SIEM (Security Information and Event Management, она же Система Управления Событиями Безопасности) – система, разработанная для сбора, обработки и анализа данных, связанных с безопасностью. Она, по своей сути, объединяет функционал двух концепций:
- SEM (Security Event Management) – направлений, ориентированных на мониторинг и обеспечивающих мгновенное реагирование на угрозы.
- SIM (Security Information Management) – направлений, специализирующихся на длительном хранении и глубоком анализе данных, поступающих из различных компонентов инфраструктуры.
Как устроена система мониторинга SIEM?
SIEM-система функционирует по принципу сбора, анализа и реагирования. Она агрегирует данные из:
- рабочих станций (например, из логов Windows или Linux);
- сетевых устройств (маршрутизаторов, коммутаторов);
- серверов приложений, баз данных;
- систем по типу IDS, IPS, DLP и т.д.
После сбора информации система сопоставляет события с заданными правилами, выявляет подозрительную активность. На выходе она формирует инциденты.
Далее вся собранная информация обогащается, стандартизируется и с помощью механизмов корреляции анализируется. Если по итогам находятся аномалии или известные индикаторы компрометации, формируется оповещение.
Современные SIEM-решения, кстати, также могут интегрироваться с системами анализа трафика (NTA), расширенного обнаружения угроз (XDR) и даже автоматически реагировать на атаки, минимизируя (если не сводя к нулю) человеческий фактор в рутинных операциях.
Гипотетический сценарий срабатывания SIEM
Допустим, пользователь под логином useruser_test пытается авторизоваться в системе с IP-адреса 209.176.45.13, но после, скажем, пяти неуспешных попыток учетная запись блокируется. Временно. Однако параллельно SIEM также обнаруживает, что с этого же самого IP поступают подозрительные HTTP-запросы на домен из черного списка.
И если в SIEM настроено правило, трактующее множественные неудачные логины в сочетании с обращениями к доменам из блэклиста, система автоматически определит инцидент как критический, интерпретируя произошедшее как потенциальную атаку методом брутфорса и с загрузкой вредоносного ПО. Последующая отправка уведомления на панель мониторинга и оповещение специалистов по безопасности – как закономерный результат.
А вот так может выглядеть пример записи в логах:
Источник: 209.176.45.13
Пользователь: useruser_test
Событие: AUTH_FAILED (X5)
URL: (здесь полный адрес)
Хэш файла: 7B4E8A2F0D5C
Нужны ли SIEM-системы для бизнеса?
Да, нужны. И причин на то много. Ниже – самые важные из них.
- SIEM – это единый хаб управления безопасностью
SIEM-системы обеспечивают централизованное управление безопасностью: они объединяют данные из различных источников в единый кластер, что позволяет оперативно выявлять угрозы, не распыляясь между кучей разрозненных инструментов. Собственно, благодаря этому вероятность пропустить критически важный инцидент сводится к минимуму.
- SIEM – это про глубокую аналитику и выявление скрытых угроз
Еще одно преимущество SIEM в способности обнаруживать сложные атаки, которые маскируются под легитимную активность: система анализирует данные из разных источников, выявляя взаимосвязи, которые вполне могли бы остаться незамеченными ручной проверке.
- SIEM-системы оптимизируют ресурсы и помогают в риск-менеджменте
SIEM также оптимизирует использование ресурсов. Ручной мониторинг безопасности требует разительно больших трудозатрат, тогда как система берет на себя обработку всех рутинных событий, высвобождая кадры. А их затем можно (и даже – нужно) перераспределять на более специфические ниши, где без участия человека обойтись уже никак не выйдет.
Какой бизнес больше всего выигрывает от имплементации и применения SIEM?
Почти любой, раз уж на то пошло. Это универсальное решение. Но все-таки больше пользы оно приносит в чувствительных секторах. Например, в банковской сфере. Там SIEM помогает быстро выявлять мошеннические транзакции. А в, скажем, промышленности система блокирует атаки на критическую инфраструктуру, обнаруживая вторжения в SCADA-системы (программные пакеты для логического управления) до того, как те нанесут ущерб.
Анализ SIEM-систем: преимущества и ограничения
Сфера SIEM-решений продолжает активно развиваться, предлагая рынку множество вариантов для мониторинга и анализа событий информационной безопасности. Несмотря на различия в реализации, все подобные системы обладают схожими сильными и слабыми сторонами, обусловленными их ключевыми функциями.
Сильные стороны SIEM
Самое очевидное, пожалуй, – это централизованный сбор и обработка данных, что избавляет от необходимости вручную анализировать разрозненные источники.
Дальше – встроенные механизмы корреляции, способные выявлять взаимосвязи между событиями, которые человек сам по себе может и не заметить. Например, из-за большого объема информации.
Еще один момент – способность систем оперативно обрабатывать огромные массивы данных, поступающих из различных источников.
Потенциальные сложности и ограничения
Самое сложное с SIEM-системами – создание корреляционных правил. Оно так или иначе потребует глубоких знаний как о структуре компании, так и о возможных векторах атак.
Ну и, конечно, консолидация в единой системе накладывает свои повышенные требования к отказоустойчивости: организация должна обеспечить бесперебойную работу всех компонентов, а иначе особого практического смысла во внедрении таких решений наблюдаться не будет.
Как выбрать SIEM-систему – обзор решений
Не станем оценивать конкретные решения, а вместо этого рассмотрим их ключевые особенности – это и рациональнее, и продуктивнее.
Условно все SIEM-системы можно разделить на две основные категории: коммерческие и с открытым исходным кодом. Первые требуют куда больше финансовых вложений на начальном этапе, однако их внедрение, как правило, происходит быстрее и проще благодаря встроенным «коннекторам» – модулям для интеграции.
В случае же с опенсорс-решениями коннекторы обычно приходится разрабатывать самостоятельно. Конечно, можно попытаться найти готовые варианты от разработчиков-энтузиастов, но только вот их качество остается под вопросом. А еще процесс адаптации, тестирования и доработки. Все это также потребует значительных затрат. Как временных, так и трудовых.
Но на начальных этапах внедрение систем с открытым кодом все-таки значительно дешевле.
Рекомендации по внедрению: с чего начать и как не перегрузить систему
Начать в любом случае придется издалека – с выбора самой SIEM-системы. Критериев много, но в первую очередь стоит оценить, хватает ли у того или иного решения встроенных коннекторов для оборудования и ПО.
Также полезно узнать, насколько сложно будет разработать кастомные коннекторы – лишними в будущем они точно не окажутся. Не менее важны вопросы поддержки: скорость реакции вендора и наличие дополнительного функционала.
В целом, с готовыми решениями все более или менее понятно. Вы платите, а вам помогают на всех этапах.
А вот внедрить SIEM-систему самостоятельно куда сложнее: в таком случае работа начнется с разработки архитектуры, подбора модулей и выделения ресурсов. Параллельно нужно проверить готовность инфраструктуры – настройку смежных систем и межсетевых экранов.
Следующий этап – разработка технической документации. В ней должны быть инструкции для операторов и регламенты работы. После этого SIEM интегрируется с почтой, системами мониторинга и резервного копирования. Затем настраивается сбор событий. Ручная нормализация – туда же. Крайне важно оптимизировать правила, чтобы минимизировать ложные срабатывания, и адаптировать их конкретно под свою инфраструктуру.
Но это все касается только первичной настройки и запуска. На самом деле SIEM требует постоянного внимания. Так что следить за дисковым пространством, архивацией логов, кластеризацией и бэкапами – не просто желательно, а абсолютно необходимо.