Xavfsizlik tadbirlari menejeri - Security event manager

Xavfsizlik tadbirlarini boshqarish (SEM) va tegishli SIM karta va SIEM, bu tarmoqdagi ishlaydigan boshqa dasturlar tomonidan yaratilgan jurnallarni yoki hodisalarni saqlash va talqin qilishni markazlashtirish uchun ma'lumotlarni tekshirish vositalaridan foydalanadigan kompyuter xavfsizligi intizomlari.^[1]^[2]^[3]

Umumiy nuqtai

Qisqartmalar SEM, SIM karta va SIEM ba'zan bir-birining o'rnida ishlatilgan,^[4] lekin odatda mahsulotlarning turli xil asosiy yo'nalishlariga murojaat qiling:

Jurnalni boshqarish: Oddiy yig'ish va saqlashga e'tibor bering jurnal xabarlari va audit yo'llari^[5]
Xavfsizlik ma'lumotlarini boshqarish (SIM karta ): Uzoq muddatli saqlash, shuningdek jurnal ma'lumotlarini tahlil qilish va hisobot berish.
Xavfsizlik tadbirlari menejeri (SEM): Haqiqiy vaqtda monitoring, hodisalar, xabarnomalar va konsol ko'rinishlari o'rtasidagi bog'liqlik.
Xavfsizlik ma'lumotlari va tadbirlarni boshqarish (SIEM ): SIM va SEM-ni birlashtiradi va tarmoq apparatlari va ilovalari tomonidan yaratilgan xavfsizlik signallarini real vaqtda tahlil qilishni ta'minlaydi.^[6]^[7]

Amalda ushbu sohadagi ko'plab mahsulotlar ushbu funktsiyalarning aralashmasiga ega bo'ladi, shuning uchun ko'pincha bir-birining ustiga chiqadigan narsalar bo'ladi va ko'plab savdo sotuvchilar ham o'zlarining terminologiyasini targ'ib qiladilar.^{[iqtibos kerak ]}

Voqealar jurnallari

Kompyuter tarmog'ida ishlaydigan ko'plab tizimlar va dasturlar voqealar jurnallarida saqlanadigan voqealarni yaratadi. Ushbu jurnallar, asosan, sodir bo'lgan tadbirlar ro'yxati bo'lib, yangi voqealar yozuvlari, ular sodir bo'lganda jurnallar oxiriga qo'shiladi. Protokollar, kabi syslog va SNMP, ushbu voqealarni, ular sodir bo'lganidek, voqealar yaratilgan bir xil kompyuterda bo'lmagan dasturiy ta'minotni tashish uchun ishlatilishi mumkin. Yaxshi SEM-lar tadbirlarni yig'ishning eng keng doirasini ta'minlash uchun qo'llab-quvvatlanadigan aloqa protokollarining moslashuvchan to'plamini taqdim etadi.

Barcha tadbirlarni markazlashtirilgan SEM tizimiga quyidagi sabablarga ko'ra yuborish foydalidir:

Barcha jurnallarga kirish izchil markaziy interfeys orqali ta'minlanishi mumkin.
SEM xavfsiz, sudga asoslangan holda saqlash va voqealar jurnallarini arxivlashni ta'minlashi mumkin (bu klassik jurnallarni boshqarish funktsiyasidir).
SEM-da foydali ma'lumot olish uchun jurnallarni qazib olish uchun kuchli hisobot vositalarini ishlatish mumkin.
Voqealar SEMni ahamiyati uchun urganligi sababli ularni tahlil qilish mumkin va ogohlantirishlar va bildirishnomalar zudlik bilan manfaatdor tomonlarga kafolat bo'yicha yuborilishi mumkin.
Bir nechta tizimlarda sodir bo'lgan bog'liq hodisalarni aniqlash mumkin, agar har bir tizimda alohida jurnal bo'lsa, ularni aniqlash juda qiyin bo'ladi.
Tizimdan SEM-ga yuborilgan hodisalar, hatto jo'natuvchi tizim ishlamay qolsa yoki undagi jurnallar tasodifiy yoki qasddan o'chirilsa ham, SEM-da qoladi.

Xavfsizlik tahlili

Markazlashtirilgan jurnalni yozish uzoq vaqtdan beri mavjud bo'lsa-da, SEMlar 1999 yilda E-Security deb nomlangan kichik kompaniya tomonidan kashshof qilingan nisbatan yangi g'oyadir,^[8] va hali ham tez rivojlanmoqda. Xavfsizlik hodisalarini boshqarish vositasining asosiy xususiyati voqealarni yoki qiziqishlarini ta'kidlash uchun to'plangan jurnallarni tahlil qilish qobiliyatidir, masalan, ma'mur yoki Super User logon, oddiy ish soatlaridan tashqarida. Bunga xost ma'lumotlari (qiymat, egasi, joylashuvi va boshqalar), shaxsni tasdiqlovchi ma'lumotlar (ism / familiya, ishchi kuchi identifikatori, menejerning ismi va boshqalar kabi havola qilingan qayd yozuvlari bilan bog'liq foydalanuvchi ma'lumotlari) kabi kontekstli ma'lumotlarni qo'shish mumkin. va hokazo. Ushbu kontekstli ma'lumotlar yanada yaxshi korrelyatsiya va hisobot berish imkoniyatlarini ta'minlash uchun ishlatilishi mumkin va ko'pincha Meta-ma'lumotlar deb nomlanadi. Mahsulotlar, shuningdek, hodisalarni bartaraf etish jarayonida yordam berish uchun tashqi tiklash, chiptalarni sotish va ish oqimlari vositalari bilan birlashtirilishi mumkin. Yaxshi SEMs moslashuvchan, kengaytiriladigan integratsiya imkoniyatlarini ta'minlaydi, SEM mijozlarning ko'pgina muhitlari bilan ishlashini ta'minlaydi.

Normativ talablar

SEMlar tez-tez AQShning me'yoriy talablarini qondirishga yordam berish uchun sotiladi Sarbanes-Oksli, PCI-DSS, GLBA.^{[iqtibos kerak ]}

Standartlashtirish

SEM maydonidagi eng muhim muammolardan biri bu voqea ma'lumotlarini izchil tahlil qilishda qiyinchilik. Har bir sotuvchi va haqiqatan ham ko'p hollarda turli xil mahsulotlar bitta sotuvchidan kelib chiqib, turli xil mulkiy voqea ma'lumotlari formatini va etkazib berish usulidan foydalanadi. Zanjirning bir qismi uchun "standart" ishlatilgan holatlarda ham, masalan Syslog, standartlar odatda ishlab chiquvchilarga voqealarni qanday yaratishda, ma'murlar ularni to'g'ri va ishonchli tarzda to'plashda va iste'molchilar ularni samarali tahlil qilishda yordam beradigan etarli ko'rsatmalarni o'z ichiga olmaydi.

Ushbu muammo bilan kurashishga urinish sifatida er-xotin parallel standartlashtirish ishlari olib borilmoqda. Birinchidan, Ochiq guruh 1997 yilga to'g'ri keladi XDAS standart, bu hech qachon qoralama holatidan o'tmagan. XDAS v2 deb nomlangan ushbu yangi harakat voqealar formatini rasmiylashtirishga harakat qiladi, shu jumladan qaysi voqealar tarkibiga kiritilishi va qanday ifoda etilishi kerak.^{[iqtibos kerak ]} XDAS v2 standarti voqealarni etkazib berish standartlarini o'z ichiga olmaydi, lekin tomonidan ishlab chiqilgan boshqa standartlar Tarqatilgan boshqaruv bo'yicha tezkor guruh o'rash bilan ta'minlashi mumkin.

Bunga qo'chimcha, MITER bilan voqea hisobotini birlashtirish uchun harakatlarni ishlab chiqdi Umumiy voqea ifodasi (CEE), bu voqea tuzilishini va etkazib berish usullarini belgilashga urinish sifatida biroz kengroq edi. Loyiha, ammo 2014 yilda mablag 'bilan tugadi.

Shuningdek qarang

Adabiyotlar

^ "Arxivlangan nusxa". Arxivlandi asl nusxasi 2014-10-19 kunlari. Olingan 2013-07-17.CS1 maint: nom sifatida arxivlangan nusxa (havola) SIEM
^ Xavfsizlik tadbirlarini boshqarishga tayyorgarlik
^ SIM / SEM / SIEM avtomatizatsiyalash tahdidini aniqlashning amaliy qo'llanilishi
^ Svift, Devid (2006 yil 26-dekabr). "SIM / SEM / SIEM-ning amaliy qo'llanilishi, tahdidni aniqlashni avtomatlashtirish" (PDF). SANS instituti. p. 3. Olingan 14 may 2014. ... SIEM qisqartmasi murojaat qilish uchun umumiy tarzda ishlatiladi ...
^ http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf
^ "SIEM: Bozorning oniy tasviri". Doktor Dobbning jurnali. 5 fevral 2007 yil.
^ SIEM kelajagi - bozor ajralib chiqa boshlaydi
^ "Novell elektron xavfsizlikni sotib oladi", 2006 yil, ZDNet

Tashqi havolalar

[1] "Arxivlangan nusxa". Arxivlandi asl nusxasi 2014-10-19 kunlari. Olingan 2013-07-17.CS1 maint: nom sifatida arxivlangan nusxa (havola) SIEM

[2] Xavfsizlik tadbirlarini boshqarishga tayyorgarlik

[3] SIM / SEM / SIEM avtomatizatsiyalash tahdidini aniqlashning amaliy qo'llanilishi

[Generic-4] Svift, Devid (2006 yil 26-dekabr). "SIM / SEM / SIEM-ning amaliy qo'llanilishi, tahdidni aniqlashni avtomatlashtirish" (PDF). SANS instituti. p. 3. Olingan 14 may 2014. ... SIEM qisqartmasi murojaat qilish uchun umumiy tarzda ishlatiladi ...

[5] ttp://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf

[drdobbs2007-6] "SIEM: Bozorning oniy tasviri". Doktor Dobbning jurnali. 5 fevral 2007 yil.

[7] SIEM kelajagi - bozor ajralib chiqa boshlaydi

[8] "Novell elektron xavfsizlikni sotib oladi", 2006 yil, ZDNet

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]