Bezpečnostní informace a správa událostí (SIEM)

Co je SIEM

Bezpečnostní informace a správa událostí (SIEM) je sada nástrojů a služeb nabízejících holistický pohled na informační zabezpečení organizace.

Nástroje SIEM poskytují:

• Viditelnost v reálném čase napříč systémy zabezpečení informací organizace.
• Protokol událostí správa, která konsoliduje data z mnoha zdrojů.
• Korelace událostí shromážděných z různých protokolů nebo zdrojů zabezpečení pomocí pravidel if-then, která přidávají inteligenci k nezpracovaným datům.
• Automatická upozornění na události zabezpečení . Většina systémů SIEM poskytuje řídicí panely pro bezpečnostní problémy a další metody přímého oznámení.

SIEM funguje kombinací dvou technologií: a) Správa bezpečnostních informací (SIM), která shromažďuje data ze souborů protokolu pro analýzu a zprávy o bezpečnostních hrozbách a událostech ab) správa bezpečnostních událostí (SEM), která provádí monitorování systému v reálném čase, upozorňuje správce sítě na důležité problémy a vytváří korelace mezi bezpečnostními událostmi.

Informace o zabezpečení a proces správy událostí lze rozdělit následovně:

1. Sběr dat – všechny zdroje informací o zabezpečení sítě, např. servery, operační systémy, brány firewall, antivirový software a systémy prevence narušení jsou nakonfigurovány tak, aby přenášely události data do nástroje SIEM. Většina moderních nástrojů SIEM využívá agenty ke shromažďování protokolů událostí z podnikových systémů, které jsou poté zpracovávány, filtrovány a odesílány do SIEM. Některé systémy SIEM umožňují sběr dat bez agentů. Například Splunk nabízí sběr dat bez agentů ve Windows pomocí WMI.
2. Zásady – profil je vytvořen správcem SIEM, který definuje chování podnikových systémů, a to jak za normálních podmínek, tak během předdefinovaných bezpečnostních incidentů . SIEM poskytují výchozí pravidla, výstrahy, sestavy a dashboardy, které lze vyladit a přizpůsobit konkrétním bezpečnostním potřebám.
3. Konsolidace a korelace dat – řešení SIEM konsolidují, analyzují a analyzují soubory protokolu. Události jsou poté kategorizovány na základě nezpracovaných dat a používají korelační pravidla, která kombinují jednotlivé datové události do smysluplných bezpečnostních problémů.
4. Oznámení – Pokud událost nebo sada událostí spustí pravidlo SIEM, systém upozorní bezpečnostní pracovníky.

Bezpečnostní informace a nástroje pro správu událostí

Na trhu existuje řada bezpečnostních informací a řešení pro správu událostí. Mezi nejoblíbenější patří Arcsight ESM, IBM QRadar a Splunk.

ArcSight

ArcSight shromažďuje a analyzuje data protokolu z podnikových bezpečnostních technologií, operačních systémů a aplikací. Jakmile je zjištěna škodlivá hrozba, systém upozorní bezpečnostní pracovníky.

ArcSight může také spustit automatickou reakci a zastavit škodlivou činnost. Další funkcí je schopnost integrovat informační kanály hrozeb třetích stran pro přesnější detekci hrozeb.

IBM QRadar

IBM QRadar shromažďuje data protokolu ze zdrojů v podnikovém informačním systému, včetně sítě zařízení, operační systémy, aplikace a aktivity uživatelů.

QRadar SIEM analyzuje data protokolu v reálném čase a umožňuje uživatelům rychle identifikovat a zastavit útoky. QRadar může také shromažďovat události protokolu a údaje o síťovém toku z cloudových aplikací. Tento SIEM také podporuje informační kanály o hrozbách.

Splunk

Splunk Enterprise Security poskytuje monitorování hrozeb v reálném čase, rychlé vyšetřování pomocí vizuálních korelací a vyšetřovací analýzu ke sledování dynamických aktivit spojených s pokročilým zabezpečením hrozby.

Splunk SIEM je k dispozici jako lokálně nainstalovaný software nebo jako cloudová služba. Podporuje integraci informačního kanálu hrozeb z aplikací třetích stran.

Soulad se standardy SIEM a PCI DSS

Nástroje SIEM mohou pomoci organizaci dosáhnout souladu s PCI DSS. Tento bezpečnostní standard ujišťuje zákazníky společnosti, že jejich údaje o kreditní kartě a platbách zůstanou v bezpečí před krádeží nebo zneužitím.

SIEM může splňovat následující požadavky PCI DSS:

• Neoprávněné detekce síťového připojení – organizace vyhovující standardu PCI DSS potřebují systém, který detekuje všechna neoprávněná síťová připojení k / z IT aktiv organizace. Jako takový systém lze použít řešení SIEM.
• Hledání nezabezpečených protokolů – SIEM je schopen dokumentovat a zdůvodnit použití povolených služeb, protokolů a portů organizace a implementovaných funkcí zabezpečení dokumentů. pro nezabezpečené protokoly.
• Zkontrolovat toky provozu napříč DMZ – organizace vyhovující standardu PCI musí implementovat DMZ, které spravuje připojení mezi nedůvěryhodnými sítěmi (např. internet) a webovým serverem. Kromě toho je třeba omezit příchozí internetový provoz na IP v rámci DMZ, zatímco je třeba vyhodnotit odchozí provoz zabývající se údaji o držiteli karty.

Řešení SIEM mohou těmto požadavkům vyhovět kontrolou provozu, který proudí přes DMZ do az interních systémů, a podáváním zpráv o bezpečnostních problémech.

Integrace SIEM s bezpečnostními řešeními Imperva

Imperva poskytuje integraci na klíč s předními řešeními SIEM , včetně ArcSight a Splunk.

To umožňuje našim zákazníkům snadno integrovat údaje o zabezpečení poskytované našimi produkty do jejich vybrané platformy SIEM, kde k nim lze snadno přistupovat a prohlížet je v širším kontextu.

Integrace Imperva SIEM je šitá na míru vyrobeno tak, aby splňovalo bezpečnostní potřeby vaší aplikace, což vám umožní překonat hluk a upřednostnit vysoce rizikové hrozby. Zároveň vám budou poskytnuty užitečné statistiky.

Mezi konkrétní funkce našich integračních balíčků patří přizpůsobitelná pravidla pro korelaci událostí zabezpečení, možnosti analýzy hrozeb pro konkrétní web, předdefinovaný optimalizovaný řídicí panel a další.

Další informace o integraci cloudu Imperva SIEM najdete zde.

Informace o integraci Imperva SIEM najdete zde.