Аббревиатура SIEM (SIEM, а не SEIM - часто произносится как "сим") означает управление информацией и событиями безопасности, тип решения для кибербезопасности, которое собирает и объединяет данные из различных частей вашей ИТ-среды с целью мониторинга безопасности.
SIEM относятся к централизованным инструментам управления журналами, которые интегрируются с различными приложениями, системами, серверами и т.д. для получения данных от каждой службы.
SIEM используются для анализа событий безопасности в режиме реального времени, чтобы помочь в расследовании, раннем обнаружении угроз и реагировании на инциденты. Они также поддерживают использование в соответствии с нормативными требованиями, поскольку многие нормативные документы, регулирующие обработку данных, требуют, чтобы организации хранили журналы аудита. Однако не все SIEM построены одинаково. Многие SIEM не могут выполнять анализ, обнаружение и реагирование на угрозы без тонкой настройки и постоянного управления правилами обнаружения.
Как настроить SIEM?
Инструменты SIEM могут быть настроены различными способами - с помощью программного обеспечения, установленного на локальном сервере, аппаратного устройства, виртуального устройства или облачного сервиса. Хотя многие SIEM могут поставляться с уже готовой конфигурацией с определенным количеством оповещений, панелей мониторинга и отчетов, их все равно необходимо настраивать. SIEM необходимо обучить тому, что именно искать в любой новой среде.
Это делает ее очень индивидуальной частью архитектуры безопасности, которая требует значительного количества времени для отслеживания изменений в сети, нового программного обеспечения, новых угроз или нового поведения злоумышленников, чтобы SIEM обновлялась и настраивалась соответствующим образом.
SIEM, которая может быть широко интегрирована в различные платформы, продукты различных производителей и как локальные, так и облачные приложения, сервисы и инфраструктуру, позволит вам получить самый широкий охват мониторинга безопасности. Это означает отсутствие пробелов в видимости, больший объем данных для корреляции и анализа с целью обнаружения угроз, а также более быстрое время обнаружения.
Почему именно SIEM?
Хотя все операционные системы имеют хранилища журналов, они хранятся на хосте, откуда они были получены. В случае взлома, журналы могут оказаться незащищенными, поскольку вы больше не можете доверять хосту.
Решением этой проблемы является сбор и агрегация журналов в центральном месте, отдельно от хоста, на котором они были созданы. В результате, в случае компрометации, аппаратного сбоя или внутренней угрозы, ваши журналы останутся неповрежденными и в защищенном от несанкционированного доступа состоянии.
При правильной настройке и надлежащем обслуживании SIEM также предоставляет ценные возможности обнаружения угроз, о которых мы подробнее поговорим ниже.
Каковы преимущества SIEM?
Использование решения SIEM имеет целый ряд преимуществ:
- Расширенная видимость - Агрегирование всех ваших журналов по локальным и облачным приложениям, серверам, базам данных и т.д. для получения более глубокой информации о пользователях, конечных точках, трафике, активности и т.д. позволяет вам поддерживать контроль в сети и за периметром по мере расширения компании.
- Нормализация данных - Все различные технологии в вашей среде генерируют тонну данных в различных форматах. Хотя не каждое SIEM-решение будет собирать, разбирать и нормализовать данные автоматически, многие из них предлагают постоянный разбор для поддержки нескольких типов данных. Это позволяет легко сопоставлять данные для анализа и расследования угроз.
- Корреляция журналов - в дополнение к сбору журналов SIEM может сопоставлять их для анализа. Это позволяет создавать предупреждения, тенденции и отчеты по безопасности. Журналы, которые охватывают несколько узлов, предоставляют гораздо более богатый контекст, помогающий вывести события безопасности. Организация может соотнести такие события, как подозрительная активность DNS, необычная активность портов на маршрутизаторах и брандмауэрах, конечные точки или антивирусные угрозы и т.д., чтобы обнаружить потенциальную атаку.
- Обнаружение угроз - корреляция и анализ приводят к обнаружению угроз и оповещению. Если SIEM правильно сконфигурирована и настроена под вашу среду, вы можете обнаружить индикаторы компрометации или угрозы, которые могут привести к взлому. Некоторые SIEM поставляются с предварительно настроенным набором правил оповещения по умолчанию. Важно найти правильный баланс между ложными срабатываниями и ложными отрицаниями, чтобы снизить уровень шума от оповещений, который влияет на вашу команду, и чтобы они знали, когда принимать меры по исправлению ситуации.
- Помощь в обеспечении соответствия нормативным требованиям - Многие нормативные требования, действующие в различных отраслях, требуют от организаций собирать и хранить журналы аудита за определенный период времени, обнаруживать и реагировать на угрозы, а также регулярно готовить отчеты по безопасности для аудиторов.
Какова история SIEM?
Решения SIEM существуют уже несколько десятилетий, с разной степенью функциональности в зависимости от выбранного вами продукта или поставщика.
Аналитики Gartner Марк Николетт и Амрит Уильямс ввели термин SIEM в 2005 году. SIEM первого поколения в основном фокусировались на традиционном сборе журналов. Следующее поколение платформ SIEM сосредоточилось на событиях безопасности, основанных на триггерах от таких инструментов, как антивирусы, брандмауэры и системы обнаружения вторжений (IDS).
Что такое облачный SIEM? Или современный SIEM?
Облачная SIEM позволяет ИТ-командам осуществлять мониторинг и управление угрозами в гибридных средах - как в локальной инфраструктуре, так и в облаке. Облачные SIEM иногда называют современными SIEM, чтобы отличить их от традиционных SIEM.
Современные SIEM также автоматизируют обнаружение угроз, а также могут предоставлять клиентам ресурсы для реагирования на угрозы, включая руководства по обеспечению безопасности, которые помогут ИТ-командам устранить последствия (не требующие специальных знаний в области безопасности). Современная SIEM может сравнивать базовый стандарт нормального рабочего поведения с аномальной активностью, чтобы быстро определить и предупредить вас о возможных внутренних или внешних атаках.
Каковы преимущества облачной SIEM по сравнению с локальной SIEM?
Облачная SIEM позволяет реализовать множество преимуществ:
- Ускоренное время обеспечения безопасности - Как и другие облачные приложения, облачный SIEM может быть развернут за считанные часы, а не за недели или месяцы, как традиционные SIEM-платформы, требующие внедрения на месте. Для этого часто требуется много ресурсов, людей и времени. Облачные SIEM можно запустить, подключить к вашим сервисам и сразу же начать собирать и анализировать данные для немедленного обнаружения.
- Более низкая совокупная стоимость владения - Некоторые SIEM требуют больших первоначальных капиталовложений для внедрения, обучения сотрудников работе с системой и дополнительных лицензионных платежей в зависимости от модели ценообразования. В одних случаях цена зависит от объема принимаемых данных, в других - от количества пользователей.
- Улучшенное время обнаружения - если облачный SIEM поставляется с предварительно написанными правилами обнаружения, которые могут быть развернуты вместе с платформой, вы можете улучшить время выявления распространенных атак за счет отсутствия ресурсов, необходимых для разработки собственных средств обнаружения безопасности. Чем быстрее время обнаружения и локализации атак, тем меньше общее влияние события безопасности на вашу организацию.
- Консолидация возможностей безопасности - облачный SIEM может объединить сбор, анализ, разбор, обнаружение и реагирование журналов в единую платформу с несколькими централизованными панелями управления, что избавит ваши небольшие команды от необходимости переключаться между изолированными и разрозненными решениями для мониторинга каждого инструмента в вашей ИТ-среде.
- Целостность данных остается нетронутой - облачный SIEM позволяет вам сохранять криминалистический след необработанных журналов, чтобы убедиться, что данные не были подделаны злоумышленниками, пытающимися удалить или изменить доказательства своей деятельности в вашей среде. Местная SIEM может позволить злоумышленнику удалить журнал аудита, связанный с его атакой, если у него есть пароль и он может получить доступ к системе.
Что нужно регистрировать в SIEM?
Объем того, что нужно регистрировать в SIEM, может варьироваться в зависимости от вашей точки зрения - вот две наиболее распространенные:
Все
Эта точка зрения основана на том, что то, что требуется, неизвестно до тех пор, пока это не понадобится; поэтому принято хранить все, искать и фильтровать позже. Хотя это обеспечивает доступ ко всем возможным данным, которые могут потребоваться, это также создает больше проблем, когда речь идет о хранении, индексировании и, в некоторых случаях, передаче данных. Если используется коммерческое решение, лицензирование также может зависеть от объема (больший объем равен большей стоимости).
Только то, что вам нужно
В этом сценарии технологические ресурсы расходуются гораздо меньше, но есть риск, что что-то будет упущено. При создании новой системы сбора и корреляции журналов лучше всего начинать с того, что необходимо, а затем наращивать это.
В действительности, ответ на вопрос о том, что регистрировать, вероятно, определяется в основном затратами. Если это так, то лучше всего отдать предпочтение более активному потреблению журналов из систем с высокой ценностью, высоким риском и систем, обращенных к внешним сетям.
Рекомендуется начать с систем, которые уже передают журналы безопасности, таких как IPS/IDS (системы предотвращения и обнаружения вторжений) и системы защиты конечных точек. После определения и соблюдения процессов и процедур можно добавить другие журналы, такие как Windows, DNS, honeypots, приложения и базы данных для более глубокого изучения инфраструктуры.
Что такое сценарии использования SIEM?
SIEM может помочь усовершенствовать существующие операционные центры безопасности (SOC) или работать в качестве дополнения к небольшой команде службы безопасности или ИТ-отдела, которая занимается обнаружением угроз и реагированием на них в своей компании.
Проблема в том, что многие SIEM-решения не обеспечивают реальных обнаружений угроз безопасности и не представляют ценности из коробки. Они могут потребовать специальных ресурсов и усилий, чтобы идти в ногу с развивающимися угрозами.
Если платформа SIEM настроена или построена правильно, она может автоматизировать обнаружение угроз, чтобы обеспечить преимущества безопасности для организации, включая:
- Обнаружение и контроль вредоносного ПО, от конечных точек до периметра.
- защита границ, включая брандмауэры, маршрутизаторы, VPN и другие сетевые ресурсы
- контроль доступа, включая аутентификацию, авторизацию и учет.
- Мониторинг политики приемлемого использования
- Защита приложений, выходящая за пределы периметра
- Требования к соответствию и данные аудита, в том числе для управления рисками и отчетности
- Защита сети и узлов, например, оповещение IDS/IPS
- Целостность работы сети и системных ресурсов
Каковы распространенные предупреждения SIEM (или правила SIEM)?
Переключение с общего на частное в отдельных соединениях
Это предупреждение указывает на то, что злоумышленник пытается перечислить службы, которые открыты для доступа в интернет. Поскольку это совпадает только при разрешенном трафике, это означает, что либо брандмауэр настроен на разрешение всего трафика, либо злоумышленник нашел службы, которые разрешены через брандмауэр и могут быть использованы в дальнейшем.
Аномальный доступ к Honeypot
Это указывает на наличие конечной точки, которая активно пытается получить информацию о медовой точке и, скорее всего, не знает о ее природе. При обнаружении honeypot, если только узел не является известным агентом, следует немедленно принять меры.
2FA (двухфакторная) аутентификация за пределами страны.
Мы часто используем списки клиентов, чтобы сократить количество ложных срабатываний, вызванных удаленными работниками. Независимо от того, обнаружили ли мы пользователя, неожиданно оказавшегося за пределами страны, или вредоносного пользователя, получившего доступ к имени пользователя, этот результат оказался очень полезным и очень точным.
Потенциально вредоносный исполняемый файл
В этом вопросе мы в значительной степени опираемся на защиту конечных точек. Нашей целью было преодолеть разрыв между как можно большим количеством решений для конечных точек нового поколения. Мы предупреждаем о сигналах высокой достоверности от большинства этих решений для конечных точек с помощью этого единственного обнаружения.
Это лишь несколько примеров наиболее распространенных предупреждений SIEM.
Существует множество типов оповещений, которые можно легко генерировать с помощью анализа журналов и подключения к существующему техническому/защитному стеку - включая приложения, системы аутентификации (провайдеры управления идентификацией и доступом), базы данных, решения для защиты конечных точек, системы обнаружения и предотвращения вторжений, операционные системы, а также прокси-серверы и брандмауэры.
В чем разница между SIEM и управлением журналами?
Журналы содержат записи событий, возникающих в результате деятельности операционной системы, приложения или другой технологии. Они представляют собой исторический журнал аудита, полезный для криминалистики, расследований и соблюдения нормативных требований. Системы управления журналами хранят журналы с различных конечных точек и систем в одной системе, обеспечивая доступ к ним ИТ-команд и аналитиков.
SIEM также собирают и нормализуют журналы из различных инструментов в вашей ИТ-среде, централизуя их в одном месте. Их цель - помочь вам отслеживать и анализировать журналы на предмет аномальной активности или вредоносных атак. После обнаружения они могут предупредить вас об индикаторах компрометации или различных стадиях атаки, чтобы вы могли быстро отреагировать на них для локализации или устранения последствий.
Как внедрить SIEM?
Если вы используете облачную SIEM, развертывание может занять считанные часы. Если же вы используете более традиционную SIEM, вам могут потребоваться недели или месяцы, чтобы начать ее эксплуатацию и получить от нее максимальную пользу для безопасности.
Перед внедрением вы должны понимать, что должно и чего не должно происходить в вашей сети, а также какие проблемы должен решать SIEM.
- Определите границы охвата - на начальном этапе это может совпадать с требованиями соответствия.
- Определите сценарии угроз и сценарии использования - привяжите сценарии использования к различным уровням общей атаки, чтобы помочь обнаружить, предупредить и противодействовать каждому уровню цепи поражения.
- Определите приоритет угрозы - пройдитесь по каждой идентифицированной угрозе, чтобы определить приоритеты, которые имеют смысл для конкретной сети, в которой она находится.
- Выполните проверку концепции - убедитесь, что активные правила и оповещения вашего SIEM работают, помогая вам укрепить внутреннюю безопасность.
- Создайте документ о полномочиях - этот документ определит, где хранятся ваши журналы и как долго вы храните каждый журнал (период хранения).
Что такое SIEM и SOAR?
Решения SOAR (операции безопасности, автоматизация и реагирование) помогают аналитикам операционного центра безопасности (SOC) повысить эффективность работы за счет автоматизации расстановки приоритетов и обработки событий/инцидентов безопасности. Решения SOAR обеспечивают управление угрозами, реагирование на инциденты и автоматизацию операций безопасности. Это означает, что они могут помочь командам устранить уязвимости, скоординировать ответ на инцидент безопасности, организовать рабочие процессы, выполнение политик и отчетность.
Основное внимание SOAR уделяет реагированию на угрозы, то есть тому, что происходит после идентификации и оповещения об обнаруженной угрозе. Они позволяют организациям создавать сценарии действий, которые ведут их через шаги по устранению последствий, чтобы уменьшить стресс и ошибки, которые могут быть допущены во время реального сценария реагирования.
Хотя решения SOAR развивались как способ надстройки над платформами SIEM, которые традиционно не имели таких возможностей, на рынке появились более современные облачные решения SIEM, призванные консолидировать и упростить общий рабочий процесс операций безопасности. С помощью этих интегрированных решений вы можете автоматизировать обнаружение и реагирование, чтобы уменьшить количество ручного вмешательства, необходимого для сопоставления, расследования и устранения последствий.