Управление событиями безопасности

Управление событиями безопасности ( SEM ) и связанные с ним SIM и SIEM — это дисциплины компьютерной безопасности, которые используют инструменты проверки данных для централизации хранения и интерпретации журналов или событий, созданных другим программным обеспечением, работающим в сети. ^{[1] [2] [3]}

Обзор

Аббревиатуры SEM , SIM и SIEM иногда используются как взаимозаменяемые, ^{[3] :  3  [4],} но обычно они указывают на различную основную направленность продуктов:

• Управление журналами : фокус на простом сборе и хранении сообщений журнала и контрольных следов ^[5]
• Управление информацией о безопасности ( SIM ): долгосрочное хранение, а также анализ и составление отчетов по данным журналов.
• Диспетчер событий безопасности (SEM): мониторинг в реальном времени, корреляция событий, уведомления и просмотры консоли.
• Управление информацией о безопасности и событиями ( SIEM ): объединяет SIM и SEM и обеспечивает анализ оповещений безопасности в реальном времени, генерируемых сетевым оборудованием и приложениями. ^{[6] [7]}

Журналы событий

Многие системы и приложения, работающие в компьютерной сети, генерируют события, которые сохраняются в журналах событий. Эти журналы по сути являются списками произошедших действий, с записями новых событий, добавляемыми в конец журналов по мере их возникновения. Протоколы , такие как syslog и SNMP , могут использоваться для передачи этих событий по мере их возникновения в программное обеспечение для регистрации, которое не находится на том же хосте, на котором генерируются события. Лучшие SEM предоставляют гибкий набор поддерживаемых протоколов связи, чтобы обеспечить самый широкий спектр сбора событий.

Направлять все события в централизованную систему SEM выгодно по следующим причинам:

• Доступ ко всем журналам может быть предоставлен через единый центральный интерфейс.
• SEM может обеспечить безопасное, надежное с точки зрения криминалистики хранение и архивирование журналов событий (это также классическая функция управления журналами).
• На SEM можно использовать мощные инструменты отчетности для извлечения из журналов полезной информации.
• События можно анализировать по мере их поступления в SEM для определения их значимости, а оповещения и уведомления можно немедленно рассылать заинтересованным сторонам по мере необходимости.
• Могут быть обнаружены связанные события, происходящие в нескольких системах, что было бы очень сложно сделать, если бы каждая система имела отдельный журнал.
• События, отправляемые из системы в SEM, остаются на SEM даже в случае сбоя отправляющей системы или случайного или преднамеренного удаления ее журналов.

Анализ безопасности

Хотя централизованное ведение журналов существует уже давно, SEM — это относительно новая идея, впервые предложенная в 1999 году небольшой компанией E-Security ^[8] и до сих пор быстро развивающаяся. Ключевой особенностью инструмента управления событиями безопасности является возможность анализировать собранные журналы для выделения событий или поведения, представляющих интерес, например, входа администратора или суперпользователя вне обычных рабочих часов. Это может включать присоединение контекстной информации, такой как информация о хосте (значение, владелец, местоположение и т. д.), идентификационная информация (информация о пользователе, связанная с учетными записями, на которые ссылается событие, например, имя/фамилия, идентификатор рабочей силы, имя менеджера и т. д.) и т. д. Эта контекстная информация может быть использована для обеспечения лучших возможностей корреляции и отчетности и часто называется метаданными. Продукты также могут интегрироваться с внешними инструментами исправления, тикетирования и рабочего процесса для содействия процессу разрешения инцидентов. Лучшие SEM будут предоставлять гибкий, расширяемый набор возможностей интеграции, чтобы гарантировать, что SEM будет работать с большинством сред клиентов.

Нормативные требования

SEM часто продаются, чтобы помочь удовлетворить нормативные требования США, такие как закон Сарбейнса-Оксли , PCI-DSS , GLBA . ^{[ необходима ссылка ]}

Стандартизация

Одной из основных проблем в области SEM является сложность последовательного анализа данных событий. Каждый поставщик, и действительно во многих случаях различные продукты одного поставщика, используют разные фирменные форматы данных событий и методы доставки. Даже в случаях, когда для какой-то части цепочки используется «стандарт», например Syslog , стандарты обычно не содержат достаточно рекомендаций, чтобы помочь разработчикам в том, как генерировать события, администраторам в том, как правильно и надежно их собирать, а потребителям в том, чтобы эффективно их анализировать.

В качестве попытки борьбы с этой проблемой ведется несколько параллельных усилий по стандартизации. Во-первых, The Open Group обновляет свой стандарт XDAS примерно 1997 года, который так и не вышел за рамки чернового варианта. Эта новая попытка, получившая название XDAS v2, попытается формализовать формат событий, включая то, какие данные должны быть включены в события и как они должны быть выражены. ^{[ необходима цитата ]} Стандарт XDAS v2 не будет включать стандарты доставки событий, но другие стандарты, разрабатываемые Distributed Management Task Force, могут предоставить оболочку.

Кроме того, MITRE разработала усилия по унификации отчетности о событиях с Common Event Expression (CEE), которая была несколько шире по охвату, поскольку пыталась определить структуру событий, а также методы доставки. Однако финансирование проекта закончилось в 2014 году.

Смотрите также

• Сравнение систем сетевого мониторинга
• Управление инцидентами компьютерной безопасности
• Управление событиями (ITIL)
• Информация о безопасности и управление событиями
• Управление информацией о безопасности
• Трассировка (программное обеспечение) § Регистрация событий , сравнение программной трассировки с журналами событий

Ссылки

1. "Управление событиями безопасности". Архивировано из оригинала 2014-10-19 . Получено 2013-07-17 .СИЭМ
2. «Подготовка к управлению событиями безопасности» (PDF) . 360 Information Security Ltd. Архивировано из оригинала (PDF) 22 июня 2023 г.
3. Swift, David (26 декабря 2006 г.). "Практическое применение SIM/SEM/SIEM, автоматическая идентификация угроз" (PDF) . Институт SANS . Получено 14 июня 2024 г. .
4. Келли, Диана (март 2004 г.). «Отчет: Конвергенция управления безопасностью через SIM (управление информацией о безопасности) — перспектива требований». Журнал управления сетями и системами . 12 (1): 137–144. doi :10.1023/B:JONS.0000015702.05980.d2. ISSN  1064-7570. S2CID  1204926.
5. Руководство по управлению журналами компьютерной безопасности. Архивировано 2006-10-02 на Wayback Machine
6. "SIEM: A Market Snapshot". Журнал доктора Добба. 5 февраля 2007 г.
7. Будущее SIEM - рынок начнет расходиться
8. "Novell покупает e-Security", 2006, ZDNet

Внешние ссылки

• SIEM-аналитика
• Список лучших инструментов SIEM и Event Log Manager