможности внутреннего мониторинга или разверните устройства мониторинга:

  • 1. Стратегически внутри системы для сбора важной информации, определяемой организацией; и
  • 2. В специальных местах внутри системы для отслеживания конкретных типов транзакций, представляющих интерес для организации;

д. Анализировать обнаруженные события и аномалии;

е. Корректировать уровень деятельности по мониторингу системы при изменении риска для операций и активов организации, отдельных лиц, других организаций или нации;

ф. Получить юридическое заключение относительно деятельности по мониторингу системы; и

г. Предоставьте [Назначение: информация о мониторинге системы, определяемая организацией] [Назначение: персонал или роли, определенные организацией] [Выбор (один или несколько): по мере необходимости; [Назначение: периодичность, определяемая организацией]]. [21]

NIST SP 800-53 RA-10 Threat Hunting — это новый базовый элемент управления безопасностью, добавленный в NIST 800-53 с последней редакцией 5 и публикацией. [22] [10] Охота за угрозами — это превентивная защита сети путем объединения всей информации о безопасности и активного поиска угроз. Для выполнения операции аналитикам и инженерам необходимо хранилище информации, а решение SIEM часто используется в качестве концентратора, поскольку все системные журналы обычно отправляются в это централизованное место. Команда по поиску угроз не ограничивается этим подходом. Однако решение SIEM должно предоставлять значительные объемы данных, важных для безопасности. [23]

а. Создайте и поддерживайте возможности поиска киберугроз, чтобы:

  • 1. Поиск индикаторов компромисса в организационных системах; и
  • 2. Обнаруживать, отслеживать и устранять угрозы, которые обходят существующие меры контроля; и

б. Используйте возможности поиска угроз [Назначение: частота, определяемая организацией].

NIST SP 800-53 R5 и краткие описания AU-2, SI-4 и RA-10 показывают, как отдельные элементы управления используются в качестве критических элементов события, оповещения и мониторинга через SIEM. [24] Эти средства контроля в сочетании с другими техническими средствами обеспечения безопасности, предоставляемыми NIST, образуют систему глубокоэшелонированной защиты. Обеспечение безопасности системы обеспечивается различными оценками рисков и постоянным мониторингом, которые часто усиливаются или оптимизируются с помощью продукта SIEM, используемого всеми командами кибербезопасности. Существует множество других технических средств контроля, определяющих конкретные элементы, которые необходимо отслеживать. Выявленные элементы управления представляют собой беглый обзор элементов управления, непосредственно связанных с функциональностью сбора событий и аудита и их использования в инструменте SIEM.

Терминология

[ редактировать ]

Аббревиатуры SEM , SIM и SIEM иногда используются как синонимы. [25] но обычно относятся к различным основным направлениям продуктов:

  • Управление журналами . Сосредоточьтесь на простом сборе и хранении сообщений журнала и журналов аудита . [9]
  • Управление информацией безопасности ( SIM ): долгосрочное хранение, а также анализ и отчетность данных журнала. [26]
  • Менеджер событий безопасности ( SEM ): мониторинг в реальном времени, корреляция событий, уведомления и просмотр консоли.
  • Управление информацией о безопасности и событиями (SIEM): объединяет SIM и SEM и обеспечивает анализ предупреждений безопасности, генерируемых сетевым оборудованием и приложениями, в режиме реального времени. [4] [ нужна ссылка ]
  • Управляемая служба безопасности: ( MSS ) или поставщик управляемых услуг безопасности: (MSSP). Наиболее распространенные управляемые службы, по-видимому, развиваются вокруг подключения и пропускной способности, мониторинга сети, безопасности, виртуализации и аварийного восстановления.
  • Безопасность как услуга ( SECaaS ) . Эти услуги безопасности часто включают , среди прочего, аутентификацию , антивирус , защиту от вредоносного /шпионского ПО, обнаружение вторжений , тестирование на проникновение и управление событиями безопасности.

На практике многие продукты в этой области будут иметь сочетание этих функций, поэтому часто будет некоторое дублирование, и многие коммерческие поставщики также продвигают свою собственную терминологию. [27] Часто коммерческие поставщики предоставляют различные комбинации этих функций, которые имеют тенденцию улучшать SIEM в целом. Управление журналами само по себе не дает информации о сетевой безопасности в режиме реального времени, а SEM само по себе не предоставит полных данных для глубокого анализа угроз. Когда SEM и управление журналами объединены, SIEM получает больше информации для мониторинга.

Основное внимание уделяется мониторингу и помощи в управлении привилегиями пользователей и служб, службами каталогов и другими [ нужны разъяснения ] изменения конфигурации системы; а также обеспечение аудита журналов, анализа и реагирования на инциденты. [26]

Возможности

[ редактировать ]
  • Агрегация данных. Управление журналами объединяет данные из многих источников, включая сети, службы безопасности, серверы, базы данных, приложения, предоставляя возможность консолидировать отслеживаемые данные, чтобы не пропустить важные события.
  • Корреляция: ищет общие атрибуты и связывает события в значимые группы. Эта технология предоставляет возможность использовать различные методы корреляции для интеграции различных источников, чтобы превратить данные в полезную информацию. Корреляция обычно является функцией части управления событиями безопасности полного решения SIEM. [28]
  • Оповещение: Автоматизированный анализ коррелирующих событий.
  • Панели мониторинга: инструменты могут собирать данные о событиях и превращать их в информационные диаграммы, помогающие увидеть закономерности или выявить действия, не формирующие стандартную закономерность.
  • Соответствие требованиям. Приложения можно использовать для автоматизации сбора данных о соответствии требованиям и создания отчетов, которые адаптируются к существующим процессам безопасности, управления и аудита. [29]
  • Хранение: использование долгосрочного хранения исторических данных для облегчения корреляции данных с течением времени и обеспечения хранения, необходимого для соответствия требованиям. Долгосрочное хранение данных журналов имеет решающее значение в судебно-медицинских расследованиях, поскольку маловероятно, что нарушение сети будет обнаружено в момент его возникновения. [30]
  • Криминалистический анализ: возможность поиска в журналах на разных узлах и в разные периоды времени на основе определенных критериев. Это избавляет от необходимости агрегировать информацию журналов в голове или выполнять поиск по тысячам и тысячам журналов. [29]

Компоненты

[ редактировать ]
Базовая SIEM-инфраструктура

Архитектуры SIEM могут различаться в зависимости от поставщика; однако, как правило, основные компоненты включают в себя ядро ​​SIEM. Основными компонентами SIEM являются следующие: [31]

  • Сборщик данных пересылает выбранные журналы аудита с хоста (потоковая передача журналов на основе агента или хоста в индекс и точку агрегации). [32] [33]
  • Точка агрегирования точек приема и индексации для синтаксического анализа, корреляции и нормализации данных. [34]
  • Узел поиска, который используется для визуализации, запросов, отчетов и оповещений (анализ выполняется на узле поиска). [35]

Базовая инфраструктура SIEM изображена на изображении справа.

Варианты использования

[ редактировать ]

Исследователь компьютерной безопасности Крис Кубецка выделил следующие варианты использования SIEM, представленные на хакерской конференции 28C3 ( Chaos Communication Congress ). [36]

  • Видимость SIEM и обнаружение аномалий могут помочь обнаружить код нулевого дня или полиморфный код . В первую очередь из-за низких показателей обнаружения антивирусами этого типа быстро меняющихся вредоносных программ.
  • Анализ, нормализация и категоризация журналов могут происходить автоматически, независимо от типа компьютера или сетевого устройства, если оно может отправлять журнал.
  • Визуализация с помощью SIEM с использованием событий безопасности и ошибок журналов может помочь в обнаружении закономерностей.
  • Аномалии протокола, которые могут указывать на неправильную конфигурацию или проблему безопасности, могут быть идентифицированы с помощью SIEM с помощью обнаружения шаблонов, оповещений, базовых показателей и информационных панелей.
  • SIEMS может обнаруживать скрытые, вредоносные коммуникации и зашифрованные каналы.
  • Кибервойна может быть точно обнаружена с помощью SIEM, обнаруживая как злоумышленников, так и жертв.

Примеры правил корреляции

[ редактировать ]

SIEM-системы могут иметь сотни и тысячи правил корреляции. Некоторые из них просты, а некоторые более сложны. Как только правило корреляции сработает, система может предпринять соответствующие шаги для смягчения кибератаки. Обычно это включает в себя отправку уведомления пользователю, а затем, возможно, ограничение или даже выключение системы.

Обнаружение грубой силы

[ редактировать ]

Обнаружение грубой силы относительно просто. Грубая сила связана с постоянными попытками угадать переменную. Чаще всего это относится к тому, что кто-то постоянно пытается подобрать ваш пароль — вручную или с помощью специального инструмента. Однако это может относиться к попытке угадать URL-адреса или расположение важных файлов в вашей системе.

Автоматический перебор легко обнаружить, поскольку попытка ввести пароль 60 раз в минуту невозможна.

Невозможное путешествие

[ редактировать ]

Вообще говоря, когда пользователь входит в систему, он создает временную метку события. Помимо этого, система часто может записывать другую полезную информацию, такую ​​как используемое устройство, физическое местоположение, IP-адрес, неправильные попытки входа в систему и т. д. Чем больше данных собирается, тем больше пользы от них можно получить. В случае невозможности путешествия система учитывает текущую и последнюю дату/время входа в систему, а также разницу между записанными расстояниями. Если он сочтет, что это невозможно, например, проехав сотни миль за минуту, он выдаст предупреждение.

Многие сотрудники и пользователи теперь используют службы VPN, которые могут скрыть физическое местоположение. Это следует учитывать при установлении такого правила.

Чрезмерное копирование файлов

[ редактировать ]

Среднестатистический пользователь обычно не копирует и не перемещает файлы в системе повторно. Таким образом, любое чрезмерное копирование файлов в системе может быть приписано злоумышленнику, желающему нанести вред организации. К сожалению, это не так просто, как заявить, что кто-то незаконно получил доступ к вашей сети и хочет украсть конфиденциальную информацию. Это также может быть сотрудник, желающий продать информацию о компании, или он может просто захотеть забрать домой несколько файлов на выходные.

DDoS-атака

[ редактировать ]

DDoS-атака (распределенный отказ в обслуживании) может нанести значительный ущерб компании или организации. DDoS-атака может не только вывести веб-сайт из строя, но и ослабить систему. При наличии подходящих правил корреляции SIEM должен инициировать оповещение в начале атаки, чтобы компания могла принять необходимые меры предосторожности для защиты жизненно важных систем.

Изменение целостности файла

[ редактировать ]

Мониторинг целостности и изменений файлов (FIM) — это процесс мониторинга файлов в вашей системе. Неожиданные изменения в ваших системных файлах вызовут предупреждение, поскольку это вероятный признак кибератаки.

Помимо правил корреляции, в SIEM также могут быть модели. Модели несколько отличаются от правил корреляции, но при правильной реализации могут быть не менее полезны. Вместо использования корреляции «один к одному» модель требует выполнения ряда шагов, чтобы вызвать оповещение. Обычно это означает первое правило, за которым следует аномальное поведение. Это может быть так же просто, как вход пользователя в систему из другого места, чем обычно, а затем выполнение передачи большого файла.

Это может быть чрезвычайно полезно, поскольку отдельное событие не обязательно означает компрометацию серверов или сети организации, это может быть просто член команды, работающий в кафе ради смены обстановки.

Обработка ложных срабатываний

[ редактировать ]

К сожалению, ложные срабатывания случаются во всех сферах жизни, и это справедливо и для SIEM. Все инструменты и системы имеют возможность выдавать ложноположительный результат. Например, слишком много неудачных попыток входа в систему могут быть связаны с тем, что сотрудник забыл свой пароль, а не с кем-то, пытающимся проникнуть в систему. Важно, чтобы для любых инициирующих событий предпринятые шаги были оправданными и соответствовали соответствующей мере, поскольку в таких сценариях вы не хотите, чтобы сотрудники были заблокированы на несколько часов. [37]

Примеры оповещений

[ редактировать ]

Некоторые примеры настраиваемых правил для оповещения об условиях событий включают правила аутентификации пользователей, обнаруженные атаки и обнаруженные заражения. [38]

Правило Цель Курок Источники событий
Источник повторной атаки-входа Раннее предупреждение об атаках методом перебора, подборе пароля и неправильной настройке приложений. Оповещение о 3 или более неудачных входах в систему за 1 минуту с одного хоста. Active Directory, системный журнал (хосты Unix, коммутаторы, маршрутизаторы, VPN), RADIUS, TACACS, отслеживаемые приложения.
Повторная атака-брандмауэр Раннее предупреждение о сканированиях, распространении червей и т. д. Оповещение о 15 или более событиях отключения/отклонения/запрета брандмауэра с одного IP-адреса за одну минуту. Межсетевые экраны, маршрутизаторы и коммутаторы.
Система предотвращения вторжений в сеть повторных атак Раннее предупреждение о сканированиях, распространении червей и т. д. Оповещение о 7 или более оповещениях IDS с одного IP-адреса за одну минуту Устройства обнаружения и предотвращения сетевых вторжений
Система предотвращения вторжений на повторные атаки Найдите хосты, которые могут быть заражены или скомпрометированы
(демонстрируя инфекционное поведение)
Оповещение о 3 и более событиях с одного IP-адреса за 10 минут. Оповещения системы предотвращения вторжений хоста
Обнаружение/удаление вирусов Оповещение при обнаружении на хосте вируса, шпионского ПО или другого вредоносного ПО. Оповещение, когда один хост видит идентифицируемую часть вредоносного ПО Антивирус, система HIPS, детекторы сетевых/системных поведенческих аномалий
Обнаружен вирус или шпионское ПО, но не удалось очистить Оповещение, когда с момента обнаружения вредоносного ПО в источнике прошло более 1 часа, а соответствующий вирус не был успешно удален. Оповещение, когда один хост не может автоматически очистить вредоносное ПО в течение 1 часа после обнаружения. Брандмауэр, NIPS, антивирус, HIPS, события неудачного входа в систему

См. также

[ редактировать ]
  1. ^ Гиллис, А.С.; Розенкранс, Л. (декабрь 2022 г.). «Информация о безопасности и мониторинг событий (SIEM)» . ТехТаржет . Проверено 25 января 2024 г.
  2. ^ «Что такое SIEM» . ИБМ . 2024 . Проверено 25 января 2024 г.
  3. ^ Чинкве, Марчелло; Котронео, Доменико; Печчиа, Антонио (2018). Проблемы и направления в области управления информацией и событиями безопасности (SIEM) . стр. 95–99. дои : 10.1109/ISSREW.2018.00-24 . ISBN  978-1-5386-9443-5 . Проверено 2 февраля 2024 г.
  4. ^ Перейти обратно: а б «SIEM: обзор рынка» . Журнал доктора Добба. 5 февраля 2007 г.
  5. ^ Уильямс, Амрит (2 мая 2005 г.). «Улучшите ИТ-безопасность с помощью управления уязвимостями» . Проверено 9 апреля 2016 г. Управление информацией о безопасности и событиями (SIEM)
  6. ^ Рутберг, Зелла; Маккензи, Роберт (1 октября 1977 г.). Аудит и оценка компьютерной безопасности . Министерство торговли США . дои : 10.6028/NBS.SP.500-19 . Проверено 23 января 2024 г.
  7. ^ Джонсон, Арнольд; Демпси, Келли; Росс, Рон; Гупта, Сарбари; Бейли, Деннис (10 октября 2019 г.). «Руководство по управлению конфигурацией информационных систем, ориентированному на безопасность» (PDF) . Национальный институт стандартов и технологий . дои : 10.6028/nist.sp.800-128 . S2CID   63907907 . Проверено 23 января 2024 г.
  8. ^ «Улучшение кибербезопасности страны» . Федеральный реестр . 17 мая 2021 г. Проверено 28 июля 2021 г.
  9. ^ Перейти обратно: а б Кент, Карен; Суппайя, Муругия (13 сентября 2006 г.). «Руководство по управлению журналами компьютерной безопасности» . Национальный институт стандартов и технологий . doi : 10.6028/NIST.SP.800-92 . S2CID   221183642 . Проверено 24 января 2024 г.
  10. ^ Перейти обратно: а б с «Структура управления рисками NIST» . Национальный институт стандартов и технологий . 7 ноября 2024 г. Проверено 25 января 2024 г.
  11. ^ Отдел компьютерной безопасности, Лаборатория информационных технологий (30 ноября 2016 г.). «Структура управления рисками NIST | CSRC | CSRC» . ЦКРС | НИСТ . Проверено 23 июля 2021 г.
  12. ^ «Понимание структуры кибербезопасности NIST» . Федеральная торговая комиссия . 05.10.2018 . Проверено 23 июля 2021 г.
  13. ^ Права (OCR), Гражданское управление (20 ноября 2009 г.). «Краткое описание правила безопасности HIPAA» . HHS.gov . Проверено 23 июля 2021 г.
  14. ^ «Роль информационной безопасности в соблюдении требований Сарбейнса-Оксли» . Проблемы информационных систем . 2005. doi : 10.48009/2_iis_2005_124-130 . ISSN   1529-7314 .
  15. ^ «Сопоставление PCI DSS v3_2_1 с NIST Cybersecurity Framework v1_1» (PDF) . июль 2019.
  16. ^ «NIST SP 800-53, редакция 5. Отображения элементов управления в соответствии с ISO/IEC 27001» . 10 декабря 2020 г.
  17. ^ Перейти обратно: а б Отдел компьютерной безопасности, Лаборатория информационных технологий (30 ноября 2016 г.). «Поиск релизов — Система управления рисками NIST | CSRC | CSRC» . ЦКРС | НИСТ . Проверено 18 июля 2021 г.
  18. ^ «Структура управления рисками для информационных систем и организаций» (PDF) . Национальный институт стандартов и технологий . Декабрь 2018 г. doi : 10.6028/nist.sp.800-37r2 . Проверено 24 января 2024 г.
  19. ^ «Руководство по проведению оценки рисков» (PDF) . Национальный институт стандартов и технологий . Сентябрь 2012 г. doi : 10.6028/nist.sp.800-30r1 . Проверено 24 января 2024 г.
  20. ^ «Улучшение кибербезопасности страны» . Федеральный реестр . 17 мая 2021 г. Проверено 18 июля 2021 г.
  21. ^ Перейти обратно: а б с Отдел компьютерной безопасности, Лаборатория информационных технологий (30 ноября 2016 г.). «Поиск релизов — Система управления рисками NIST | CSRC | CSRC» . ЦКРС | НИСТ . Проверено 19 июля 2021 г.
  22. ^ «Контроль безопасности и конфиденциальности для информационных систем и организаций» (PDF) . Национальный институт стандартов и технологий . 12 октября 2020 г. doi : 10.6028/NIST.SP.800-53r5 . Проверено 24 января 2024 г.
  23. ^ Мавроидис, Василейос; Ёсанг, Аудун (16 марта 2018 г.). «Охота на угрозы на основе данных с использованием Sysmon» . Материалы 2-й Международной конференции по криптографии, безопасности и конфиденциальности . ICCSP 2018. Гуйян, Китай: Ассоциация вычислительной техники. стр. 82–88. arXiv : 2103.15194 . дои : 10.1145/3199478.3199490 . ISBN  978-1-4503-6361-7 . S2CID   49864578 .
  24. ^ «Контроль безопасности и конфиденциальности для информационных систем и организаций» (PDF) . Национальный институт стандартов и технологий . Сентябрь 2020 г. doi : 10.6028/NIST.SP.800-53r5 . Проверено 25 января 2024 г.
  25. ^ Свифт, Дэвид (26 декабря 2006 г.). «Практическое применение SIM/SEM/SIEM для автоматизации идентификации угроз» (PDF) . Институт САНС . п. 3 . Проверено 14 мая 2014 г. ...аббревиатура SIEM будет использоваться в общем для обозначения...
  26. ^ Перейти обратно: а б Джамиль, Амир (29 марта 2010 г.). «Разница между SEM, SIM и SIEM» .
  27. ^ Бхатт, С.; Манадхата, ПК; Зомлот, Л. (2014). «Эксплуатационная роль систем управления информацией и событиями безопасности» . Безопасность и конфиденциальность IEEE . 12 (5): 35–41. дои : 10.1109/MSP.2014.103 . S2CID   16419710 .
  28. ^ Корреляция. Архивировано 19 октября 2014 г. на Wayback Machine.
  29. ^ Перейти обратно: а б «Управление соблюдением требований и автоматизация соблюдения требований – как и насколько эффективно, часть 1» . Accelops.net . Архивировано из оригинала 23 июля 2011 г. Проверено 2 мая 2018 г.
  30. ^ «Отчет о расследовании утечек данных за 2018 год | Verizon Enterprise Solutions» . Веризон Корпоративные решения . Проверено 2 мая 2018 г.
  31. ^ Котенко Игорь; Полубелова, Ольга; Саенко, Игорь (ноябрь 2012 г.). «Онтологический подход к реализации репозитория данных SIEM» . Международная конференция IEEE 2012 по экологически чистым вычислениям и коммуникациям . Безансон, Франция: IEEE. стр. 761–766. дои : 10.1109/GreenCom.2012.125 . ISBN  978-1-4673-5146-1 . S2CID   18920083 .
  32. ^ Котенко Игорь; Чечулин, Андрей (ноябрь 2012 г.). «Общая основа моделирования атак и оценки безопасности в SIEM-системах» . Международная конференция IEEE 2012 по экологически чистым вычислениям и коммуникациям . стр. 94–101. дои : 10.1109/GreenCom.2012.24 . ISBN  978-1-4673-5146-1 . S2CID   15834187 .
  33. ^ Карл-Бридж-Майкрософт. «Ключ журнала событий — приложения Win32» . docs.microsoft.com . Проверено 18 июля 2021 г.
  34. ^ Котенко Игорь; Полубелова, Ольга; Саенко, Игорь (ноябрь 2012 г.). «Онтологический подход к реализации репозитория данных SIEM» . Международная конференция IEEE 2012 по экологически чистым вычислениям и коммуникациям . стр. 761–766. дои : 10.1109/GreenCom.2012.125 . ISBN  978-1-4673-5146-1 . S2CID   18920083 .
  35. ^ Азоди, Амир; Джагер, Дэвид; Ченг, Фэн; Мейнель, Кристоф (декабрь 2013 г.). «Расширяя границы нормализации событий для улучшения обнаружения атак в системах IDS/SIEM» . 2013 Международная конференция по передовым облакам и большим данным . стр. 69–76. дои : 10.1109/CBD.2013.27 . ISBN  978-1-4799-3261-0 . S2CID   1066886 .
  36. ^ «28c3: Визуализация журнала безопасности с помощью механизма корреляции» . Ютуб . 29 декабря 2011 г. Архивировано из оригинала 15 декабря 2021 г. Проверено 4 ноября 2017 г.
  37. ^ «Основные правила корреляции SIEM для обеспечения соответствия» . UTMStack. 17 ноября 2020 г.
  38. ^ Свифт, Дэвид (2010). «Успешные стратегии SIEM и управления журналами для аудита и соответствия» . Институт САНС .
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 2e96cd2b6b24f5448361a4204708f7c7__1722035880
URL1:https://arc.ask3.ru/arc/aa/2e/c7/2e96cd2b6b24f5448361a4204708f7c7.html
Заголовок, (Title) документа по адресу, URL1:
Security information and event management - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)