Xavfsizlik ma'lumotlari va tadbirlarni boshqarish - Security information and event management

Xavfsizlik ma'lumotlari va tadbirlarni boshqarish (SIEM) sohasidagi kichik bo'limdir kompyuter xavfsizligi, bu erda dasturiy mahsulotlar va xizmatlar birlashtiriladi xavfsizlik ma'lumotlarini boshqarish (SIM) va xavfsizlik tadbirlarini boshqarish (SEM). Ular ilovalar va tarmoq apparatlari tomonidan yaratilgan xavfsizlik signallarini real vaqtda tahlil qilishni ta'minlaydi.

SIEM sotuvchilari dasturiy ta'minot, maishiy texnika yoki boshqariladigan xizmat sifatida sotadilar; ushbu mahsulotlar, shuningdek, xavfsizlik ma'lumotlarini ro'yxatdan o'tkazish va hisobotlarni yaratish uchun ishlatiladi muvofiqlik maqsadlar.[1]

SIEM atamasi va initsializmi 2005 yilda Gartnerdan Mark Nikolett va Amrit Uilyams tomonidan ishlab chiqilgan.[2]

Umumiy nuqtai

Qisqartmalar SEM, SIM karta va SIEM ba'zan bir-birining o'rnida ishlatilgan,[3] lekin odatda mahsulotlarning turli xil asosiy yo'nalishlariga murojaat qiling:

  • Jurnalni boshqarish: Oddiy yig'ish va saqlashga e'tibor bering jurnal xabarlari va audit yo'llari[4]
  • Xavfsizlik ma'lumotlarini boshqarish (SIM karta ): Uzoq muddatli saqlash, shuningdek jurnal ma'lumotlarini tahlil qilish va hisobot berish.[5]
  • Xavfsizlik tadbirlari menejeri (SEM ): Haqiqiy vaqtda monitoring, voqealar, xabarnomalar va konsollarning o'zaro bog'liqligi.
  • Xavfsizlik ma'lumotlari va tadbirlarni boshqarish (SIEM): SIM va SEM-ni birlashtiradi va tarmoq apparatlari va ilovalari tomonidan ishlab chiqarilgan xavfsizlik signallarini real vaqtda tahlil qilishni ta'minlaydi.[1][6]
  • Boshqariladigan xavfsizlik xizmati: (MSS ) yoki Boshqariladigan xavfsizlik xizmati provayderi: (MSSP): eng keng tarqalgan boshqariladigan xizmatlar ulanish va tarmoqli kengligi, tarmoq monitoringi, xavfsizlik, virtualizatsiya va tabiiy ofatlarni tiklash.
  • Xizmat sifatida xavfsizlik (SECaaS ): Ushbu xavfsizlik xizmatlari ko'pincha o'z ichiga oladi autentifikatsiya, virusga qarshi, zararli dasturlarga qarshi dastur / josuslarga qarshi dastur, kirishni aniqlash, Penetratsiya sinovlari va xavfsizlik tadbirlarini boshqarish va boshqalar.

Amalda ushbu sohadagi ko'plab mahsulotlar ushbu funktsiyalarning aralashmasiga ega bo'ladi, shuning uchun ko'pincha bir-birining ustiga chiqadigan narsalar bo'ladi va ko'plab savdo sotuvchilar ham o'zlarining terminologiyasini targ'ib qiladilar.[7] Ko'pincha tijorat sotuvchilari ushbu funktsiyalarning turli xil kombinatsiyalarini taqdim etadilar, ular SIEMni umuman yaxshilaydi. Faqatgina jurnalni boshqarish tarmoq xavfsizligi to'g'risida real vaqtda tushuncha bermaydi, SEM o'zi tahdidlarni chuqur tahlil qilish uchun to'liq ma'lumotlarni taqdim etmaydi. SEM va jurnallarni boshqarish birlashtirilganda, SIEMni kuzatishi uchun ko'proq ma'lumot mavjud.

Asosiy e'tibor foydalanuvchi va xizmat imtiyozlarini nazorat qilish va boshqarishda yordam berish, katalog xizmatlari va boshqalar[tushuntirish kerak ] tizim konfiguratsiyasining o'zgarishi; shuningdek jurnalni tekshirish va ko'rib chiqish va hodisalarga javob berish.[5]

Imkoniyatlar / tarkibiy qismlar

  • Ma'lumotlarni yig'ish: Jurnalni boshqarish tarmoq, xavfsizlik, serverlar, ma'lumotlar bazalari, dasturlarni o'z ichiga olgan ko'plab manbalardan ma'lumotlarni to'playdi, bu muhim voqealarni o'tkazib yubormaslik uchun kuzatiladigan ma'lumotlarni birlashtirish imkoniyatini beradi.
  • O'zaro bog'liqlik: Umumiy atributlarni qidiradi va voqealarni mazmunli to'plamlarga bog'laydi. Ushbu texnologiya ma'lumotni foydali ma'lumotga aylantirish uchun turli xil manbalarni birlashtirish uchun turli xil korrelyatsiya usullarini bajarish qobiliyatini ta'minlaydi. Korrelyatsiya odatda to'liq SIEM yechimining Xavfsizlik hodisalarini boshqarish qismining funktsiyasidir[8]
  • Ogohlantirish: O'zaro bog'liq hodisalarni avtomatlashtirilgan tahlili
  • Ko'rsatkich panellari: Vositalar voqea ma'lumotlarini olishi va ularni ma'lumot jadvallariga aylantirishi mumkin, bu naqshlarni ko'rish yoki standart namunani shakllantirmaydigan faoliyatni aniqlashga yordam beradi.
  • Muvofiqlik: Ilovalar mavjud xavfsizlik, boshqaruv va audit jarayonlariga mos keladigan hisobotlarni tayyorlab, muvofiqlik ma'lumotlarini yig'ishni avtomatlashtirish uchun ishlatilishi mumkin.[9]
  • Saqlash: Ma'lumotlarning vaqt o'tishi bilan o'zaro bog'liqligini osonlashtirish va muvofiqlik talablari uchun zarur bo'lgan saqlashni ta'minlash uchun tarixiy ma'lumotlarni uzoq muddatli saqlashdan foydalanish. Uzoq muddatli jurnal ma'lumotlarni saqlash sud-tergov ishlarida muhim ahamiyatga ega, chunki tarmoq buzilishi aniqlanishi buzilish vaqtida bo'lishi ehtimoldan yiroq emas.[10]
  • Sud ekspertizasi: Muayyan mezonlarga asoslanib, turli tugunlar va vaqt oralig'idagi jurnallarni qidirish qobiliyati. Bu sizning boshingizdagi jurnal ma'lumotlarini to'plashni yoki minglab va minglab jurnallarni qidirishni yumshatadi.[9]

Ishlardan foydalaning

Kompyuter xavfsizligi bo'yicha tadqiqotchi Kris Kubecka 28C3 xakerlik konferentsiyasida taqdim etilgan quyidagi SIEM foydalanish holatlarini aniqladi (Xaos kongressi ).[11]

  • SIEM ko'rinishi va anomaliyani aniqlash aniqlashga yordam berishi mumkin nol kunlar yoki polimorfik kod. Birinchi navbatda past stavkalar tufayli virusga qarshi ushbu turdagi tez o'zgaruvchan zararli dasturlarga qarshi aniqlash.
  • Tahlil qilish, jurnalni normalizatsiya qilish va toifalarga ajratish, kompyuter yoki tarmoq qurilmasining turidan qat'i nazar, jurnalni yuborishi mumkin bo'lgan holda, avtomatik ravishda sodir bo'lishi mumkin.
  • Xavfsizlik hodisalari va jurnaldagi xatolar yordamida SIEM bilan vizualizatsiya naqshni aniqlashga yordam beradi.
  • Noto'g'ri konfiguratsiyani yoki xavfsizlik muammosini ko'rsatishi mumkin bo'lgan protokol anomaliyalari SIEM bilan naqshni aniqlash, ogohlantirish, asosiy va boshqaruv panellari yordamida aniqlanishi mumkin.
  • SIEMS maxfiy, zararli aloqa va shifrlangan kanallarni aniqlay oladi.
  • Kiber urush hujumchilarni ham, qurbonlarni ham aniqlab, SIEMlar tomonidan aniqlanishi mumkin.

Korrelyatsiya qoidalariga misollar.

SIEM tizimlari yuzlab va minglab korrelyatsion qoidalarga ega bo'lishi mumkin. Ulardan ba'zilari sodda, ba'zilari esa murakkabroq. Korrelyatsiya qoidasi ishga tushirilgandan so'ng tizim kiberhujumni yumshatish uchun tegishli choralarni ko'rishi mumkin. Odatda, bu foydalanuvchiga xabarnoma yuborishni, so'ngra tizimni cheklashni yoki hatto o'chirishni o'z ichiga oladi. Ga binoan UTMStack, bu eng muhimlaridan ba'zilari.

Qo'pol kuchlarni aniqlash

Qo'pol kuchni aniqlash nisbatan to'g'ri oldinga. Brute majburlash doimiy ravishda o'zgaruvchini taxmin qilishga urinish bilan bog'liq. Bu odatda qo'lda yoki asbob yordamida parolingizni doimiy ravishda topishga urinayotgan odamga tegishli. Biroq, bu sizning tizimingizdagi URL manzillarini yoki muhim fayl manzillarini taxmin qilishga urinish haqida bo'lishi mumkin.

Avtomatlashtirilgan qo'pol kuchni aniqlash oson, chunki bir daqiqada 60 marta parolini kiritmoqchi bo'lgan odam imkonsiz.

Mumkin bo'lmagan sayohat

Agar foydalanuvchi tizimga kirsa, umuman aytganda, bu voqea vaqt tamg'asini yaratadi. Shu bilan birga, tizim ko'pincha ishlatilgan qurilma, GPS manzili, IP-manzil, noto'g'ri kirish urinishlari va boshqalar kabi boshqa foydali ma'lumotlarni yozib olishi mumkin. Qancha ko'p ma'lumotlar to'plansa, undan ko'proq foydalanish mumkin. Mumkin bo'lmagan sayohat uchun tizim joriy va oxirgi kirish sanasi / vaqti va qayd qilingan masofalar orasidagi farqni ko'rib chiqadi. Agar buni amalga oshirish mumkin emas deb hisoblasa, masalan, bir daqiqada yuzlab chaqirim yurish bo'lsa, u holda u ogohlantirishni boshlaydi.

Afsuski, hozirda ko'plab xodimlar va foydalanuvchilar VPN xizmatlaridan foydalanmoqdalar, shuning uchun bunday qoidalarni o'rnatishda buni hisobga olish kerak.

Faylni ortiqcha nusxalash

Agar siz kundalik ishlaringiz haqida o'ylayotgan bo'lsangiz, ehtimol tizimdagi ko'plab fayllarni nusxa ko'chirmaysiz yoki ular atrofida harakat qilmaysiz. Shuning uchun tizimdagi har qanday ortiqcha fayllarni nusxalash sizning kompaniyangizga zarar etkazishni istaganlar bilan bog'liq bo'lishi mumkin. Afsuski, bu shunchaki oddiy emaski, kimdir sizning tarmog'ingizga noqonuniy ravishda kirish huquqini qo'lga kiritgan va ular maxfiy ma'lumotlarni o'g'irlamoqchi. Shuningdek, bu kompaniya ma'lumotlarini sotmoqchi bo'lgan xodim bo'lishi mumkin yoki ular hafta oxiri uchun ba'zi fayllarni uyga olib ketishni xohlashlari mumkin.

DDoS hujumi

DDoS (tarqatilgan xizmatni rad etish) hujumi deyarli har qanday kompaniya uchun muammo tug'dirishi mumkin. DDoS hujumi nafaqat veb-xususiyatlaringizni oflayn rejimga o'tkazibgina qolmay, balki tizimingizni zaiflashtirishi mumkin. Tegishli korrelyatsiya qoidalari mavjud bo'lganda, SIEM sizning hujumlar boshlanishida ogohlantirishni boshlashi kerak, shunda siz tizimlaringizni himoya qilish uchun kerakli ehtiyot choralarini ko'rishingiz mumkin.

Fayl yaxlitligini o'zgartirish

Fayllarning yaxlitligi va o'zgarishlarni monitoring qilish (FIM) - bu tizimdagi fayllarni nazorat qilish jarayoni. Tizim fayllaridagi kutilmagan o'zgarishlar ogohlantirishni keltirib chiqaradi, chunki bu kiberhujumni ko'rsatishi mumkin.

Modellar

Korrelyatsiya qoidalari bilan bir qatorda, SIEM modellari ham bo'lishi mumkin. Modellar o'zaro bog'liqlik qoidalaridan bir oz farq qiladi, ammo to'g'ri amalga oshirilsa, u qadar foydali bo'lishi mumkin. Yakkama-yakka korrelyatsiyani qo'llash o'rniga, model ogohlantirishni boshlash uchun bir necha bosqichlarni amalga oshirishni talab qiladi. Bu, odatda, birinchi marta qoidadan keyin g'ayritabiiy xatti-harakatni anglatadi. Bu odatdagidan farqli o'laroq, foydalanuvchi boshqa joydan tizimga kirishi va keyin katta fayl uzatilishini amalga oshirishi kabi oddiy bo'lishi mumkin.

Bu juda foydali bo'lishi mumkin, chunki bitta hodisa tashkilot serverlari yoki tarmog'ida murosaga kelishni anglatmaydi, shunchaki manzarani o'zgartirish uchun kafeda ishlaydigan jamoa a'zosi bo'lishi mumkin.

Noto'g'ri ijobiy bilan ishlash

Afsuski, soxta ijobiy fikrlar hayotning barcha jabhalarida paydo bo'ladi va bu SIEM uchun amal qiladi. Barcha vositalar va tizimlar noto'g'ri ijobiy natija berish imkoniyatiga ega. Masalan, tizimga kirishga urinayotganlar emas, balki parolni unutgan xodim juda ko'p muvaffaqiyatsiz kirish urinishlari bo'lishi mumkin. Har qanday qo'zg'atilgan hodisalar uchun qabul qilingan qadamlar asosli va tegishli o'lchov bo'lishi muhimdir, chunki siz xodimlarni bunday stsenariylarda soatlab qamalishini istamaysiz. [12]

Ogohlantiruvchi misollar

Hodisa sharoitlari to'g'risida ogohlantirish uchun moslashtirilgan qoidalarning ba'zi bir misollari foydalanuvchi autentifikatsiya qilish qoidalari, hujumlar aniqlangan va yuqtirgan kasalliklar bilan bog'liq.[13]

QoidaMaqsadTriggerVoqealar manbalari
Hujum-kirish manbasini takrorlangShafqatsiz hujumlar, parolni taxmin qilish va noto'g'ri tuzilgan dasturlar uchun oldindan ogohlantirish.Bitta xostdan 1 daqiqada 3 yoki undan ortiq muvaffaqiyatsiz kirish to'g'risida ogohlantirish.Active Directory, Syslog (Unix Xosts, Kalitlar, Routerlar, VPN), RADIUS, TACACS, Kuzatiladigan ilovalar.
Hujum-xavfsizlik devorini takrorlangSkanerlash, qurtlarni ko'payishi va boshqalar haqida erta ogohlantirish.Bir daqiqada bitta IP-manzildan 15 yoki undan ortiq xavfsizlik devori tushirish / rad etish / hodisalarni rad etish to'g'risida ogohlantirish.Xavfsizlik devorlari, marshrutizatorlar va kalitlar.
Hujum-tarmoqning kirib kelishining oldini olish tizimini takrorlangSkanerlash, qurtlarni ko'payishi va boshqalar haqida erta ogohlantirish.Bir daqiqada bitta IP-manzildan 7 yoki undan ortiq IDS ogohlantirishlari to'g'risida ogohlantirishTarmoqqa kirishni aniqlash va oldini olish moslamalari
Hujum-xostning kirib kelishining oldini olish tizimini takrorlangYuqtirilgan yoki buzilgan xostlarni toping
(infektsiya xatti-harakatlarini namoyish etish)		10 daqiqada bitta IP-manzildan 3 yoki undan ortiq voqealar to'g'risida ogohlantirishUy egalarining kirib kelishining oldini olish tizimining ogohlantirishlari
Viruslarni aniqlash / yo'q qilishXostda virus, josuslarga qarshi dastur yoki boshqa zararli dastur aniqlanganda ogohlantirishBitta xost zararli dasturning aniqlanadigan qismini ko'rganda ogohlantirishAnti-Virus, HIPS, Network / System Behavioral Anomaliya Detektorlari
Virus yoki shpion dasturi aniqlandi, ammo tozalab bo'lmadiZararli dastur aniqlanganidan beri> 1 soat o'tgach, tegishli virus muvaffaqiyatli o'chirilmaganligi to'g'risida ogohlantirishBitta xost aniqlanganidan keyin 1 soat ichida zararli dasturlarni avtomatik ravishda tozalamasa, ogohlantirishXavfsizlik devori, NIPS, antivirus, HIPS, muvaffaqiyatsiz kirish hodisalari

Shuningdek qarang

Adabiyotlar

  1. ^ a b "SIEM: Bozorning oniy tasviri". Doktor Dobbning jurnali. 5 fevral 2007 yil.
  2. ^ Uilyams, Amrit (2005-05-02). "Xavfsizlikni boshqarish bilan AT xavfsizligini yaxshilash". Olingan 2016-04-09. Xavfsizlik ma'lumotlari va tadbirlarni boshqarish (SIEM)
  3. ^ Svift, Jon (2006 yil 26-dekabr). "SIM / SEM / SIEM-ning amaliy qo'llanilishi, tahdidni aniqlashni avtomatlashtirish" (PDF). SANS instituti. p. 3. Olingan 14 may 2014. ... SIEM qisqartmasi murojaat qilish uchun umumiy tarzda ishlatiladi ...
  4. ^ http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf
  5. ^ a b Jamil, Amir (2010 yil 29 mart). "SEM, SIM va SIEM o'rtasidagi farq".
  6. ^ SIEM kelajagi - bozor ajralib chiqa boshlaydi
  7. ^ Bhatt, S. (2014). "Xavfsizlik ma'lumotlari va tadbirlarni boshqarish tizimlarining operatsion roli". Maxfiylik xavfsizligi va maxfiylik, IEEE. 12: 35–41.
  8. ^ O'zaro bog'liqlik Arxivlandi 2014-10-19 da Orqaga qaytish mashinasi
  9. ^ a b "Muvofiqlikni boshqarish va muvofiqlikni avtomatlashtirish - qanday va qanchalik samarali, 1-qism". accelops.net. Arxivlandi asl nusxasi 2011-07-23. Olingan 2018-05-02.
  10. ^ "2018 yilgi ma'lumotlarni buzish bo'yicha tekshiruvlar hisoboti | Verizon Enterprise Solutions". Verizon Enterprise Solutions. Olingan 2018-05-02.
  11. ^ "28c3: Korrelyatsion dvigatel bilan xavfsizlik jurnalining vizualizatsiyasi". 2011 yil 29 dekabr. Olingan 4-noyabr, 2017.
  12. ^ https://utmstack.com/siem-correlation-rules/
  13. ^ Svift, Jon (2010). "Audit va muvofiqlik uchun muvaffaqiyatli SIEM va jurnallarni boshqarish strategiyalari". SANS instituti.