by 0 comments on "Biztonsági információk és eseménykezelés (SIEM)"

Biztonsági információk és eseménykezelés (SIEM)

Mi a SIEM

A Biztonsági információk és eseménykezelés (SIEM) olyan eszközök és szolgáltatások kínálata, amelyek a szervezet információbiztonságának átfogó áttekintése.

A SIEM eszközök a következőket nyújtják:

  • Valós idejű láthatóság a szervezet információbiztonsági rendszereiben.
  • Eseménynapló kezelés, amely egyesíti a számos forrásból származó adatokat.
  • A különböző naplókból vagy biztonsági forrásokból összegyűjtött események korrelációja az if-then szabályokkal, amelyek intelligenciát adnak a nyers adatokhoz.
  • Automatikus biztonsági esemény-értesítések . A legtöbb SIEM rendszer irányítópultokat biztosít a biztonsági kérdésekhez és a közvetlen értesítés egyéb módszereihez.

A SIEM két technológia ötvözésével működik: a) Biztonsági információkezelés (SIM), amely naplófájlokból gyűjt adatokat elemzés céljából. és jelentéseket készít a biztonsági fenyegetésekről és eseményekről, valamint b) a biztonsági események kezelése (SEM), amely valós idejű rendszerfigyelést végez, értesíti a hálózati adminisztrátorokat a fontos kérdésekről, és megállapítja a korrelációkat a biztonsági események között.

A biztonsági információk és az eseménykezelési folyamat az alábbiak szerint bontható le:

  1. Adatgyűjtés – A hálózati biztonsági információk minden forrása, pl. szerverek, operációs rendszerek, tűzfalak, víruskereső szoftverek és behatolásmegelőző rendszerek úgy vannak konfigurálva, hogy eseményeket tápláljanak adatokat a SIEM eszközbe. A legmodernebb SIEM eszközök ügynököket használnak az eseménynaplók összegyűjtésére a vállalati rendszerekből, amelyeket aztán feldolgoznak, szűrnek és elküldenek a SIEM-be. Néhány SIEM lehetővé teszi az ügynökök nélküli adatgyűjtést. Például a Splunk ügynök nélküli adatgyűjtést kínál a Windows rendszerben WMI használatával.
  2. Házirendek – A SIEM rendszergazda létrehoz egy profilt, amely meghatározza a vállalati rendszerek viselkedését normál körülmények között és előre definiált biztonsági események során. . A SIEM-ek alapértelmezett szabályokat, riasztásokat, jelentéseket és irányítópultokat nyújtanak, amelyek hangolhatók és testre szabhatók a speciális biztonsági igényeknek megfelelően.
  3. Adatok konszolidációja és korrelációja – A SIEM megoldások konszolidálják, elemzik és elemzik a naplófájlokat. Az eseményeket ezután a nyers adatok alapján kategorizálják, és olyan korrelációs szabályokat alkalmaznak, amelyek az egyes adateseményeket értelmes biztonsági kérdésekké egyesítik.
  4. Értesítések – Ha egy esemény vagy eseménysor SIEM-szabályt vált ki, a rendszer értesíti a biztonsági személyzetet.

Biztonsági információk és eseménykezelő eszközök

Számos biztonsági információ és eseménykezelési megoldás létezik a piacon. Az Arcsight ESM, az IBM QRadar és a Splunk a legnépszerűbbek közé tartozik.

ArcSight

Az ArcSight összegyűjti és elemzi a vállalati biztonsági technológiák, operációs rendszerek és alkalmazások naplóadatait. Ha rosszindulatú fenyegetést észlel, a rendszer figyelmezteti a biztonsági személyzetet.

Az ArcSight automatikus reakciót is indíthat a rosszindulatú tevékenység leállítására. Egy másik funkció a harmadik féltől származó fenyegetés-hírcsatornák integrálásának lehetősége a fenyegetések pontosabb felismerése érdekében.

IBM QRadar

Az IBM QRadar naplóadatokat gyűjt a vállalati információs rendszer forrásaiból, beleértve a hálózatot is eszközök, operációs rendszerek, alkalmazások és felhasználói tevékenységek.

A QRadar SIEM valós időben elemzi a naplóadatokat, lehetővé téve a felhasználók számára a támadások gyors azonosítását és leállítását. A QRadar naplóeseményeket és hálózati áramlási adatokat is gyűjthet felhőalapú alkalmazásokból. Ez a SIEM támogatja a fenyegetés-hírcsatornákat is.

Splunk

A Splunk Enterprise Security valós idejű fenyegetésfigyelést, gyors vizsgálatot végez vizuális összefüggések és vizsgálati elemzések segítségével a fejlett biztonsággal járó dinamikus tevékenységek nyomon követésére. fenyegetések.

A Splunk SIEM elérhető helyileg telepített szoftverként vagy felhőszolgáltatásként. Támogatja a fenyegetés-hírcsatornák integrációját harmadik féltől származó alkalmazásokból.

A SIEM és a PCI DSS-megfelelőség

A SIEM-eszközök segíthetnek egy szervezetnek a PCI DSS-kompatibilisé válásában. Ez a biztonsági szabvány megnyugtatja a vállalat ügyfeleit arról, hogy hitelkártyájuk és fizetési adataik biztonságban maradnak a lopásoktól vagy visszaélésektől.

A SIEM megfelel a következő PCI DSS követelményeknek:

  • jogosulatlan hálózati kapcsolat észlelése – A PCI DSS-kompatibilis szervezeteknek szükségük van egy olyan rendszerre, amely észleli a szervezet informatikai eszközeihez / azokból származó összes jogosulatlan hálózati kapcsolatot. Egy SIEM megoldás használható ilyen rendszerként.
  • Nem biztonságos protokollok keresése – A SIEM képes dokumentálni és igazolni a szervezet engedélyezett szolgáltatásainak, protokolljainak és portjainak, valamint a megvalósított dokumentumbiztonsági funkciók használatát. a nem biztonságos protokollokért.
  • Ellenőrizze a forgalmat a DMZ-n keresztül – A PCI-kompatibilis szervezeteknek létre kell hozniuk egy DMZ-t, amely kezeli a nem megbízható hálózatok (pl. az internet) és a webszerver közötti kapcsolatokat. Ezenkívül korlátozni kell a DMZ-n belüli IP-k bejövő internetes forgalmát, miközben ki kell értékelni a kártyabirtokos adataival foglalkozó kimenő forgalmat.

A SIEM megoldások megfelelhetnek ezeknek a követelményeknek azáltal, hogy megvizsgálják a DMZ-n keresztül belső rendszerbe érkező és onnan érkező forgalmat, valamint jelentést tesznek a biztonsági kérdésekről.

Nézze meg, hogyan segíthet az Imperva webalkalmazás tűzfal a SIEM integrációban.

SIEM integráció az Imperva biztonsági megoldásokkal

Az Imperva kulcsrakész integrációt biztosít a vezető SIEM megoldásokkal , beleértve az ArcSightot és a Splunkot.

Ez lehetővé teszi ügyfeleink számára, hogy termékeik által biztosított biztonsági adatokat könnyen integrálják a választott SIEM platformjukba, ahol azokhoz szélesebb kontextusban is könnyen hozzáférhetnek és megtekinthetők.

A Splunkba integrált Imperva.

Az Imperva SIEM integrációja testreszabott az alkalmazás biztonsági igényeinek kielégítésére készült, lehetővé téve a zaj csökkentését és a kiemelt kockázatú fenyegetések rangsorolását. Ugyanakkor hasznos információkkal szolgál.

Az integrációs csomagjaink sajátosságai közé tartoznak a biztonsági események korrelációjának testreszabható szabályai, a helyspecifikus fenyegetéselemzés lehetőségei, előre definiált optimalizált irányítópult és még sok más.

További információ az Imperva felhő SIEM integrációjáról itt található.

Az Imperva SIEM integrációval kapcsolatos információk itt találhatók.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük