SIEM — система управления информационной безопасностью

Возможности SIEM

Внедрив SIEM, вы сможете быстро реагировать на угрозы информационной безопасности и принимать необходимые меры для предотвращения инцидентов. Решение позволяет экономить время на сборе и анализе данных — логи, журналы действий и оповещения от разных программ и устройств, объединяя все эти действия в одном инструменте.

SIEM-решения собирают и систематизируют данные из источников:

• системы контроля и управления доступом;
• DLP-системы;
• IDS-системы и IPS-системы;
• антивирусные приложения;
• журналы событий серверов и рабочих станций;
• межсетевые экраны;
• сетевое активное оборудование;
• сканеры уязвимостей;
• системы инвентаризации и управления активами;
• системы веб-фильтрации.

Задачи SIEM

SIEM— это компонент защиты ИТ-инфраструктуры, который собирает и систематизирует сведения, необходимые для обеспечения информационной безопасности. Может предоставлять рекомендации по обеспечению защиты информации, в зависимости от функционала.

С помощью SIEM-системы могут решаться задачи:

• Мониторинг событий в ИТ-инфраструктуре и их анализ. События могут быть любыми. Например, изменение активности пользователя, отправка почты с корпоративного компьютера сомнительному адресату, изменение конфигурации оборудования или программного обеспечения, сетевые атаки по внешнему или внутреннему периметру, существенное изменение объёмов трафика.
• Расследование инцидентов в сфере информационной безопасности. В системе управления информационной безопасностью сосредотачиваются данные от множества компонентов ИТ-инфраструктуры. Благодаря этому сбор доказательной базы упрощается.
• Анализ инфраструктуры на предмет соответствия определённым стандартам и требованиям. При помощи этих данных её легче поддерживать в требуемом состоянии.
• Подготовка отчётов, в том числе для принятия решений по обеспечению защиты информационной безопасности и для контролирующих органов.

Принципы работы и архитектура SIEM

В основе функционирования таких систем лежит математика и статистика. Решения разворачиваются поверх информационных систем, в защите которых участвуют. Архитектура SIEM зависит от архитектуры защищаемой ИТ-инфраструктуры. В ней выделяют компоненты:

• Коллекторы (или источники данных). Собирают события от компонентов информационных систем. Сбор осуществляется в пассивном режиме или «по запросу».
• Хранилище данных. Хранит собранные события.
• Обработчики данных (корреляторы). Обрабатывают собранные коллекторами сведения.
• Элементы управления. Управляют работой SIEM.

SIEM-решения

Системы управления информационной безопасностью представлены решениями российских и зарубежных компаний:

R-Vision SIEM

R-Vision SIEM — российское решение для обработки событий безопасности на всех этапах работы с данными. Внесено в Единый реестр отечественного программного обеспечения Минцифры РФ. Подробнее про решение: R-Vision SIEM.

MaxPatrol SIEM

MaxPatrol SIEM — отечественная разработка, сертифицированная ФСТЭК. Особенность — «знание» наиболее актуальных для России угроз информационной безопасности организаций. Решение включено в реестр российских программ Минкомсвязи РФ. Продукт ориентирован на все секторы и любые масштабы бизнеса.

RuSIEM

RuSIEM — отечественная SIEM-система, предназначенная для мониторинга и управления событиями информационной безопасности в режиме реального времени. Особенности RuSIEM: поддержка на русском языке, собственные модульные агенты, масштабируемость системы (вертикальная, горизонтальная, поддержка «горячего» расширения) и отсутствие ограничений при выборе источников событий.

KOMRAD Enterprise SIEM

Первая российская разработка в этой сфере. Совместима с отечественными решениями в области защиты информации и операционной системой Astra Linux. Есть сертификаты Министерства обороны и ФСТЭК, решение включено в реестр отечественного программного обеспечения.

«СёрчИнформ SIEM»

Решение разработано компанией «СёрчИнформ», сертифицировано ФСТЭК. Ориентировано на корпоративные системы любого масштаба. Считается простым в развёртывании и дальнейшей настройке.