Информация о безопасности и управление событиями
этой статьи Начальный раздел может быть слишком коротким, чтобы адекватно суммировать ключевые моменты . ( август 2021 г. ) |
Управление информацией безопасности и событиями ( SIEM ) — это область в области компьютерной безопасности , где программные продукты и услуги сочетают в себе управление информацией безопасности (SIM) и управление событиями безопасности (SEM). [1] [2] SIEM обычно является основным компонентом любого центра управления безопасностью (SOC), который представляет собой централизованную группу реагирования, решающую проблемы безопасности внутри организации. [3]
Они обеспечивают анализ предупреждений безопасности, генерируемых приложениями и сетевым оборудованием, в режиме реального времени. Поставщики продают SIEM как программное обеспечение, устройства или управляемые услуги ; эти продукты также используются для регистрации данных безопасности и создания отчетов в целях обеспечения соответствия . [4] Термин и инициализм SIEM были придуманы Марком Николеттом и Амритом Уильямсом из Gartner в 2005 году. [5]
История
[ редактировать ]Мониторинг системных журналов становится все более распространенным, поскольку сложные кибератаки вынуждают механизмы соответствия и регулирования требовать обязательного контроля безопасности журналирования в рамках системы управления рисками (RMF). Уровни ведения журнала системы начинаются с основной функции устранения системных ошибок или отладки кода, скомпилированного и запущенного. Поскольку операционные системы и сети усложняются, то же самое происходит и с созданием событий и журналов в этих системах. Для сравнения, ведение журналов системы, безопасности и приложений — не единственный способ реагирования на инциденты. Они действительно предлагают возможность отслеживать деятельность практически любой системы или действий пользователя в течение определенного периода. С конца 1970-х годов происходило формирование рабочих групп, которые помогли установить критерии управления программами аудита и мониторинга, а также то, какие и как системные журналы могут использоваться для инсайдерских угроз, реагирования на инциденты и устранения неполадок. Это также послужило основой для обсуждения многих концепций, которые до сих пор используются в современной кибербезопасности. См. «Основы аудита и оценки компьютерной безопасности» от Специальная публикация 500-19 Национального института стандартов и технологий (NIST), опубликованная в 1977 году. [6]
Поскольку RMF внедряются во всем мире практически во всех отраслях промышленности, аудит и мониторинг являются ключевыми элементами обеспечения информационной безопасности и информационной безопасности . Персонал по обеспечению безопасности информации, инженеры по кибербезопасности и аналитики могут использовать информацию журналов для выполнения критически важных функций безопасности в режиме реального времени. Эти элементы обусловлены моделями управления, которые интегрируют или используют аудит и мониторинг в качестве основы для этой аналитической работы. По мере того, как в конце 1990-х годов и в начале 2000-х годов обеспечение информационной безопасности достигло зрелости, системные журналы необходимо было централизовать. Это позволяет централизованно размещать и просматривать записи, а также обеспечивает централизованное управление в качестве «нервного центра» для всех машин в данной сети.
Такая централизация и консолидация системных данных дадут значительно больше, чем просто целостное представление. Тем не менее, теперь организации могут использовать данные журналов для оперативных целей и помогать в устранении неполадок производительности и сетевых коммуникаций. SIEM теперь стал обычным явлением, и в этой статье есть очевидные варианты одной и той же аббревиатуры. Слово SIEM — это, прежде всего, прозвище, объединяющее все журналы в одном месте, чтобы обеспечить единую панель для безопасности и сетевых операций для выполнения анализа.
Национальный институт стандартов и технологий дает следующее определение SIEM: «Приложение, которое обеспечивает возможность собирать данные безопасности из компонентов информационной системы и представлять эти данные как полезную информацию через единый интерфейс». [7] Обеспечение информации стало обязательной функцией системного журналирования. Ведение журнала системы может обеспечить возможность отслеживания учетной записи в системе, используемой для выполнения системных действий. В сочетании с операционной системой SIEM может индексировать и анализировать системные журналы, а также предоставлять их для поиска.
17 мая 2021 года президент США Джозеф Байден подписал указ № 14028 «Повышение кибербезопасности страны». [8] Этот указ требует защиты конечных точек, дальнейшего определения требований к ведению журналов, унифицированного ведения журналов аудита и расширения возможностей для обеспечения более глубокого понимания действий системы и учетной записи. Журналы аудита были идентифицированы в трех отдельных технических областях, все из которых связаны с реагированием на инциденты и информацией о том, что происходит в системе в данный момент. Этот указ является ответом на рост числа кибератак с использованием программ-вымогателей для повреждения критически важных компонентов инфраструктуры, связанных с национальной безопасностью и обществом. Усиление существующих средств контроля безопасности информации в рамках RMF является подходящим механизмом для обеспечения соблюдения требований и обоснования финансирования на основе этих президентских требований. NIST помог разработать, внедрить и распространить утвержденную на федеральном уровне систему управления рисками .
Гарантия информации
[ редактировать ]Опубликованное в сентябре 2006 года руководство NIST SP 800-92 по управлению журналами компьютерной безопасности является основным документом, используемым в системе управления рисками NIST для определения того, что должно подлежать аудиту. Хотя это руководство не является окончательным и исчерпывающим, поскольку с 2006 года в технологиях произошли значительные изменения, оно предполагает рост отрасли, поскольку документ по-прежнему актуален. Этот документ предшествует многим современным технологиям SIEM, которые хорошо известны сегодня, о чем свидетельствует отсутствие ссылки на термин «SIEM. [9] [10] NIST — не единственное руководство по регуляторному механизму аудита и мониторинга, в котором рекомендуется использовать решения SIEM вместо децентрализованных проверок на отдельных хостах. NIST идентифицирует несколько государственных и частных организаций со своими рекомендациями по ведению журналов, которые могут обеспечить соблюдение его требований; Федеральный закон об управлении информационной безопасностью 2002 г. (FISMA), [11] Закон Грэмма-Лича-Блайли (GLBA), [12] Закон о переносимости и подотчетности медицинского страхования 1996 г. (HIPAA), [13] Закон Сарбейнса-Оксли (SOX) 2002 г., [14] Стандарт безопасности данных индустрии платежных карт (PCI DSS), [15] и Международная организация по стандартизации (ISO) 27001. [16] На документы NIST нередко ссылаются в государственных и частных организациях.
NIST SP 800-53 AU-2 Event Monitoring — это основной элемент управления безопасностью, позволяющий включить функцию ведения журнала для поддержки процесса обеспечения информации для всего аудита в системе. [17] Мониторинг событий AU-2 также служит важной основой для непрерывного мониторинга обеспечения безопасности информации и усилий по обеспечению кибербезопасности во всей сети. Ожидается, что решение SIEM будет использоваться в качестве основного инструмента или набора инструментов для поддержки этих усилий. В зависимости от категоризации системы относительно влияния на конфиденциальность, целостность и доступность (CIA) системы обычно выделяют пять конкретных требований, необходимых для удовлетворения базовых требований к регистрации федеральной системы (AU-2, ae). [18] [19] Очень важно понимать требования к управлению безопасностью инфраструктуры и работы SIEM. Ниже приведены требования к контролю безопасности для AU-2.
Поле [Назначение: определяется организацией...] остается пустым, чтобы определить, что подходит для данного предприятия. Исполнительный указ 14028 направлен на унификацию результатов всех федеральных агентств. [20]
а. Определите типы событий, которые система способна регистрировать для поддержки функции аудита: [Назначение: определяемые организацией типы событий, которые система способна регистрировать];
б. Координировать функцию регистрации событий с другими организационными подразделениями, которым требуется информация, связанная с аудитом, для определения критериев выбора событий, подлежащих регистрации;
в. Укажите следующие типы событий для регистрации в системе: [Назначение: типы событий, определяемые организацией (подмножество типов событий, определенных в AU-2a.), а также частота регистрации (или ситуация, требующая) регистрации для каждого идентифицированного типа событий];
д. Предоставить обоснование того, почему типы событий, выбранные для регистрации, считаются достаточными для поддержки расследования инцидентов постфактум; и
е. Просмотрите и обновите типы событий, выбранные для регистрации [Назначение: частота, определяемая организацией]. [17]
События в системе могут включать, помимо прочего, изменения учетных данных, неудачные попытки доступа, изменения ролевой базы или атрибутов учетных записей, использование токенов, попытки доступа и сбои и т. д. Хотя возможна регистрация каждого системного действия в системе, часто это не рекомендуется из-за объема журналов и данных, важных для безопасности. Организации могут использовать AU-2 от a до e в качестве основы для построения, придерживаясь при этом других элементов управления, которые могут требовать или вызывать более подробные требования к аудиту безопасности. NIST SP 800-53 SI-4 Мониторинг системы — это элемент управления безопасностью, который определяет мониторинг системы. [21] [10] Этот мониторинг ориентирован на системы мониторинга, которые контролируют систему. Это может включать аппаратное и программное обеспечение в унисон для обнаружения событий и аномалий, вредоносных программ, соединений и любого другого подходящего механизма, который используется для обнаружения атак или индикаторов потенциальных атак. [21]
а. Контролируйте систему, чтобы обнаружить:
- 1. Атаки и индикаторы потенциальных атак в соответствии со следующими целями мониторинга: [Назначение: определяемые организацией цели мониторинга]; и
- 2. Несанкционированные локальные, сетевые и удаленные подключения;
б. Выявить несанкционированное использование системы с помощью следующих методов и методов: [Назначение: методы и методы, определенные организацией];
в. Задействуйте возможности внутреннего мониторинга или разверните устройства мониторинга:
- 1. Стратегически внутри системы для сбора важной информации, определяемой организацией; и
- 2. В специальных местах внутри системы для отслеживания конкретных типов транзакций, представляющих интерес для организации;
д. Анализировать обнаруженные события и аномалии;
е. Корректировать уровень деятельности по мониторингу системы при изменении риска для операций и активов организации, отдельных лиц, других организаций или нации;
ф. Получить юридическое заключение относительно деятельности по мониторингу системы; и
г. Предоставьте [Назначение: информация о мониторинге системы, определяемая организацией] [Назначение: персонал или роли, определенные организацией] [Выбор (один или несколько): по мере необходимости; [Назначение: периодичность, определяемая организацией]]. [21]
NIST SP 800-53 RA-10 Threat Hunting — это новый базовый элемент управления безопасностью, добавленный в NIST 800-53 с последней редакцией 5 и публикацией. [22] [10] Охота за угрозами — это превентивная защита сети путем объединения всей информации о безопасности и активного поиска угроз. Для выполнения операции аналитикам и инженерам необходимо хранилище информации, а решение SIEM часто используется в качестве концентратора, поскольку все системные журналы обычно отправляются в это централизованное место. Команда по поиску угроз не ограничивается этим подходом. Однако решение SIEM должно предоставлять значительные объемы данных, важных для безопасности. [23]
а. Создайте и поддерживайте возможности поиска киберугроз, чтобы:
- 1. Поиск индикаторов компромисса в организационных системах; и
- 2. Обнаруживать, отслеживать и устранять угрозы, которые обходят существующие меры контроля; и
б. Используйте возможности поиска угроз [Назначение: частота, определяемая организацией].
NIST SP 800-53 R5 и краткие описания AU-2, SI-4 и RA-10 показывают, как отдельные элементы управления используются в качестве критических элементов события, оповещения и мониторинга через SIEM. [24] Эти средства контроля в сочетании с другими техническими средствами обеспечения безопасности, предоставляемыми NIST, образуют систему глубокоэшелонированной защиты. Обеспечение безопасности системы обеспечивается различными оценками рисков и постоянным мониторингом, которые часто усиливаются или оптимизируются с помощью продукта SIEM, используемого всеми командами кибербезопасности. Существует множество других технических средств контроля, определяющих конкретные элементы, которые необходимо отслеживать. Выявленные элементы управления представляют собой беглый обзор элементов управления, непосредственно связанных с функциональностью сбора событий и аудита и их использования в инструменте SIEM.
Терминология
[ редактировать ]Аббревиатуры SEM , SIM и SIEM иногда используются как синонимы. [25] но обычно относятся к различным основным направлениям продуктов:
- Управление журналами . Сосредоточьтесь на простом сборе и хранении сообщений журнала и журналов аудита . [9]
- Управление информацией безопасности ( SIM ): долгосрочное хранение, а также анализ и отчетность данных журнала. [26]
- Менеджер событий безопасности ( SEM ): мониторинг в реальном времени, корреляция событий, уведомления и просмотр консоли.
- Управление информацией о безопасности и событиями (SIEM): объединяет SIM и SEM и обеспечивает анализ предупреждений безопасности, генерируемых сетевым оборудованием и приложениями, в режиме реального времени. [4] [ нужна ссылка ]
- Управляемая служба безопасности: ( MSS ) или поставщик управляемых услуг безопасности: (MSSP). Наиболее распространенные управляемые службы, по-видимому, развиваются вокруг подключения и пропускной способности, мониторинга сети, безопасности, виртуализации и аварийного восстановления.
- Безопасность как услуга ( SECaaS ) . Эти услуги безопасности часто включают , среди прочего, аутентификацию , антивирус , защиту от вредоносного /шпионского ПО, обнаружение вторжений , тестирование на проникновение и управление событиями безопасности.
На практике многие продукты в этой области будут иметь сочетание этих функций, поэтому часто будет некоторое дублирование, и многие коммерческие поставщики также продвигают свою собственную терминологию. [27] Часто коммерческие поставщики предоставляют различные комбинации этих функций, которые имеют тенденцию улучшать SIEM в целом. Управление журналами само по себе не дает информации о сетевой безопасности в режиме реального времени, а SEM само по себе не предоставит полных данных для глубокого анализа угроз. Когда SEM и управление журналами объединены, SIEM получает больше информации для мониторинга.
Основное внимание уделяется мониторингу и помощи в управлении привилегиями пользователей и служб, службами каталогов и другими [ нужны разъяснения ] изменения конфигурации системы; а также обеспечение аудита журналов, анализа и реагирования на инциденты. [26]
Возможности
[ редактировать ]- Агрегация данных. Управление журналами объединяет данные из многих источников, включая сети, службы безопасности, серверы, базы данных, приложения, предоставляя возможность консолидировать отслеживаемые данные, чтобы не пропустить важные события.
- Корреляция: ищет общие атрибуты и связывает события в значимые группы. Эта технология предоставляет возможность использовать различные методы корреляции для интеграции различных источников, чтобы превратить данные в полезную информацию. Корреляция обычно является функцией части управления событиями безопасности полного решения SIEM. [28]
- Оповещение: Автоматизированный анализ коррелирующих событий.
- Панели мониторинга: инструменты могут собирать данные о событиях и превращать их в информационные диаграммы, помогающие увидеть закономерности или выявить действия, не формирующие стандартную закономерность.
- Соответствие требованиям. Приложения можно использовать для автоматизации сбора данных о соответствии требованиям и создания отчетов, которые адаптируются к существующим процессам безопасности, управления и аудита. [29]
- Хранение: использование долгосрочного хранения исторических данных для облегчения корреляции данных с течением времени и обеспечения хранения, необходимого для соответствия требованиям. Долгосрочное хранение данных журналов имеет решающее значение в судебно-медицинских расследованиях, поскольку маловероятно, что нарушение сети будет обнаружено в момент его возникновения. [30]
- Криминалистический анализ: возможность поиска в журналах на разных узлах и в разные периоды времени на основе определенных критериев. Это избавляет от необходимости агрегировать информацию журналов в голове или выполнять поиск по тысячам и тысячам журналов. [29]
Компоненты
[ редактировать ]Архитектуры SIEM могут различаться в зависимости от поставщика; однако, как правило, основные компоненты включают в себя ядро SIEM. Основными компонентами SIEM являются следующие: [31]
- Сборщик данных пересылает выбранные журналы аудита с хоста (потоковая передача журналов на основе агента или хоста в индекс и точку агрегации). [32] [33]
- Точка агрегирования точек приема и индексации для синтаксического анализа, корреляции и нормализации данных. [34]
- Узел поиска, который используется для визуализации, запросов, отчетов и оповещений (анализ выполняется на узле поиска). [35]
Базовая инфраструктура SIEM изображена на изображении справа.
Варианты использования
[ редактировать ]Исследователь компьютерной безопасности Крис Кубецка выделил следующие варианты использования SIEM, представленные на хакерской конференции 28C3 ( Chaos Communication Congress ). [36]
- Видимость SIEM и обнаружение аномалий могут помочь обнаружить код нулевого дня или полиморфный код . В первую очередь из-за низких показателей обнаружения антивирусами этого типа быстро меняющихся вредоносных программ.
- Анализ, нормализация и категоризация журналов могут происходить автоматически, независимо от типа компьютера или сетевого устройства, если оно может отправлять журнал.
- Визуализация с помощью SIEM с использованием событий безопасности и ошибок журналов может помочь в обнаружении закономерностей.
- Аномалии протокола, которые могут указывать на неправильную конфигурацию или проблему безопасности, могут быть идентифицированы с помощью SIEM с помощью обнаружения шаблонов, оповещений, базовых показателей и информационных панелей.
- SIEMS может обнаруживать скрытые, вредоносные коммуникации и зашифрованные каналы.
- Кибервойна может быть точно обнаружена с помощью SIEM, обнаруживая как злоумышленников, так и жертв.
Примеры правил корреляции
[ редактировать ]SIEM-системы могут иметь сотни и тысячи правил корреляции. Некоторые из них просты, а некоторые более сложны. Как только правило корреляции сработает, система может предпринять соответствующие шаги для смягчения кибератаки. Обычно это включает в себя отправку уведомления пользователю, а затем, возможно, ограничение или даже выключение системы.
Обнаружение грубой силы
[ редактировать ]Обнаружение грубой силы относительно просто. Грубая сила связана с постоянными попытками угадать переменную. Чаще всего это относится к тому, что кто-то постоянно пытается подобрать ваш пароль — вручную или с помощью специального инструмента. Однако это может относиться к попытке угадать URL-адреса или расположение важных файлов в вашей системе.
Автоматический перебор легко обнаружить, поскольку попытка ввести пароль 60 раз в минуту невозможна.
Невозможное путешествие
[ редактировать ]Вообще говоря, когда пользователь входит в систему, он создает временную метку события. Помимо этого, система часто может записывать другую полезную информацию, такую как используемое устройство, физическое местоположение, IP-адрес, неправильные попытки входа в систему и т. д. Чем больше данных собирается, тем больше пользы от них можно получить. В случае невозможности путешествия система учитывает текущую и последнюю дату/время входа в систему, а также разницу между записанными расстояниями. Если он сочтет, что это невозможно, например, проехав сотни миль за минуту, он выдаст предупреждение.
Многие сотрудники и пользователи теперь используют службы VPN, которые могут скрыть физическое местоположение. Это следует учитывать при установлении такого правила.
Чрезмерное копирование файлов
[ редактировать ]Среднестатистический пользователь обычно не копирует и не перемещает файлы в системе повторно. Таким образом, любое чрезмерное копирование файлов в системе может быть приписано злоумышленнику, желающему нанести вред организации. К сожалению, это не так просто, как заявить, что кто-то незаконно получил доступ к вашей сети и хочет украсть конфиденциальную информацию. Это также может быть сотрудник, желающий продать информацию о компании, или он может просто захотеть забрать домой несколько файлов на выходные.
DDoS-атака
[ редактировать ]DDoS-атака (распределенный отказ в обслуживании) может нанести значительный ущерб компании или организации. DDoS-атака может не только вывести веб-сайт из строя, но и ослабить систему. При наличии подходящих правил корреляции SIEM должен инициировать оповещение в начале атаки, чтобы компания могла принять необходимые меры предосторожности для защиты жизненно важных систем.
Изменение целостности файла
[ редактировать ]Мониторинг целостности и изменений файлов (FIM) — это процесс мониторинга файлов в вашей системе. Неожиданные изменения в ваших системных файлах вызовут предупреждение, поскольку это вероятный признак кибератаки.
Модели
[ редактировать ]Помимо правил корреляции, в SIEM также могут быть модели. Модели несколько отличаются от правил корреляции, но при правильной реализации могут быть не менее полезны. Вместо использования корреляции «один к одному» модель требует выполнения ряда шагов, чтобы вызвать оповещение. Обычно это означает первое правило, за которым следует аномальное поведение. Это может быть так же просто, как вход пользователя в систему из другого места, чем обычно, а затем выполнение передачи большого файла.
Это может быть чрезвычайно полезно, поскольку отдельное событие не обязательно означает компрометацию серверов или сети организации, это может быть просто член команды, работающий в кафе ради смены обстановки.
Обработка ложных срабатываний
[ редактировать ]К сожалению, ложные срабатывания случаются во всех сферах жизни, и это справедливо и для SIEM. Все инструменты и системы имеют возможность выдавать ложноположительный результат. Например, слишком много неудачных попыток входа в систему могут быть связаны с тем, что сотрудник забыл свой пароль, а не с кем-то, пытающимся проникнуть в систему. Важно, чтобы для любых инициирующих событий предпринятые шаги были оправданными и соответствовали соответствующей мере, поскольку в таких сценариях вы не хотите, чтобы сотрудники были заблокированы на несколько часов. [37]
Примеры оповещений
[ редактировать ]Некоторые примеры настраиваемых правил для оповещения об условиях событий включают правила аутентификации пользователей, обнаруженные атаки и обнаруженные заражения. [38]
Правило | Цель | Курок | Источники событий |
---|---|---|---|
Источник повторной атаки-входа | Раннее предупреждение об атаках методом перебора, подборе пароля и неправильной настройке приложений. | Оповещение о 3 или более неудачных входах в систему за 1 минуту с одного хоста. | Active Directory, системный журнал (хосты Unix, коммутаторы, маршрутизаторы, VPN), RADIUS, TACACS, отслеживаемые приложения. |
Повторная атака-брандмауэр | Раннее предупреждение о сканированиях, распространении червей и т. д. | Оповещение о 15 или более событиях отключения/отклонения/запрета брандмауэра с одного IP-адреса за одну минуту. | Межсетевые экраны, маршрутизаторы и коммутаторы. |
Система предотвращения вторжений в сеть повторных атак | Раннее предупреждение о сканированиях, распространении червей и т. д. | Оповещение о 7 или более оповещениях IDS с одного IP-адреса за одну минуту | Устройства обнаружения и предотвращения сетевых вторжений |
Система предотвращения вторжений на повторные атаки | Найдите хосты, которые могут быть заражены или скомпрометированы (демонстрируя инфекционное поведение) |
Оповещение о 3 и более событиях с одного IP-адреса за 10 минут. | Оповещения системы предотвращения вторжений хоста |
Обнаружение/удаление вирусов | Оповещение при обнаружении на хосте вируса, шпионского ПО или другого вредоносного ПО. | Оповещение, когда один хост видит идентифицируемую часть вредоносного ПО | Антивирус, система HIPS, детекторы сетевых/системных поведенческих аномалий |
Обнаружен вирус или шпионское ПО, но не удалось очистить | Оповещение, когда с момента обнаружения вредоносного ПО в источнике прошло более 1 часа, а соответствующий вирус не был успешно удален. | Оповещение, когда один хост не может автоматически очистить вредоносное ПО в течение 1 часа после обнаружения. | Брандмауэр, NIPS, антивирус, HIPS, события неудачного входа в систему |
См. также
[ редактировать ]- Управление инцидентами компьютерной безопасности
- Модель Гордона – Леба для инвестиций в кибербезопасность
- ИТ-риск
- Управление журналами
- Обнаружение сети и реагирование
- Оркестровка безопасности , автоматизация и реагирование
Ссылки
[ редактировать ]- ^ Гиллис, А.С.; Розенкранс, Л. (декабрь 2022 г.). «Информация о безопасности и мониторинг событий (SIEM)» . ТехТаржет . Проверено 25 января 2024 г.
- ^ «Что такое SIEM» . ИБМ . 2024 . Проверено 25 января 2024 г.
- ^ Чинкве, Марчелло; Котронео, Доменико; Печчиа, Антонио (2018). Проблемы и направления в области управления информацией и событиями безопасности (SIEM) . стр. 95–99. дои : 10.1109/ISSREW.2018.00-24 . ISBN 978-1-5386-9443-5 . Проверено 2 февраля 2024 г.
- ^ Перейти обратно: а б «SIEM: обзор рынка» . Журнал доктора Добба. 5 февраля 2007 г.
- ^
Уильямс, Амрит (2 мая 2005 г.). «Улучшите ИТ-безопасность с помощью управления уязвимостями» . Проверено 9 апреля 2016 г.
Управление информацией о безопасности и событиями (SIEM)
- ^ Рутберг, Зелла; Маккензи, Роберт (1 октября 1977 г.). Аудит и оценка компьютерной безопасности . Министерство торговли США . дои : 10.6028/NBS.SP.500-19 . Проверено 23 января 2024 г.
- ^ Джонсон, Арнольд; Демпси, Келли; Росс, Рон; Гупта, Сарбари; Бейли, Деннис (10 октября 2019 г.). «Руководство по управлению конфигурацией информационных систем, ориентированному на безопасность» (PDF) . Национальный институт стандартов и технологий . дои : 10.6028/nist.sp.800-128 . S2CID 63907907 . Проверено 23 января 2024 г.
- ^ «Улучшение кибербезопасности страны» . Федеральный реестр . 17 мая 2021 г. Проверено 28 июля 2021 г.
- ^ Перейти обратно: а б Кент, Карен; Суппайя, Муругия (13 сентября 2006 г.). «Руководство по управлению журналами компьютерной безопасности» . Национальный институт стандартов и технологий . doi : 10.6028/NIST.SP.800-92 . S2CID 221183642 . Проверено 24 января 2024 г.
- ^ Перейти обратно: а б с «Структура управления рисками NIST» . Национальный институт стандартов и технологий . 7 ноября 2024 г. Проверено 25 января 2024 г.
- ^ Отдел компьютерной безопасности, Лаборатория информационных технологий (30 ноября 2016 г.). «Структура управления рисками NIST | CSRC | CSRC» . ЦКРС | НИСТ . Проверено 23 июля 2021 г.
- ^ «Понимание структуры кибербезопасности NIST» . Федеральная торговая комиссия . 05.10.2018 . Проверено 23 июля 2021 г.
- ^ Права (OCR), Гражданское управление (20 ноября 2009 г.). «Краткое описание правила безопасности HIPAA» . HHS.gov . Проверено 23 июля 2021 г.
- ^ «Роль информационной безопасности в соблюдении требований Сарбейнса-Оксли» . Проблемы информационных систем . 2005. doi : 10.48009/2_iis_2005_124-130 . ISSN 1529-7314 .
- ^ «Сопоставление PCI DSS v3_2_1 с NIST Cybersecurity Framework v1_1» (PDF) . июль 2019.
- ^ «NIST SP 800-53, редакция 5. Отображения элементов управления в соответствии с ISO/IEC 27001» . 10 декабря 2020 г.
- ^ Перейти обратно: а б Отдел компьютерной безопасности, Лаборатория информационных технологий (30 ноября 2016 г.). «Поиск релизов — Система управления рисками NIST | CSRC | CSRC» . ЦКРС | НИСТ . Проверено 18 июля 2021 г.
- ^ «Структура управления рисками для информационных систем и организаций» (PDF) . Национальный институт стандартов и технологий . Декабрь 2018 г. doi : 10.6028/nist.sp.800-37r2 . Проверено 24 января 2024 г.
- ^ «Руководство по проведению оценки рисков» (PDF) . Национальный институт стандартов и технологий . Сентябрь 2012 г. doi : 10.6028/nist.sp.800-30r1 . Проверено 24 января 2024 г.
- ^ «Улучшение кибербезопасности страны» . Федеральный реестр . 17 мая 2021 г. Проверено 18 июля 2021 г.
- ^ Перейти обратно: а б с Отдел компьютерной безопасности, Лаборатория информационных технологий (30 ноября 2016 г.). «Поиск релизов — Система управления рисками NIST | CSRC | CSRC» . ЦКРС | НИСТ . Проверено 19 июля 2021 г.
- ^ «Контроль безопасности и конфиденциальности для информационных систем и организаций» (PDF) . Национальный институт стандартов и технологий . 12 октября 2020 г. doi : 10.6028/NIST.SP.800-53r5 . Проверено 24 января 2024 г.
- ^ Мавроидис, Василейос; Ёсанг, Аудун (16 марта 2018 г.). «Охота на угрозы на основе данных с использованием Sysmon» . Материалы 2-й Международной конференции по криптографии, безопасности и конфиденциальности . ICCSP 2018. Гуйян, Китай: Ассоциация вычислительной техники. стр. 82–88. arXiv : 2103.15194 . дои : 10.1145/3199478.3199490 . ISBN 978-1-4503-6361-7 . S2CID 49864578 .
- ^ «Контроль безопасности и конфиденциальности для информационных систем и организаций» (PDF) . Национальный институт стандартов и технологий . Сентябрь 2020 г. doi : 10.6028/NIST.SP.800-53r5 . Проверено 25 января 2024 г.
- ^ Свифт, Дэвид (26 декабря 2006 г.). «Практическое применение SIM/SEM/SIEM для автоматизации идентификации угроз» (PDF) . Институт САНС . п. 3 . Проверено 14 мая 2014 г.
...аббревиатура SIEM будет использоваться в общем для обозначения...
- ^ Перейти обратно: а б Джамиль, Амир (29 марта 2010 г.). «Разница между SEM, SIM и SIEM» .
- ^ Бхатт, С.; Манадхата, ПК; Зомлот, Л. (2014). «Эксплуатационная роль систем управления информацией и событиями безопасности» . Безопасность и конфиденциальность IEEE . 12 (5): 35–41. дои : 10.1109/MSP.2014.103 . S2CID 16419710 .
- ^ Корреляция. Архивировано 19 октября 2014 г. на Wayback Machine.
- ^ Перейти обратно: а б «Управление соблюдением требований и автоматизация соблюдения требований – как и насколько эффективно, часть 1» . Accelops.net . Архивировано из оригинала 23 июля 2011 г. Проверено 2 мая 2018 г.
- ^ «Отчет о расследовании утечек данных за 2018 год | Verizon Enterprise Solutions» . Веризон Корпоративные решения . Проверено 2 мая 2018 г.
- ^ Котенко Игорь; Полубелова, Ольга; Саенко, Игорь (ноябрь 2012 г.). «Онтологический подход к реализации репозитория данных SIEM» . Международная конференция IEEE 2012 по экологически чистым вычислениям и коммуникациям . Безансон, Франция: IEEE. стр. 761–766. дои : 10.1109/GreenCom.2012.125 . ISBN 978-1-4673-5146-1 . S2CID 18920083 .
- ^ Котенко Игорь; Чечулин, Андрей (ноябрь 2012 г.). «Общая основа моделирования атак и оценки безопасности в SIEM-системах» . Международная конференция IEEE 2012 по экологически чистым вычислениям и коммуникациям . стр. 94–101. дои : 10.1109/GreenCom.2012.24 . ISBN 978-1-4673-5146-1 . S2CID 15834187 .
- ^ Карл-Бридж-Майкрософт. «Ключ журнала событий — приложения Win32» . docs.microsoft.com . Проверено 18 июля 2021 г.
- ^ Котенко Игорь; Полубелова, Ольга; Саенко, Игорь (ноябрь 2012 г.). «Онтологический подход к реализации репозитория данных SIEM» . Международная конференция IEEE 2012 по экологически чистым вычислениям и коммуникациям . стр. 761–766. дои : 10.1109/GreenCom.2012.125 . ISBN 978-1-4673-5146-1 . S2CID 18920083 .
- ^ Азоди, Амир; Джагер, Дэвид; Ченг, Фэн; Мейнель, Кристоф (декабрь 2013 г.). «Расширяя границы нормализации событий для улучшения обнаружения атак в системах IDS/SIEM» . 2013 Международная конференция по передовым облакам и большим данным . стр. 69–76. дои : 10.1109/CBD.2013.27 . ISBN 978-1-4799-3261-0 . S2CID 1066886 .
- ^ «28c3: Визуализация журнала безопасности с помощью механизма корреляции» . Ютуб . 29 декабря 2011 г. Архивировано из оригинала 15 декабря 2021 г. Проверено 4 ноября 2017 г.
- ^ «Основные правила корреляции SIEM для обеспечения соответствия» . UTMStack. 17 ноября 2020 г.
- ^ Свифт, Дэвид (2010). «Успешные стратегии SIEM и управления журналами для аудита и соответствия» . Институт САНС .