Ежегодно организации покупают все новые средства информационной безопасности. Мобильность данных, увеличение количества пользователей и приложений, расширение границ корпоративных сетей приводят к появлению большого числа разнообразных средств защиты информации. Это межсетевые экраны, антивирусы, комплексные UTM устройства, системы обнаружения и предотвращения вторжений, DLP и многие другие. Все эти решения в процессе своей работы создают значительное количество полезной информации, которую помещают в файлы логов и журналы событий.

Одна из первых задач администратора безопасности отделить «зерна от плевел» и определить, какие атаки требуют немедленной реакции, какие подождут, а какие можно спокойно проигнорировать.

Все бы ничего, если бы все сообщения, сгенерированные средствами защиты, соответствовали реальным атакам. Однако действительность такова, что атак, которые действительно могут нанести ущерб ресурсам корпоративной сети несоизмеримо меньше, чем событий, фиксируемых защитными механизмами.

Для решения указанных задач применяются устройства типа Security Information Event Management (SIEM), которые позволяют собирать и анализировать информацию от различных источников данных, а также оповещать сотрудников безопасности об инцидентах на основе предустановленных или пользовательских правил. Основной задачей SIEM решений является мониторинг в реальном времени, автоматизированный аудит и реагирование на инциденты информационной безопасности.

Возможности SIEM-решений

  • Централизованное безопасное хранение данных. Вся информация из журналов событий и лог-файлов, а также статистика по сетевому трафику хранится в зашифрованном и подписанном виде либо на самом SIEM устройстве, либо на внешнем хранилище в архивированном виде.
  • Объединение данных. SIEM решение позволяет объединять данные от различных источников, в том числе неоднородного формата, и хранить их в едином для просмотра виде.
  • Корреляция событий. Основная задача продуктов по управлению инцидентами безопасности – это автоматическое определение взаимосвязей между данными из разных источников.
  • Оповещение об инцидентах. Другая важнейшая задача таких продуктов – оповещение сотрудников служб безопасности о возникновении потенциальных нарушений или инцидентов в соответствии с заданными приоритетами.
  • Оценка соответствия. SIEM решения позволяют проверять соответствие требованиям различных стандартов и регламентов по безопасности по многим техническим параметрам, например «пересылка пароля в открытом виде» или «блокирование доступа при неправильно введенном пароле».

Для каждого отдельного случая можно подобрать оптимальную систему анализа и корреляции событий из предлагаемого нами спектра продуктов:

  • ПАКАБ;
  • GFI Events Manager;
  • ArcSight ESM;
  • MaxPatrol.