Jump to content

Управление событиями безопасности

Управление событиями безопасности ( SEM ) и соответствующие SIM и SIEM — это дисциплины компьютерной безопасности, которые используют инструменты проверки данных для централизации хранения и интерпретации журналов или событий, генерируемых другим программным обеспечением, работающим в сети. [1] [2] [3]

Аббревиатуры SEM , SIM и SIEM иногда используются как синонимы. [3] :  3 [4] но обычно относятся к разным основным направлениям продуктов:

  • Управление журналами : сосредоточьтесь на простом сборе и хранении сообщений журнала и журналов аудита. [5]
  • Управление информацией безопасности ( SIM ): долгосрочное хранение, а также анализ и отчетность данных журнала.
  • Менеджер событий безопасности (SEM): мониторинг в реальном времени, корреляция событий, уведомления и представления консоли.
  • Управление информацией о безопасности и событиями ( SIEM ): объединяет SIM и SEM и обеспечивает анализ предупреждений безопасности, генерируемых сетевым оборудованием и приложениями, в режиме реального времени. [6] [7]

Журналы событий

[ редактировать ]

Многие системы и приложения, работающие в компьютерной сети, генерируют события, которые сохраняются в журналах событий. Эти журналы по сути представляют собой списки произошедших действий, причем записи о новых событиях добавляются в конец журналов по мере их возникновения. Протоколы , такие как системный журнал и SNMP , могут использоваться для передачи этих событий по мере их возникновения для регистрации программного обеспечения, которое не находится на том же хосте, на котором генерируются события. Лучшие SEM предоставляют гибкий набор поддерживаемых протоколов связи, позволяющий собирать самый широкий спектр событий.

Отправлять все события в централизованную систему SEM выгодно по следующим причинам:

  • Доступ ко всем журналам может быть предоставлен через единый центральный интерфейс.
  • SEM может обеспечить безопасное, криминалистическое хранение и архивирование журналов событий (это также классическая функция управления журналами).
  • На SEM можно запустить мощные инструменты отчетности для поиска в журналах полезной информации.
  • События можно анализировать по мере их поступления в SEM на предмет значимости, а оповещения и уведомления могут быть немедленно отправлены заинтересованным сторонам, если это необходимо.
  • Могут быть обнаружены связанные события, которые происходят в нескольких системах, что было бы очень сложно обнаружить, если бы каждая система имела отдельный журнал.
  • События, которые отправляются из системы в SEM, остаются на SEM, даже если отправляющая система выходит из строя или журналы в ней случайно или намеренно удаляются.

Анализ безопасности

[ редактировать ]

Хотя централизованное ведение журналов существует уже давно, SEM — это относительно новая идея, впервые предложенная в 1999 году небольшой компанией E-Security. [8] и до сих пор быстро развиваются. Ключевой особенностью инструмента управления событиями безопасности является возможность анализировать собранные журналы, чтобы выделить интересующие события или поведение, например вход в систему администратора или суперпользователя в нерабочее время. Это может включать в себя прикрепление контекстной информации, такой как информация об хосте (значение, владелец, местоположение и т. д.), идентификационная информация (информация пользователя, связанная с учетными записями, на которые ссылается событие, например имя/фамилия, идентификатор рабочей силы, имя менеджера и т. д.), и так далее. Эту контекстную информацию можно использовать для обеспечения лучшей корреляции и возможностей отчетности, и ее часто называют метаданными. Продукты также могут интегрироваться с внешними инструментами исправления, обработки заявок и рабочих процессов, чтобы помочь в процессе разрешения инцидентов. Лучшие SEM будут предоставлять гибкий, расширяемый набор возможностей интеграции, гарантирующий, что SEM будет работать с большинством клиентских сред.

Нормативные требования

[ редактировать ]

SEM часто продаются для удовлетворения нормативных требований США, таких как требования Сарбейнса-Оксли , PCI-DSS , GLBA . [ нужна ссылка ]

Стандартизация

[ редактировать ]

Одной из основных проблем в сфере SEM является сложность последовательного анализа данных о событиях. Каждый поставщик, а во многих случаях и разные продукты одного поставщика, используют свой собственный формат данных о событиях и метод доставки. Даже в тех случаях, когда для какой-то части цепочки используется «стандарт», например системный журнал , стандарты обычно не содержат достаточных указаний, которые могли бы помочь разработчикам в том, как генерировать события, администраторам — в том, как правильно и надежно их собирать, а потребителям — в том, как их собирать. эффективно их анализировать.

В попытке решить эту проблему предпринимаются несколько параллельных усилий по стандартизации. Во-первых, The Open Group обновляет свой стандарт XDAS , выпущенный примерно в 1997 году , который так и не вышел за рамки статуса черновика. Эта новая разработка, получившая название XDAS v2, попытается формализовать формат событий, в том числе указать, какие данные следует включать в события и как их следует выражать. [ нужна ссылка ] Стандарт XDAS v2 не будет включать стандарты доставки событий, но другие стандарты, разрабатываемые Рабочей группой по распределенному управлению, могут предоставить оболочку.

Кроме того, MITRE предприняла усилия по унификации отчетов о событиях с Common Event Expression (CEE), который был несколько шире по объему, поскольку пытался определить структуру событий, а также методы доставки. Однако в 2014 году у проекта закончилось финансирование.

См. также

[ редактировать ]
  1. ^ «Управление событиями безопасности» . Архивировано из оригинала 19 октября 2014 г. Проверено 17 июля 2013 г. СИЕМ
  2. ^ «Подготовка к управлению событиями безопасности» (PDF) . 360 Information Security Ltd. Архивировано из оригинала (PDF) 22 июня 2023 г.
  3. ^ Jump up to: а б Свифт, Дэвид (26 декабря 2006 г.). «Практическое применение SIM/SEM/SIEM для автоматизации идентификации угроз» (PDF) . Институт САНС . Проверено 14 июня 2024 г.
  4. ^ Келли, Диана (март 2004 г.). «Отчет: Конвергенция управления безопасностью через SIM (управление информацией о безопасности) — взгляд на требования» . Журнал сетевого и системного управления . 12 (1): 137–144. дои : 10.1023/B:JONS.0000015702.05980.d2 . ISSN   1064-7570 . S2CID   1204926 .
  5. ^ Руководство по управлению журналами компьютерной безопасности . Архивировано 2 октября 2006 г. в Wayback Machine.
  6. ^ «SIEM: обзор рынка» . Журнал доктора Добба. 5 февраля 2007 г.
  7. ^ Будущее SIEM - Рынок начнет расходиться
  8. ^ «Novell покупает электронную безопасность» , 2006, ZDNet
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: ba744eed3921b100cda9d658b2fa2618__1720191240
URL1:https://arc.ask3.ru/arc/aa/ba/18/ba744eed3921b100cda9d658b2fa2618.html
Заголовок, (Title) документа по адресу, URL1:
Security event management - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)