Компоненты архитектуры SIEM

Предприятиям приходится постоянно защищаться от неуклонно растущего числа кибератак, с которыми они сталкиваются ежедневно. Управление информационной безопасностью и событиями безопасности (SIEM) - это система безопасности, широко применяемая различными предприятиями для защиты своих сетей от кибератак.

Решение SIEM состоит из различных компонентов, которые помогают службам безопасности обнаруживать утечки данных и вредоносные действия путем постоянного мониторинга и анализа сетевых устройств и событий. В данной статье подробно рассматриваются различные компоненты архитектуры SIEM.

9 компонентов архитектуры SIEM

• 1. Агрегация данных

  Этот компонент решения SIEM отвечает за сбор данных журналов, генерируемых несколькими источниками в корпоративной сети, такими как серверы, базы данных, приложения, брандмауэры, маршрутизаторы, облачные системы и т. д. Эти журналы, содержащие записи всех событий, произошедших на определенном устройстве или в приложении, собираются и хранятся в централизованном месте или хранилище данных.

  Различные методы сбора журналов SIEM включают в себя следующие:

  • Сбор журналов с использованием агента.

    При использовании этой технологии на каждое сетевое устройство, которое генерирует журналы, устанавливается агент. Эти агенты отвечают за сбор журналов с устройств и пересылку их на центральный сервер SIEM. Помимо этих задач, они также могут фильтровать данные журнала на уровне устройства на основе предопределенных параметров, анализировать их и преобразовывать в подходящий формат перед пересылкой. Эта настраиваемая технология сбора и пересылки журналов помогает оптимально использовать полосу пропускания.

    Метод сбора журналов с помощью агентов в основном используется в закрытых и охраняемых сетях, где связь ограничена.

  • Сбор журналов без использования агента.

    Этот способ не предполагает развертывания агентов на каком-либо сетевом устройстве. Вместо этого необходимо внести изменения в конфигурацию устройства, чтобы оно могло безопасно отправлять любые сгенерированные журналы на центральный сервер SIEM. В таких устройствах, как коммутаторы, маршрутизаторы, межсетевые экраны и т. д., установка сторонних инструментов для сбора журналов часто не поддерживается, поэтому сбор данных журналов через агента становится затруднительным. В таких случаях можно использовать метод сбора журналов без агентов. Это также снижает нагрузку на сетевое устройство, поскольку нет необходимости в развертывании дополнительного агента.

  • Сбор журналов на основе API.

    При использовании этого способа журналы можно собирать непосредственно с сетевых устройств с помощью программных интерфейсов (API). Программное обеспечение для виртуализации предоставляет API-интерфейсы, которые позволяют решению SIEM удаленно собирать журналы с виртуальных машин. Кроме того, когда компании переходят с локального программного обеспечения на облачные решения, становится сложно отправлять журналы напрямую в SIEM, поскольку службы не подключены к какой-либо физической инфраструктуре. Когда это происходит, облачные решения SIEM используют API в качестве посредника для сбора и запроса сетевых журналов.

• Об этом объяснении: Этот контент является частью нашей подробной серии статей о том, что такое SIEM и инструменты SIEM. Продолжайте изучать экспертные мнения и передовой опыт!

  2. Аналитика данных безопасности (отчеты и информационные панели)

  Решения SIEM включают компонент аналитики безопасности, который преимущественно включает в себя динамические информационные панели, которые наглядно представляют данные безопасности в виде графиков и диаграмм. Эти панели обновляются автоматически, помогая команде безопасности быстро выявлять вредоносные действия и решать проблемы безопасности. С помощью этих панелей аналитики безопасности могут обнаруживать аномалии, корреляции, закономерности и тенденции, которые могут присутствовать в данных, а также получать различную информацию о событиях, происходящих в режиме реального времени. Решения SIEM также предоставляют пользователям возможность создавать и настраивать собственные информационные панели.

  Еще одним аспектом этого компонента аналитики безопасности являются предварительно заданные отчеты. Зачастую решения SIEM поставляются в комплекте с сотнями готовых отчетов, которые помогают обеспечить прозрачность событий безопасности, обнаруживать угрозы и упрощать аудит безопасности и соответствия требованиям. Эти отчеты, которые в основном создаются на основе известных показателей компрометации (IoC), также можно настроить в соответствии с внутренними потребностями безопасности.

  Большинство решений SIEM также предоставляют пользователям возможности фильтрации, поиска и детализации этих отчетов, настройки графиков создания отчетов в соответствии с потребностями пользователя, просмотра данных в виде таблиц и графиков, а также экспорта отчетов в различные форматы.

• 3. Корреляция и мониторинг событий безопасности

  Механизм корреляции - один из важнейших компонентов решения SIEM. Используя предварительно заданные или определяемые пользователем правила корреляции, собранные данные журнала анализируются на предмет любых взаимосвязей, существующих между различными сетевыми действиями, общими атрибутами или шаблонами, которые могут присутствовать. Механизмы корреляции способны объединять различные инциденты безопасности, чтобы сформировать целостное представление об атаках на безопасность. Они способны обнаруживать признаки подозрительной активности, компрометации или потенциального взлома на ранних стадиях работы сети, а система SIEM также будет генерировать оповещения об этих действиях.

  Пример правила корреляции:

  "Если пользователь совершил успешную попытку входа в систему после нескольких неудачных попыток за короткий промежуток времени, активировать оповещение".

  Большинство решений SIEM поставляются с предварительно заданными правилами корреляции, созданными на основе IoC. Однако, поскольку злоумышленники постоянно используют более совершенные методы взлома системы, правила приходится регулярно изменять и совершенствовать, иначе они устареют. Создание правил корреляции требует глубокого понимания поведения и тактики злоумышленника.

• 4. Криминалистический анализ

  Этот компонент решения SIEM используется для проведения анализа первопричин и создания отчета об инциденте, который содержит подробный анализ попытки атаки или продолжающейся атаки, помогающий предприятиям немедленно предпринять соответствующие меры по исправлению ситуации.

  Несмотря на наличие лучших механизмов защиты, предприятию не всегда удается предотвратить все кибератаки. Однако предприятие может провести криминалистический анализ, чтобы восстановить обстановку на месте преступления и установить первопричину нарушения. Поскольку данные журнала содержат запись всех событий, которые имели место на определенном устройстве или в приложении, их можно проанализировать на предмет следов, оставленных злоумышленниками.

  Системы SIEM помогают команде безопасности просматривать журналы, создавать криминалистические отчеты и определять время конкретного нарушения безопасности, системы и данные, которые были скомпрометированы, хакеров, стоящих за вредоносной активностью, а также точку входа.

  Этот компонент также помогает предприятиям соблюдать определенные требования по обеспечению соответствия, такие как хранение и архивирование данных журналов в течение длительных периодов времени, а также возможность проведения криминалистических расследований по ним.

• 5. Обнаружение инцидентов и реагирование на них

  Обнаружение инцидентов

  Этот модуль решения SIEM участвует в обнаружении инцидентов безопасности. Инцидент безопасности - это предпринятая или успешная попытка взлома данных в сети несанкционированной стороной или нарушение политик безопасности организации. Атаки типа "отказ в обслуживании", нецелевое использование данных и ресурсов, несанкционированное повышение уровня привилегий и фишинговые атаки - вот некоторые распространенные примеры инцидентов безопасности. Эти инциденты необходимо выявлять и анализировать, а также принимать соответствующие меры для решения проблемы безопасности, обеспечивая при этом непрерывность бизнес-операций. При обнаружении инцидентов организации стремятся максимально сократить среднее время обнаружения (MTTD), чтобы уменьшить ущерб, наносимый злоумышленниками.

  Обнаружение инцидентов может осуществляться с использованием следующих методов:

  • Корреляция событий
  • Анализ угроз
  • Аналитика поведения пользователей и объектов (UEBA)

  Реагирование на инциденты

  Этот модуль решения SIEM отвечает за корректирующие действия, предпринимаемые для устранения инцидентов безопасности при их обнаружении. Поскольку предприятия ежедневно сталкиваются с множеством проблем безопасности, а злоумышленники используют все более изощренные методы, реагирование на инциденты превратилось в сложную задачу. Сокращение среднего времени предоставления решения (MTTR) является важнейшим приоритетом для каждого предприятия.

  Некоторые методы реагирования на инциденты включают в себя следующее:

  • Автоматизированное реагирование на инциденты с использованием рабочих процессов
  • Проведение криминалистического расследования

• 6. Реакция на события в реальном времени или консоль оповещения

  Решения SIEM выполняют сбор и корреляцию журналов в режиме реального времени; при обнаружении какой-либо подозрительной активности мгновенно отправляется оповещение, и группа реагирования на инциденты немедленно принимает меры для смягчения последствий атаки или ее предотвращения.

  Уведомления о тревогах также могут отправляться по электронной почте или SMS в режиме реального времени и могут быть классифицированы на основе присвоенных им приоритетов: высокий, средний или низкий. Рабочие процессы можно назначать инцидентам безопасности, так что при возникновении оповещения соответствующий рабочий процесс будет выполняться автоматически.

• 7. Анализ угроз

  Анализ угроз предоставляет контекстную информацию, необходимую для выявления различных типов угроз кибербезопасности и принятия соответствующих мер по их предотвращению, устранению или смягчению последствий. Понимая источник атаки, ее мотивы, стратегии и методы, используемые для ее осуществления, а также признаки компрометации, организации могут лучше понять угрозу, оценить риски и принять обоснованные решения.

  Чтобы добавить контекстную информацию, компании могут либо получить каналы угроз от сторонних поставщиков, либо скомпилировать и использовать каналы угроз с открытым исходным кодом, доступные в формате STIX/TAXII. Можно немедленно определить тип угрозы и начать устранение неполадки, что сокращает среднее время восстановления.

  Этот компонент также помогает администраторам безопасности осуществлять упреждающий поиск угроз - процесс активного поиска по всей сети любых угроз или показателей компрометации, которые могут ускользнуть от системы безопасности.

• 8. Аналитика поведения пользователей и объектов (UEBA)

  Этот компонент помогает обнаруживать инциденты безопасности. Поскольку злоумышленники постоянно разрабатывают новые методы взлома сетей, традиционные системы безопасности быстро устаревают. Однако организации могут защитить себя от любого типа киберугроз с помощью методов машинного обучения.

  Компоненты UEBA используют методы машинного обучения для разработки модели поведения, основанной на обычном поведении пользователей и компьютеров на предприятии. Эта модель поведения разрабатывается для каждого пользователя и объекта путем обработки больших объемов данных, полученных с различных сетевых устройств. Любое событие, отклоняющееся от этой модели поведения, будет рассматриваться как аномалия и подвергаться дальнейшей оценке на предмет потенциальных угроз. Пользователю или организации будет присвоена оценка риска: чем выше оценка риска, тем сильнее подозрения. На основании полученной оценки проводится оценка риска и предпринимаются корректирующие меры.

  Некоторые могут спросить, в чем разница между модулем корреляции и UEBA. В то время как первый представляет собой основанную на правилах систему, используемую для обнаружения инцидентов и угроз, вторая, как следует из названия, выявляет подозрительные события на основе поведенческой аналитики. Чтобы эффективно отражать атаки, предприятию следует использовать как традиционный механизм на основе правил, так и современную поведенческую аналитику.

• 9. Управление соблюдением требований в ИТ

  Когда речь идет о защите и безопасности данных, от компании обычно ожидают соблюдения требуемых стандартов, правил и рекомендаций, установленных различными регулирующими органами. Эти нормативные требования различаются для разных компаний в зависимости от типа отрасли и региона, где они ведут свою деятельность. В случае невыполнения компанией требований она будет оштрафована.

  Чтобы гарантировать, что организация соблюдает все требования, установленные правительством для защиты конфиденциальных данных, решения SIEM включают компонент управления соответствием требованиям. Для защиты конфиденциальных данных от компрометации следует также принимать упреждающие меры, такие как использование различных методов выявления аномалий, закономерностей и киберугроз.

  Решения SIEM позволяют хранить и архивировать данные журналов в течение длительного периода времени, что позволяет аудиторам проверять журналы аудита. Они также могут создавать отчеты о соответствии таким стандартам, как HIPAA, SOX, PCI DSS, GDPR, ISO 27001, путем сбора и анализа журналов, а также использовать готовые отчеты в соответствии с конкретными требованиями, указанными в регулирующем документе.

Все эти компоненты SIEM работают сообща, помогая команде безопасности, предоставляя информацию о различных типах угроз, моделях их атак и вредоносных действиях, которые могут иметь место в сети, а также о необходимом курсе действий, которые следует предпринять для решения любых проблем безопасности.