SIEM / О SIEM-системах

 

ЧТО ТАКОЕ SIEM И ЗАЧЕМ ОНИ НУЖНЫ

Система обеспечения информационной безопасности предприятия может включать в себя множество компонентов, это и антивирусные продукты, и сетевые системы предотвращения вторжений, межсетевые экраны, системы контроля доступа к внешним устройствам и портам, системы предотвращения утечек конфиденциальной информации, впрочем и операционная система тоже содержит в себе не один встроенный механизм обеспечения ИБ. Это не полный список средств ИБ, множество разнообразных программно аппаратных комплексов, находятся в постоянной активности "событие - действие - реакция"... И работают в полной, или частичной изоляции друг от друга. Увы, но такая система не дает возможности оценить ситуацию в целом - это не самая эффективная система.
 
Есть ли решения для консолидации генерируемых событий СЗИ? Да, такие системы есть и этот класс систем называется SIEM, т.е. Security Information and Event Management - Системы управления событиями и инцидентами информационной безопасности. Их основная задача - консолидация событий ИБ и определение среди них инцидентов. Для наглядности приведём простой пример:
  • Произошло первое событие - сработала система IDS, обнаружив аномалию в трафике от хоста x.x.x.x к хосту y.y.y.y, но трафик не был заблокирован (действительно, блокировка трафика по аномалиям вероятно не самое лучшее решение для большинства рабочих сред).
  • Произошло второе событие - от хоста y.y.y.y были обнаружены аномалии в трафике к хостам в сетевом сегменте, в который он входит.
  • Произошло третье событие - на некоторых системах сработали эвристические механизмы антивирусов.
У нас есть несколько событий, поступивших в SIEM. Система сопоставляет их, используя правила корреляции, и создает один инцидент - "Вирусное заражение через сеть компании". То есть для решения таких задач, SIEM работает как автоматизированная экспертная система, а в случае необходимости может применять предопределенные действия для типовых ситуаций. Естественно, одним из таких действий может быть перенаправление уведомлений о важных инцидентах ответственным лицам, для принятия мер по устранению "ситуации" как можно раньше. Но так же это могут быть и другие предопределенные действия, к примеру это может быть скрипт с помощью которого "источник заражения", приведенный в примере, перемещается в изолированный VLAN системой NAC.
 
Это вид систем обеспечения информационной безопасности, стоящих над всеми остальными системами, их задача повысить эффективность использования всех систем информационной безопасности. Конечно не стоит считать, что SIEM является панацеей, способной излечить инфраструктуру от всех бед. Это не совсем верно, правильно будет сказать, что системы этого класса позволяют выявлять инциденты информационной безопасности, на начальной стадии, соответственно, если будут предприняты правильные меры, последствия инцидента будут значительно минимизированы.

 

КАК РАБОТАЮТ SIEM'Ы?

SIEM весьма сложные системы и их работу можно разбить на несколько уровней:

 

LOG COLLECTION

Сбор логов от разных источников, таких как роутеры, коммутаторы, фаэрволы, unix и windows сервера, антивирусы, системы предотвращения вторжений и многих других источников. На сервер SIEM'а логи могут доставляться разными способами, например Syslog, SNMP, или передача логов от программного агента.

 

NORMALIZATION

После того как логи попадают в SIEM, они должны пройти процедуру называемую "Нормализация". Лог-журналы различных систем ни как не стандартизированы и равнозначные по смыслу события, могут быть записаны в абсолютно разных форматах. К примеру, если посмотреть на события аутентификации на сетевом оборудовании, в домене Windows, в информационной системе, на интернет сайте и на сервере UNIX, то мы увидим пять абсолютно разных записей в лог-журнале. Но суть события везде одинакова - пользователь прошел аутентификацию. Процесс переведения записей лог-журналов в единый стандартный вид называется "нормализацией". В ходе этого процесса, специальные компоненты SIEM системы построчно разбирают журналы регистрации событий, находят в них необходимые атрибуты и осуществляют их привязку "Маппинг" к стандартизированным полям формата хранения событий. Таким стандартом в Prelude является формат IDMEF.

 

CORRELATION

Один из самых важных уровней SIEM систем является уровень корреляции, на котором система выявляет взаимосвязь между событиями в системе, за счет этой возможности системы выявляют такие события как:
  • подбор паролей учетных записей;
  • вирусные эпидемии и активность сетевых червей;
  • аномальную активность систем;
  • изменение важных параметров ИТ-инфраструктуры;
  • и многие другие
Конечно, не всем подходит предопределенный набор правил корреляции, модель угроз разных компаний может существенно отличаться и не может существовать одного решения для всех, которое решит проблемы. Однако во всех SIEM-системах существуют инструменты, которые дают возможность настроить свои правила корреляции. Prelude не является исключением, таким инструментом служит простой объектно-ориентированный язык Python, который делает возможности корреляционного ядра практически безграничными.

 

STORAGE

Ядро SIEM'а принимает события от различных источников в нормализованном виде и записывает их в базу данных. Собирая логи в единое хранилище, мы получаем централизованную систему, их хранения, которая в дальнейшем нам понадобится для отчетности и визуализации событий безопасности.

 

NOTIFICATION

Этот уровень работы SIEM систем обеспечивает возможность внедрения процессов реакции на инциденты, интеграции системы с Help Desk системами и уведомления о важных событиях.

 

VISUALIZATION & REPORTING

Непосредственно уровень работы с событиями, которые тысячами поступают в систему от разных источников, стоит ли упоминать, что SIEM должен обладать функциональными возможностями по фильтрации, консолидация и агрегации данных? Это необходимый набор функций, без них управление событиями становится невозможным.