SIEM – обработка событий и выявление угроз
Утечки данных могут происходить в результате несанкционированного обращения сотрудника к определенному ресурсу либо из-за того, что администраторы назначили расширенные права доступа к данному ресурсу. Такие события должны стать причиной для беспокойства, но не всегда предприниматели могут самостоятельно отследить их.
Чтобы обеспечить высокий уровень безопасности, необходимо использовать SIEM-системы.
Утечки информации не происходят внезапно!
Предприниматели не всегда обращают внимание на ряд событий, которые указывают на то, что кто-то из сотрудников работает нечестно.
Что такое SIEM система
SIEM (Security information and event management) – представляет собой комплекс решений в сфере информационной безопасности. Она , отвечает за сбор, анализ и предоставление информации, а также обнаружение атак и нарушения критериев безопасности в режиме реального времени. Данные собираются из сетевых устройств, средств для обеспечения защиты информации и прочих информационных систем.
Установка SIEM системы позволяет юридическим лицам и предпринимателям получить многофункциональный инструмент. В компании клиента он обеспечивает достаточный уровень прозрачности функционирования всей ИТ-инфраструктуры.
Кому подходит SIEM
SIEM подходит организациям, которым важно видеть полную картину по событиям безопасности и быстро выявлять аномалии в инфраструктуре. Решение актуально, если:
- В компании есть несколько площадок/офисов/филиалов и требуется единый контроль
- Важно централизованно анализировать события с серверов, рабочих станций и сетевого оборудования
- Требуется оперативно фиксировать инциденты и сокращать время реакции
- Нужно контролировать доступы и выявлять нестандартное поведение пользователей и систем
Что вы получите по итогам внедрения
После настройки SIEM вы получаете централизованный сбор и обработку событий с ключевых компонентов инфраструктуры, а также понятный механизм оповещения о подозрительных действиях.
Дополнительно формируются отчеты и представления для контроля безопасности и анализа инцидентов, чтобы можно было быстрее находить причины событий и принимать решения по усилению защиты.
Как работает SIEM система
Система SIEM в процессе функционирования применяет определенный алгоритм действий. Он заключается в следующих этапах:
Сбор событий
Сначала собираются различные события, которые происходят в условиях одной организации. Они поступают в единую базу из разных источников. Сюда относят: сетевое оборудование, программное обеспечение, средства защиты, операционную систему и др.
Cистематизация информации
Разнородные данные приводятся к общему виду. На этом этапе происходит систематизация информации.
Анализ полученных данных
Система позволяет своевременно определить угрозу для утечки информации из компании.
Фиксация инцидента
Оповещение клиента осуществляется в режиме реального времени.
SIEM постоянно контролирует БД, которые используются на предприятиях, бухгалтерское программное обеспечение, антивирусы, DLP, виртуальные среды. Это ценный инструмент, который помогает службе безопасности контролировать защиту данных.
Варианты использования SIEM
ЗАО «Банковско-финансовая телесеть» предлагает своим клиентам воспользоваться комплексной услугой, в отличие от иных поставщиков, предлагающих только купить SIEM систему. Система может разворачиваться как на мощностях клиента так и на оборудовании ЗАО «Банковско-финансовая телесеть».
Можно выделить следующие преимущества сотрудничества:
Готовый продукт:
Каждый клиент получает продукт с предустановленными политиками безопаcности, который уже готов к запуску и последующему использованию.
Интеграция с ИТ-инфраструктурой:
Простая интеграция с ИТ-инфраструктурой клиента, отсутствие конфликтов с разным программным обеспечением, настройка системы под нужные задачи с учетом технических характеристик корпоративной сети клиента.
Интеграция с ИБ-решениями:
Простая интеграция с другими ИБ-решениями. В случае, если у клиента уже есть иные системы для защиты (DLP, IDS, IDM), внедрение системы SIEM дополнит их и укрепит границы корпоративной сети.
Что нужно подготовить для консультации
Чтобы быстрее подобрать вариант внедрения, подготовьте:
Список систем и источников событий, которые важно подключить (серверы, рабочие станции, сетевое оборудование, средства защиты и т.д.)
Желаемый формат размещения (на ваших мощностях или на стороне БФТ)
Примерное количество узлов/пользователей и наличие филиалов (если есть)
Контактное лицо для уточнения технических деталей
Вопрос–ответ
SIEM как услуга позволяет использовать готовое решение без необходимости самостоятельно разворачивать инфраструктуру и поддерживать его работу. Клиент получает подключение источников событий, настройку правил обработки и сопровождение в рамках услуги.
Вариант размещения подбирается по задаче. SIEM может быть размещена на площадке заказчика или на стороне БФТ — в зависимости от требований к инфраструктуре и формату взаимодействия.
К SIEM можно подключать различные источники событий: серверы и рабочие станции, сетевое оборудование, системы контроля доступа, средства защиты информации (например, антивирусы и другие решения), а также иные компоненты инфраструктуры, которые формируют журналы событий.
Срок зависит от количества источников, сложности инфраструктуры и требований к корреляции событий. После первичного уточнения задачи специалисты согласуют перечень подключаемых систем и порядок запуска.
Да. При необходимости можно начать с ограниченного набора источников, проверить работу сценариев мониторинга и оповещений, а затем расширить подключение на остальную инфраструктуру.
Заинтересовало решение SIEM? Задайте вопрос менеджеру ЗАО «Банковско-финансовая телесеть»:
Услуга оказывается на основе решений Libra Siem.
