Правильно настроенная SIEM-система (система управления инцидентами и событиями безопасности) не только фиксирует системные события в единой базе с возможностью поиска, но и повышает ценность этой информации за счет категорирования, приоритезации и корреляции событий с целью оптимизации процесса анализа для обеспечения мгновенной видимости и реагирования. Эта видимость может быть дополнительно улучшена в зрелой SIEM-системе за счет автоматических оповещений, отправляемых группам реагирования, или даже автоматических действий, которые необходимо предпринять в качестве первоначального ответа.
Выбор правильного продукта SIEM не только поможет в мониторинге критически важных для бизнеса систем и сервисов, но также предоставит информацию для систем аутентификации, поможет обнаружить угрозы и предоставит контекст для платформ SOAR.
Как работает SIEM-система?
Большинство современных вычислительных систем (сетевые устройства, операционные системы, приложения, контейнеры, облачные сервисы и т. д.) имеют журналы событий, содержащие информацию разного уровня критичности. Эти журналы событий полезны для мониторинга безопасности, производительности приложений и устранения неполадок.
Эти журналы событий и другие системные данные необходимо экспортировать из систем на платформу SIEM. Этого можно добиться с помощью SIEM-агентов — программ, работающих в различных системах, которые анализируют и экспортируют данные в SIEM. В качестве альтернативы многие SIEM-системы предлагают плагины, обеспечивающие прямую интеграцию с распространенными решениями.
Какой вариант вы выберете, будет зависеть от топологии и пропускной способности вашей сети, а также от типов систем, из которых вам необходимо получать журналы. Объем передаваемых данных и вычислительная мощность, необходимая в конечных точках, могут ухудшить производительность ваших систем или сети. Агенты SIEM на периферии могут частично уменьшить эту нагрузку, автоматически анализируя некоторые данные еще до их отправки по сети. В любом случае вам необходимо убедиться, что вся ваша инфраструктура подготовлена для внедрения SIEM-системы, как локально, так и в облаке.
Объем данных, генерируемых SIEM, огромен. Основная ценность SIEM заключается в том, что они применяют анализ данных, чтобы гарантировать, что в ваш центр управления безопасностью доставляется только полезная информация. Эти платформы используют механизмы корреляции, чтобы попытаться соединить разрозненные записи журнала или другие сигналы, которые сами по себе не кажутся тревожными, но в совокупности могут означать наличие проблем. Эти механизмы в сочетании со специальными методами искусственного интеллекта и машинного обучения, используемыми для обнаружения атак, — это то, что используют различные поставщики SIEM, чтобы дифференцировать свои предложения друг от друга.
SIEM-системы также получают информацию о новых формах вредоносного ПО и новейших продвинутых угрозах из каналов анализа угроз. Эти данные позволяют SIEM выявлять известные шаблоны, указывающие на вредоносное поведение. Некоторые из этих каналов поддерживаются поставщиками SIEM, другие имеют открытый исходный код или поддерживаются группами безопасности крупных организаций.
Многие компании изначально использовали SIEM из-за их способности обеспечивать соблюдение нормативных требований. Некоторые SIEM-платформы также включают в себя возможности SOAR (Security Orchestration, Automation and Response), которые могут частично или полностью автоматизировать реагирование на обнаруженные ими угрозы.
Облачное или локальное решение?
Большинство современных SIEM-решений перешли на модель SaaS, чтобы ускорить итерацию и добавление функций. Безграничные возможности облака также облегчают поставщикам интеграцию возможностей машинного обучения, которым требуется большое количество справочных данных, прежде чем они смогут выявить аномальное поведение. Все согласны с тем, что SaaS сделал SIEM лучше.
Тем не менее, некоторым предприятиям в соответствии с политикой безопасности необходимо хранить данные SIEM в локальной инфраструктуре. Некоторые решения по-прежнему позволяют полностью развертывать SIEM локально, включая некоторые надежные решения с открытым исходным кодом.
Аналитические возможности
SIEM-система настолько хороша, насколько хороша информация, которую вы можете от нее получить. Сбор всех данных журналов и событий из вашей инфраструктуры не имеет никакой ценности, если он не поможет вам выявить проблемы и принять обоснованные решения. Сегодня в большинстве случаев аналитические возможности SIEM-систем включают машинное обучение, помогающее выявлять аномальное поведение в режиме реального времени и предоставляющее более точную систему раннего предупреждения, которая предлагает вам более внимательно проанализировать потенциальные атаки или даже новые ошибки приложений или сети.
Ваши потребности в аналитике SIEM будут зависеть от множества факторов. Какие системы вы отслеживаете? Какими навыками вы обладаете для создания информационных панелей и отчетов или проведения расследований? Есть ли у вас уже вложенные средства в аналитическую платформу, которую вы хотите использовать? Каждый из этих вопросов поможет сузить выбор вашей SIEM-системы.
Если у вас нет существующих решений, с которыми надо интегрироваться или недостаточно навыков, лучше всего использовать SIEM с обширной библиотекой информационных панелей или управляемыми сервисами, которые помогут вам создать то, что лучше всего подходит для вас.
Сбор журналов
Еще одно практическое соображение касается сбора журналов или того, как ваши данные используются вашим SIEM. Часто программные агенты извлекают данные журналов и событий с серверов и рабочих станций, в то время как сетевое оборудование и облачные приложения могут отправлять данные о событиях непосредственно в SIEM через интеграцию или API.
Один из основных вопросов заключается в том, может ли SIEM правильно идентифицировать ключевую информацию о ваших событиях. В идеале ваша SIEM должна быть достаточно зрелой, чтобы обеспечивать высокий уровень точности при анализе данных о событиях из большинства распространенных систем безопасности и приложений без необходимости дополнительной настройки. Она должна обеспечивать выделение ключевых деталей событий, таких как даты, уровни событий, затронутые системы и пользователи. Вам также следует поискать SIEM, который обеспечивает гибкость в настройке способа обработки данных о событиях, чтобы вы могли исправить ситуации, в которых записи вашего журнала не анализируются должным образом.
Настройка оповещений
Основная причина использования современных SIEM — это сложный мониторинг ваших систем в реальном времени. Но это не имеет ценности, если человек не следит за предупреждениями и уведомлениями (в форме электронных писем, текстовых сообщений или push-уведомлений на мобильные устройства).
Проблема с оповещениями и уведомлениями, как знает любой пользователь электронной почты, заключается в поддержании управляемого объема этих сообщений. Если пользователи получают слишком много уведомлений, они либо отключают их, либо игнорируют. Если их слишком мало, то можно пропустить критические угрозы. Обеспечьте гибкость настройки оповещений, включая пороговые значения (например, система не работала в течение 15 минут, 20 ошибок в минуту в течение 10 минут и т. д.) и различные методы оповещения (SMS, электронная почта, push-уведомления и вебхуки).
Ролевой доступ
Для крупных предприятий с разнообразными бизнес-сегментами, командами или рассредоточенным географическим местоположением ролевой доступ является обязательным. Предоставление администраторам, разработчикам и аналитикам доступа только к тем событиям журнала, которые им нужны, не только вопрос удобства, но и требование принципа минимальных привилегий, а в некоторых отраслях и нормативных требований.
События, фиксируемые SIEM, часто предоставляют подробную информацию о функциях приложений и служб или даже о том, как настроены устройства в вашей сети. Получение доступа к этим данным принесет пользу злоумышленникам, стремящимся проникнуть в ваши системы.
Соответствие нормативным требованиям
Многие отраслевые нормативы, такие как HIPAA или STIG (руководства по технической реализации безопасности) Министерства обороны США, и это лишь два из них, не только требуют использования SIEM или аналогичной утилиты, но также определяют, как должно быть настроено данное решение. Подробно изучите соответствующие требования для вашей организации. Следует обратить внимание на периоды хранения данных, требования к шифрованию (как для данных в пути, так и для данных при хранении), электронные подписи (чтобы гарантировать, что данные о событиях не будут изменены каким-либо образом) и обязательства по отчетности. Большинство областей регулирования соответствия включают элемент аудита или отчетности, поэтому убедитесь, что ваша SIEM-система способна выдавать необходимые отчеты.
Корреляция событий
Возможно, главная причина внедрения SIEM — это возможность сопоставлять журналы из разрозненных (и/или интегрированных) систем в единое представление. Например, одно приложение в вашей сети может состоять из различных компонентов, таких как база данных, сервер приложений и само приложение. SIEM должен иметь возможность получать события журнала от каждого из этих компонентов, даже если они распределены по нескольким хостам, и сопоставлять эти события в единый поток. Это позволяет вам увидеть, как события внутри одного компонента приводят к событиям внутри другого компонента.
Тот же принцип применим и к корпоративной сети. Во многих случаях коррелированные журналы событий могут использоваться для выявления подозрительного повышения привилегий или для отслеживания атаки, затрагивающей различные сегменты сети. Это становится все более актуальным по мере того, как организации переходят в облако или внедряют контейнерную инфраструктуру, такую как Kubernetes.
SIEM-экосистемы
SIEM зависит от соединения с другими системами различных поставщиков. Конечно, существуют стандарты обмена данными: от текстовых файлов журналов до таких протоколов, как SNMP или Syslog, но если SIEM способна интегрироваться напрямую (или через плагины) с другими системами, это значительно упрощает задачу. SIEM с надежной, зрелой экосистемой позволяет улучшить такие функции, как сбор событий, анализ, оповещение и автоматизация.
Помимо системных усовершенствований, которые будут реализованы благодаря экосистеме SIEM, следует учитывать и другие преимущества для бизнеса. Например, зрелая SIEM часто формирует спрос на обучение и даже помогает оптимизировать процесс найма работников.
Взаимодействие через API
SIEM-экосистема, предлагающая расширяемость, — это здорово, но она не сможет удовлетворить все разнообразные потребности бизнеса. Если ваш бизнес связан с разработкой программного обеспечения, и особенно если ваша компания вложила время и усилия в DevOps, возможность программного взаимодействия с вашим SIEM может иметь огромное значение. Вместо того, чтобы тратить время на разработку возможностей ведения журнала в целях безопасности или отладки, SIEM может принимать, сопоставлять и анализировать данные о событиях из вашего пользовательского кода.
Поддержка искусственного интеллекта
Поставщики SIEM не стесняются реализовывать функции на основе искусственного интеллекта. Как правило, эти функции сосредоточены на анализе и оповещениях, но это означает гораздо больше, чем просто отчеты. Системы SIEM с поддержкой искусственного интеллекта могут интегрироваться с огромными потоками облачных данных от различных поставщиков и источников информации об угрозах, знания, которые можно использовать для создания глубокого контекста в данных о ваших событиях. Этот контекст важен для сортировки событий, выявления цепочек атак и разработки плана реагирования на инциденты. Использование ИИ может быть привязано к облаку. Локальные SIEM могут удовлетворить ваши потребности с помощью ИИ, но могут потребовать передачи этих рабочих нагрузок облачным сервисам.
Стоимость SIEM
SIEM — это не та область, на которой вы захотите чрезмерно экономить, чтобы в конечном итоге стать жертвой атаки, которую можно было предотвратить. Платформы SIEM, предлагаемые в виде облачного сервиса, почти всегда предоставляются по подписке. Ваш счет может включать плату за использование, например объем данных событий или количество отслеживаемых конечных точек. Существуют также авторитетные платформы SIEM, доступные бесплатно по лицензии с открытым исходным кодом, но помните о скрытых расходах, таких как поддержка, и убедитесь, что решение отвечает всем потребностям вашего бизнеса. После того, как вы сузили список SIEM-кандидатов, оставив только те, которые обладают необходимыми вам функциями, подробно сравните плату за подписку и эксплуатацию.