Cистема мониторинга, анализа и корреляции событий ИБ (SIEM)

Постоянно увеличивающиеся и обновляемые возможности злоумышленников для проведения целенаправленных атак на информационные ресурсы компаний, отсутствие гарантированной защиты от современных методов ведения таких атак выводят на первый план:

• оперативность обнаружения проникновения в корпоративную сеть компании и выявление атак на ранних стадиях их проведения;
• возможность проведения оперативного расследования всех обстоятельств инцидентов по зарегистрированным различными системами событиям;
• возможность быстрого адекватного реагирования по результатам расследования инцидентов.

Проблема заключается в том, что объём событий, регистрируемых оборудованием и программным обеспечением корпоративной сети за сутки, может превышать несколько миллионов. Неавтоматизированные методы анализа таких объёмов событий невозможны — с большой вероятностью можно сказать, что часть критичных событий будет пропущена, а на часть инцидентов реакции не будет. Не обладая системой мониторинга, анализа и корреляции событий ИБ, многие компании очень часто узнают о взломе их систем слишком поздно, когда прямой или косвенный ущерб бизнесу уже нанесён.

Компания ЭЛВИС-ПЛЮС предлагает эффективное решение проблемы оперативного обнаружения инцидентов информационной безопасности и обеспечения централизованного сбора и анализа событий ИБ. Предлагаемая Система мониторинга, анализа и корреляции событий ИБ создается на основе продуктов одного из производителей – мировых лидеров в сегменте средств управления информацией и событиями ИБ (SIEM – Security Information and Event Management) по оценке Gartner – McAfee, IBM QRadar, HPE ArcSight или отечественного продукта MaxPatrol SIEM.

ЭЛВИС-ПЛЮС имеет многолетний успешный опыт проектирования и внедрения Системы в таких организациях как Главный Центр Связи ЦБ России, ФГУП ГНИВЦ ФНС России, ФСК ЕЭС, СО ЕЭС и др.

Ключевые возможности SIEM-системы

• Оперативный сбор событий ИБ из различных источников корпоративной сети: ОС, СУБД, IPS, FW/VPN, средств антивирусной защиты и других средств обеспечения ИБ.
• Возможность сбора событий с любых новых источников без привлечения производителя.
• Преобразование различных событий к единому формату (нормализация), анализ событий от различных источников во временном интервале (корреляция).
• Доступ ко всем журналам регистрации событий ИБ через единую консоль.
• Обнаружение инцидентов ИБ в режиме реального времени и инструменты для их расследования.
• Гибкое масштабирование и возможности по расширению функциональности системы в соответствии с потребностями бизнеса.

Архитектура и основные функции системы на примере продуктов HPE ArcSight и McAfee SIEM

Для решения задач соответствия требованиям российского законодательства, а также соответствия российским и/или международным стандартам компания ЭЛВИС-ПЛЮС может предложить реализацию Системы в части требуемых функций по сбору и длительному хранению событий ИБ на базе решений класса Log Management, являющихся составной частью решений класса SIEM.

 

На уровне сбора осуществляется сбор и первичная обработка событий ИБ от устройств, а также обеспечивается гарантированная доставка событий на уровень ядра Системы.

На уровне ядра выполняется анализ полученных событий в режиме близком к реальному времени, их хранение, а также уведомление о нарушении политик ИБ и выявленных инцидентах.

Уровень управления предусматривает использование интерфейсов администрирования на рабочих станциях технического персонала и их руководителей для управления, мониторинга, анализа событий ИБ и получения отчётности.

Преимущества от внедрения SIEM

• Ускорение реакции на критичные для бизнеса инциденты информационной безопасности, сокращение срока их расследования, как следствие — уменьшение финансовых потерь, повышение конкурентоспособности и имиджа компании.
• Снижение затрат на управление и мониторинг средств ИБ
• Повышение эффективности работы подразделения ИБ компании.