что такое siem система информационной безопасности
SIEM: ответы на часто задаваемые вопросы
Вместо предисловия
Немного теории
Я не хочу подробно расписывать теоретические аспекты работы современных SIEM и их классификацию, т.к. тема хорошо описана. Вкратце, что такое SIEM? SIEM — это Security Information and Event Management. Как видно из названия — она «сама по себе» не способна что-то предотвращать или защищать. Данная система предназначена для анализа информации, поступающей от различных других систем, таких как DLP, IDS, антивирусов, различных железок (Fortinet, маршрутизаторы и т.д.) и дальнейшего выявления отклонения от норм по каким-то критериям. Как только мы выявили отклонение — генерируем инцидент. В основе работы SIEM лежит, как ни странно, почти голая математика и статистика. Каких-либо защитных функций «голая» SIEM в себе не несет.
По техническим аспектам работы систем такого класса рекомендую ознакомиться через статьи на www.securitylab.ru либо на Хабре в блоге Positive Technologies. Также немного информации можно найти в моем посте: habrahabr.ru/post/159929.
Собственно вопросы
Здесь я попробую дать ответы на наиболее часто задаваемые вопросы.
Вы говорите — SIEM сама по себе не защищает. Зачем она тогда?
SIEM нужна именно для сбора и анализа информации. Информация поступает с различных источников — таких, как DLP-системы, IDS, маршрутизаторы, межсетевые экраны, АРМ пользователей, серверов…
Согласитесь — достаточно муторно вручную просматривать логи с большого количества источников. К тому же, бывают ситуации, когда внешне безобидные события, полученные с различных источников, в совокупности несут в себе угрозу. Предположим, когда происходит отправка письма с чувствительными для компании данными человеком, имеющим на это право, но на адрес, находящийся вне его обычного круга адресов, на которые он отправляет. DLP система этого может не отловить, но SIEM, используя накопленную статистику, на основании этого уже сгенерирует инцидент.
ОК, инцидент произошел — но сотрудник, допустивший утечку, всячески открещивается. Как доказать? SIEM способна предоставить всю необходимую доказательную базу, пригодную как для внутренних расследований, так и для суда. Собственно говоря, это одно из ее главных предназначений. В момент создания инцидента также будут оповещены все заинтересованные лица.
И дополним штрих — периодически вам надо проводить аудиты на соответствие каким-либо стандартам. Это SIEM тоже умеет. Из дополнительных особенностей — SIEM после внедрения может косвенно вам помочь выбить деньги на дозакупку какого-то еще средства ИБ: например, вы в качестве обоснования прикладываете отчет, из которого видно, что большая часть полученных инцидентов закрывается запрашиваемым вами средством. Ниже иллюстрации, в каких случаях SIEM может быть полезна.
Предположим, у вас нет SIEM. Тогда вы имеете: 
А вот теперь мы поставили SIEM:
Картинки, конечно же, не претендуют на истину в последней инстанции, а просто дают примерно представление, зачем вам вообще может потребоваться SIEM.
Кто основной потребитель SIEM?
На данный момент — банковская сфера. Потому что
а) Им нужно регулярно проводить аудиты соответствия.
б) Банки работают с чувствительной информацией, поэтому в случае возникновения инцидентов важно знать, кто-когда-откуда допустил утечку, было это злонамеренное действие или случайное и какие были сопутствующие факторы.
в) Внешними аудитороми наличие SIEM иногда ставится в +
Вторая категория потребителей — крупные предприятия (или географически распределенные предприятия), которые ежедневно генерируют тонну событий различного свойства и отследить которые просто физически невозможно, и руководители хотят «держать руку на пульсе», чтобы оперативно отреагировать на возможные инциденты.
Третья категория — крупные предприятия, кто уже познал всю прелесть неожиданно обнаруженного инцидента ИБ.
Сколько времени займет внедрение? Какие работы надо закладывать?
В среднем, если делать все «по уму», то минимальный срок, на который надо рассчитывать, — от полугода. Какие-то плюсы от внедрения SIEM вы почувствуете через 5-6 месяцев после работы системы в «боевом» режиме. Цена на работы будет соответствующей, к ней припишите еще стоимость лицензий, и, возможно, обучения администраторов безопасности работе с SIEM.
Что так много работ? Что так дорого? Вот XXX обещал все сделать за неделю за сто тыщ рублей!
Есть замечательная картинка, дающая ответ на такой вопрос: 
SIEM относится к системам, которые не обеспечивают весь заявленный функционал «из коробки» и без предварительно сделанного тщательного обследования и дальнейшей тщательной настройки под конкретного заказчика превращаются в мусор, головную боль ИТ-отдела и ответственных за безопасность.
Останутся ли False-positive события после начала эксплуатации?
Останутся. Если вам говорят, что их не будет — плюньте в лицо тому менеджеру, что уверяет вас в этом. В этом случае либо у вас будут пропуски действительно требующих внимания инцидентов (кривая настройка), либо вам предлагают не SIEM. На итоговое количество ложно-позитивных событий повлияет количество источников, с которых SIEM гребет данные и тщательность написания правил корреляции, а также размер накопленной статистики в базе. И все равно, при подключении нового компьютера или неожиданном (но согласованном) «выверте» пользователя инцидент создастся. Тут работает принцип «лучше перебдеть, чем недобдеть». И все равно, число таких ложных событий будет мало, а точность определения инцидентов — выше, чем если бы вы анализировали вручную.
Следует также понимать, что SIEM — это часть технических мер по обеспечению ИБ организации. И она не спасет от того, что сотрудник спьяну что-то где-то разболтает в баре, или забудет в том же баре прототип вашей разработки.
SIEM способна предотвратить инциденты.
Какого вендора выбрать?
Заранее не ответишь, нормальный интегратор обычно изучает инфраструктуру клиента, его потребности, выясняет, с какой суммой денег он готов расстаться. После чего предлагает вендора, т.к. они с одной стороны и похожи, а с другой — McAfee, например, хуже масштабируется, чем IBM QRadar, и они оба могут не поддерживать какую-то специфическую программу, под которую уже есть готовый коннектор для ArcSight.
Какой объем жесткого диска требуется для хранения данных?
Тоже неоднозначный вопрос. Это рассчитывается в зависимости от количества источников, интенсивности генерации событий (которая завязано на количество пользователей) и прожорливости конкретного вендора. Естественно, «чем больше, тем лучше». Обычно у каждого вендора есть «железячные» варианты, и «виртуальные», железячные варианты, как правило, в плане напичканной техники ничего из себя интересного не представляют и какими-либо особыми свойствами, кроме дизайна и размеров, не обладают. Зато стоят зачастую неоправданно дорого. Но по размерам установленных в них жестких дисков можно примерно прикинуть, насколько комфортно будет чувствовать себя система на вашей конфигурации. Размеры жесткого диска, как и интенсивность потока событий, на которые рассчитаны сервера, обычно указываются в даташите.
Имейте ввиду, что решающее значение имеет скорость и надежность дисковой подсистемы, поэтому RAID тут жизненно необходим, также надо обращать внимание на производительность каждого ЖД, входящего в состав массива. SSD, хотя и быстры, на данный момент ввиду высокой стоимости хранения информации и меньшего ресурса, по сравнению с обычными HDD, наверное, использовать нежелательно.
UPD из комментариев Подсказали статью по этой теме. Спасибо lless.
А сложно с ней работать?
Нет, не сложно — в современных SIEM весь интерфейс интуитивно понятен, работает в подавляющем большинстве случаев, как WEB-приложение (через браузер). При необходимости можно разграничить разные разделы, к которым будет доступ, по ролям.
Могу ли я сам написать правило корреляции?
Да, это возможно, сложностей никаких нет — создание правил в большинстве SIEM максимально визуализировано, единственно где могут быть затруднения — правила могут использовать регулярные выражения «в чистом виде». Синтаксис регулярных выражений в большинстве случаев стандартный — если человек знаком с perl, скажем, то сможет написать синтаксически грамотное регулярное выражение. Основная сложность здесь — нужно представлять логику работы в целом, т.к. добавление правил может повлечь за собой изменение в логике работы других правил по формированию инцидента.
UPD из комментариев Хотелось бы добавить, что в составе SIEM иногда имеются графические утилиты для тестирования разрабатываемых регулярных выражений. В частности, у ArcSight ESM эта утилита так и называется — regex. Спасибо eafanasov за дополнение.
А можно ли сделать поддержку для источника событий YYY?
Для начала, надо посмотреть, может ли источник (программа или железка) отправлять события как SYSLOG. Если да, то проблема решена — все SIEM ведущих вендоров с сислогом работают.
Если программа какая-то специфическая, то в большинстве случаев можно написать обработчик событий или коннектор, но это означает дополнительные трудо- и денежные затраты.
В тоже время современные SIEM «из коробки» поддерживают значительное число источников + производители их добавляют в своих обновлениях.
UPD из комментариев Как верно подсказали, разные источники могут называть одно и тоже событие по-разному. Например, фаервол одного вендора скажет в логе «deny», другой «discard», третий «drop», а SIEM должна категорировать все эти события в единый формат, например «Firewall/Access/Failure», т.е. может потребоваться дополнительный обработчик. Спасибо bondbig за замечание.
Нужна ли какая-то поддержка SIEM?
Да, нужна. Начиная от собственно обслуживания сервера (оптимизации БД и проч. служебных задач — большинство SIEM это сопособны выполнять самостоятельно) и кончая тем, что крупные организации имеют свойство разрастаться, продукты ИБ обновляться и добавляться — и тогда потребуется корректировка правил.
Резюмируем
На этом, пожалуй, закончу; если вы считаете, что какие-то общие вопросы не осветил — напишите, пожалуйста, в каментах.
Обзор решений SIEM (Security information and event management)
Современная корпоративная ИТ-инфраструктура состоит из множества систем и компонентов. И следить за их работой по отдельности может быть довольно сложно — чем больше предприятие, тем обременительнее эти задачи. Но есть инструменты, которые собирают в одном месте отчеты о работе всей корпоративной инфраструктуры — системы SIEM (Security information and event management). О лучших из таких продуктов по версии экспертов Gartner читайте в нашем обзоре, а об основных возможностях узнайте из нашей сравнительной таблицы.
Если говорить в двух словах, технология SIEM дает администраторам обзор того, что происходит в сети. Такие системы в реальном времени обеспечивают анализ событий безопасности, а также активности устройств и пользователей, что позволяет реагировать на них до того, как будет нанесен существенный ущерб.
Программы SIEM собирают информацию с серверов, контроллеров доменов, файрволов и многих других сетевых устройств и предоставляют ее в виде удобных отчетов. Эти данные не обязательно связаны с безопасностью. С их помощью, например, можно понять, как функционирует сетевая инфраструктура и разработать план по ее оптимизации. Но главное, конечно, это обнаружение потенциальных брешей, а также локализация и ликвидация существующих угроз. Такие данные предоставляются благодаря сбору и объединению данных журналов сетевых устройств.
После сбора информации (эта процедура происходит автоматически с заданными интервалами) происходит идентификация и классификация событий. Затем (опять же, в соответствии с заданными настройками) отправляются оповещения, что те или иные действия оборудования, программы или пользователи могут быть потенциальными проблемами безопасности.
Какие возможности открываются?
SIEM помогает решать целый ряд задач. Среди них: своевременное обнаружение целенаправленных атак и непреднамеренных нарушений информационной безопасности со стороны пользователей, оценка защищенности критически важных систем и ресурсов, проведение расследований инцидентов и многое другое.
При этом у SIEM-платформ есть ряд ограничений. Они, например, не умеют классифицировать данные, зачастую плохо работают с электронной почтой, имеют слепые пятна в отношении собственных событий. И, конечно, не могут полностью покрыть вопросы информационной безопасности на предприятии. Но вместе с этим они являются важной частью защитной системы предприятия, пусть и не критически важной. Тем более развитие SIEM-платформ не стоит на месте. Например, в некоторых современных продуктах есть аналитические функции, то есть они не просто выдают отчеты и указывают на потенциальные проблемы, но и умеют сами анализировать события и принимать решения об информировании о тех или иных событиях.
В любом случае, при выборе конкретного продукта следует ориентироваться на множество параметров, среди которых выделим централизованный сбор, обработку и хранение информации, оповещение об инцидентах и анализ данных (корреляция), а также ширину охвата корпоративной сети. И, конечно, по возможности, перед покупкой стоит запустить пробную/демо версию и посмотреть, насколько она подходит для компании.
IBM QRadar Security Intelligence
SIEM-платформа от технологического гиганта IBM является одной из самых продвинутых на рынке: даже в квадранте лидеров Gartner она стоит выше конкурентов, причем попадает туда уже 10 лет подряд. Продукт состоит из нескольких интегрированных между собой систем, которые вместе обеспечивают максимальный охват происходящих в сети событий, а множество функций работают прямо «из коробки». Инструмент умеет собирать данные из разнообразных источников, например, операционных систем, устройств безопасности, баз данных, приложений и многих других.
QRadar Security Intelligence умеет сортировать события по приоритетности и выделять те, которые несут наибольшую угрозу безопасности. Это происходит благодаря функциям анализа аномального поведения объектов (пользователей, оборудования, служб и процессов в корпоративной сети). В том числе определяются действия, связанные с обращением к подозрительным IP-адресам или запросам от них. Касательно всех подозрительных действий предоставляются подробные отчеты, что, например, дает возможность обнаружить подозрительные действия в нерабочее время. Подобный подход в комбинации с функциями мониторинга пользователей и наглядным представлением сети на уровне приложений позволяет бороться с угрозами инсайдеров. Кроме того, при обычных кибератаках информация поступает очень быстро и позволяет предотвратить их до того, как они достигнут цели и нанесут существенный ущерб.
Одна из главных особенностей IBM QRadar Security Intelligence — обнаружение и расстановка приоритетов на основе рисков с использованием расширенного анализа и корреляции между активами, пользователями, сетевой активностью, имеющимися уязвимостями, анализом угроз и т. д. IBM Qradar может связывать события в одну цепочку, создавая для каждого инцидента отдельный процесс.
Благодаря тому, что информация собирается и выводится на экран в одном месте, администратор может видеть все связанные подозрительные действия, которые были обнаружены системой. А новые связанные события добавляются в единую цепочку, так что аналитики не должны переключаться между несколькими оповещениями. А для более глубоких расследований специальный инструмент IBM QRadar Incident Forensics может восстановить все сетевые пакеты связанные с инцидентом и пошагово воссоздать действия злоумышленника.
Splunk Enterprise Security
Одна из ведущих в отрасли платформ, отличительной чертой которой является широкий перечень источников информации, с которыми она работает. Splunk Enterprise Security умеет собирать журналы событий с традиционных компонентов сети (серверов, устройств безопасности, шлюзов, баз данных и т. д.), мобильных устройств (смартфонов, ноутбуков, планшетов), веб-сервисов и распределенных источников. Собираемая информация: данные о действиях пользователей, журналы, результаты диагностики и др. Это позволяет проводить удобный поиск и анализ в автоматическом и ручном режиме. Решение имеет множество настраиваемых уведомлений, которые на основе собранной информации предупреждают об имеющихся угрозах и заблаговременно сообщают о потенциальных проблемах.
Продукт состоит из нескольких модулей, которые отвечают за проведение расследований, логических схем защищаемых ресурсов и интеграцию со множеством внешних сервисов. Такой подход дает возможность проводить детальный анализ по множеству параметров и устанавливать взаимосвязь между событиями, которые, на первый взгляд, никак не соотносятся друг с другом. Splunk Enterprise Security позволяет сопоставлять данные по времени, расположению, создаваемым запросам, подключением к разнообразным системам и другим параметрам.
Инструмент также умеет работать с большими массивами данных и является полноценной Big Data платформой. Большие массивы данных могут обрабатываться как в реальном времени, так и в в режиме исторического поиска, причем, как уже было сказано выше, поддерживается огромное количество источников данных. Splunk Enterprise Security может индексировать сотни ТБ данных в день, поэтому его можно применять в корпоративных сетях даже очень больших масштабов. Специальный инструмент MapReduce позволяет быстро масштабировать систему горизонтально и равномерно распределять нагрузки, благодаря чему производительность системы всегда остается на приемлемом уровне. При этом пользователям доступны конфигурации для кластеризации и аварийного восстановления.
McAfee Enterprise Security Manager
Решение от компании McAfee поставляется как в качестве физических и виртуальных устройств, а также программного обеспечения. Оно состоит из нескольких модулей, которые могут применяться как вместе, так и по отдельности. Enterprise Security Manager обеспечивает постоянный мониторинг корпоративной ИТ-инфраструктуры, собирает информацию об угрозах и рисках, позволяет приоритезировать угрозы и быстро проводить расследования. Для всей поступающей информации решение рассчитывает базовый уровень активности и заранее создает уведомления, которые поступят администратору, если рамки данной активности будут нарушены. Также средство умеет работать с контекстом, что существенно расширяет возможности анализа и обнаружения угроз, а также снижает количество ложных сигналов.
McAfee ESM хорошо интегрируется с продуктами сторонних производителей без использования API, что делает продукт совместимым со многими другими популярными решениями в области безопасности. Также у него есть поддержка платформы McAfee Global Threat Intelligence, которая расширяет традиционную функциональность SIEM. Благодаря ей, ESM получает постоянно обновляющуюся информацию об угрозах со всего мира. На практике это дает, например, возможность обнаруживать события связанные с подозрительными IP-адресами.
Для повышения производительности системы разработчик предлагает своим клиентам набор инструментов McAfee Connect. Эти средства содержат готовые конфигурации, помогающие выполнять сложные сценарии использования SIEM-системы. Например, пакет материалов по анализу поведения пользователей позволяет лучше и быстрее находить скрытые угрозы, делает операции по обеспечению безопасности более точными и существенно сокращает сроки расследований инцидентов. А пакет для Windows позволяет мониторить службы этой ОС для оценки их надлежащего использования и обнаружения угроз. Всего доступно более 50 пакетов для разных сценариев, продуктов и соответствия стандартам.
AlienVault Unified Security Platform
Компания AlienVault недавно объединилась с AT&T Business под брендом AT&T Security, но ее ведущий продукт пока продается под старым названием. Этот инструмент, как и большинство других платформ из обзора, имеет более широкую функциональность, чем традиционный SIEM. Так, в AlienVault USM есть разнообразные модули, отвечающие за контроль активов, полный захват пакетов и т. д. Платформа также умеет проводить тестирование сети на наличие уязвимостей, причем это может быть как разовая проверка, так и непрерывный мониторинг. В последнем случае, уведомления о наличии новой уязвимости поступают практически одновременно с их появлением.
Среди других возможностей платформы — проведение оценки уязвимости инфраструктуры, которое показывает, насколько сеть защищена, а ее настройка соответствует стандартам безопасности. Платформа также умеет определять атаки на сеть и своевременно оповещать о них. В таком случае администраторы получают подробную информацию о том, откуда идет вторжение, какие части сети подверглись атаке и какие методы используют злоумышленники, а также, что необходимо предпринять для отражения в первую очередь. Кроме того система умеет определять инсайдерские атаки изнутри сети и оповещать о них.
При помощи фирменного решения AlienApps платформа USM умеет интегрироваться с решениями безопасности многих сторонних производителей и эффективно дополнять их. Эти средства также расширяют возможности AlienVault USM в сфере настройки безопасности и автоматизации реагирования на угрозы. Так, практически вся информация о состоянии безопасности корпоративной сети становится доступна непосредственно через интерфейс платформы. Эти инструменты также дают возможность автоматизировать и организовывать ответные действия при обнаружении угроз, что значительно упрощает и ускоряет их обнаружение, а также реагирования на инциденты. Например, при обнаружении связи с фишинговым сайтом, администратор может отправить данные сторонней службе защиты DNS для автоматической блокировки этого адреса —таким образом, он станет недоступным для посещения с компьютеров внутри организации.
Micro Focus ArcSight Enterprise Security Manager
SIEM-платформа от компании Micro Focus, которую до 2017 года разрабатывала HPE, — это комплексный инструмент для обнаружения, анализа и управления рабочими процессами в режиме реального времени. Средство предоставляет широкие возможности по сбору информации относительно состояния сети и происходящих в ней процессов, а также большой набор готовых наборов правил безопасности. Множество функций в ArcSight Enterprise Security Manager работают в автоматическом режиме, среди которых, например, определение угроз и расстановка приоритетов. Для проведения расследований данный инструмент может интегрироваться с другим фирменным решением — ArcSight Investigate. С его помощью можно обнаруживать неизвестные угрозы и производить быстрый интеллектуальный поиск, а также визуализировать данные.
Платформа умеет обрабатывать информацию с самых разнообразных типов устройств, по заявлению разработчиков, таких насчитывается более 500. Ее механизмы поддерживают все распространенные форматы событий. Собранная из сетевых источников информация преобразуется в универсальный формат для использования на платформе. Такой подход позволяет быстро выявлять ситуации, которые требуют расследования или немедленных действий и помогает администраторам сосредоточить свое внимание на наиболее неотложных угрозах с высокой степенью риска.
Для компаний с разветвленными сетями офисов и подразделений, ArcSight ESM позволяет использовать модель работы SecOps, когда удаленные группы безопасности объединяются и могут в режиме реального времени обмениваться отчетностью, процессами, инструментами и информацией. Так, для всех подразделений и офисов они могут применять централизованные наборы настроек, политик и правил, использовать унифицированные матрицы ролей и прав доступа. Такой подход позволяет быстро реагировать на угрозы в какой части компании они не появлялись бы.
RSA NetWitness Platform
Платформа от компании RSA (одного из подразделений Dell) представляет из себя набор модулей, которые обеспечивают видимость угроз опираясь на данные от разнообразных сетевых источников: конечных точек, NetFlow, защитных устройств, информации из передаваемых пакетов и т. д. Для этого используется комбинация из нескольких физических и/или виртуальных устройств, которые в режиме реального времени обрабатывают информацию и выдают на ее основе предупреждения, а также хранят данные для возможности проведения расследований в будущем. Причем разработчик предлагает архитектуру как для небольших компаний, так и для крупных распределенных сетей.
NetWitness Platform умеет определять инсайдерские угрозы и работает с контекстной информацией о конкретной инфраструктуре, что позволяет расставить приоритетность предупреждений и оптимизировать работу в соответствии со спецификой организации. Также платформа умеет сопоставлять информацию об отдельных инцидентах, что позволяет определить весь масштаб атак на сеть и настроить ее таким образом, чтобы минимизировать подобные риски в будущем.
Разработчики много внимания уделяют работе с конечными точками. Так, в RSA NetWitness Platform для этого есть отдельный модуль, который обеспечивает их видимость как на уровне пользователя, так и на уровне ядра. Средство умеет обнаруживать аномальную активность, блокировать подозрительные процессы и оценивать степень уязвимости конкретного устройства. А собранные данные учитываются в работе всей системы и также влияют на общую оценку защищенности сети.
FireEye Helix Security Platform
Облачная платформа от компании FireEye позволяет организациям контролировать любые инциденты, начиная от оповещения о них и заканчивая исправлением ситуации. Она объединяет в себе множество фирменных инструментов и может интегрироваться со сторонними средствами. В Helix Security Platform широко применяется аналитика поведения пользователей, которая распознает инсайдерские угрозы и атаки, не связанные с вредоносными программами.
Для противодействия угрозам, средство не только использует оповещения администраторов, но и применяет предустановленные наборы правил, которых насчитывается около 400. Это позволяет минимизировать количество ложных срабатываний и освободить администраторов от постоянных проверок сообщений об угрозах. Кроме того, система предлагает возможность проведения расследований и поиска угроз, поведенческий анализ, поддержку множества ресурсов для получения информации и удобное управление всем комплексом безопасности.
Средство хорошо справляется с обнаружением продвинутых угроз. В арсенале Helix Security Platform есть возможность интеграции более 300 инструментов безопасности как от FireEye, так и от сторонних производителей. При помощи анализа контекста других событий, данные инструменты обеспечивают высокий уровень обнаружения скрытых и замаскированных атак.
Rapid7 insightIDR
Компания Rapid7 предлагает клиентам облачную SIEM-платформу, заточенную под анализ поведения. Система проводит глубокий анализ по логам и журналам, а также расставляет специальные ловушки для выявления нелегальных вторжений в сеть. Инструменты insightIDR постоянно ведут наблюдения за деятельностью пользователей и соотносят их с событиями в сети. Это не только помогает выявить инсайдеров, но и предотвратить умышленные нарушения безопасности.
Rapid7 insightIDR постоянно мониторит конечные точки. Это дает возможность увидеть необычные процессы, нетипичное поведение пользователей, странные задачи и т. д. При обнаружении подобных действий система позволяет проверить, повторяются ли они на других компьютерах или остаются локальной проблемой. А при возникновении проблем и расследовании инцидентов применяется визуальный инструмент, который удобно систематизирует накопленные данные по времени и существенно упрощает проведение расследований.
Для лучшего противодействия угрозам эксперты разработчика могут самостоятельно оценить степень защищенности корпоративную среду, начиная от оборудования и заканчивая текущими процессами и политиками. Благодаря этому можно выстроить оптимальную схему защиты сети с нуля при помощи Rapid7 insightIDR или же усовершенствовать имеющиеся схемы работы.
Fortinet FortiSIEM
Комплексное и масштабируемое решение от Fortinet является частью платформы Fortinet Security Fabric. Решение поставляется в виде физических устройств, но может использоваться также на базе облачной инфраструктуры или в качестве виртуального устройства. Средство обеспечивает широкий охват источников информации — поддерживаются более чем 400 устройства других производителей. Среди них конечные точки, устройства интернета вещей, приложения, средства безопасности и многое другое.
Платформа умеет собирать и обрабатывать информацию с конечных точек, в том числе о целостности файлов, изменениях реестра и об установленных программах и других подозрительных событий. FortiSIEM имеет средства глубокого анализа, среди которых поиск событий в реальном времени, а также прошедших событий, поиск по атрибутам и ключевым словам, динамически изменяющиеся списки отслеживания, которые используются для обнаружения критических нарушений и многое другое.
Средство предоставляет администраторам полнофункциональные настраиваемые панели мониторинга, которые существенно повышают удобство работы с системой. У них есть возможность воспроизведения слайд-шоу для демонстрации показателей работы систем, есть возможность генерации разнообразных отчетов и аналитики, а для выделения критических событий используется цветовая маркировка.
Вместо послесловия
На рынке есть очень большое количество SIEM-решений, большинство из которых весьма функциональны. Зачастую их возможности выходят за пределы стандартного определения SIEM и предлагают клиентам самые разнообразные инструменты сетевого менеджмента. Причем многие работают прямо «из коробки», требуя минимального вмешательства при установке и первоначальной настройке. Но тут есть и заковырка: они могут различаться по десятками мелких параметров, рассказать о которых в пределах одного обзора не представляется возможным. Поэтому в каждом конкретном случае нужно подбирать решение не только опираясь на главные потребности предприятия, но и учитывать мелкие детали и будущий рост организации.
Мы обратили ваше внимание на основные моменты, а скрупулезно разобраться в тонкостях и нюансах поможет тестирование пробных версий продуктов. Благо, такую возможность предоставляют практически все вендоры.