Мониторинг событий и управление инцидентами информационной безопасности (SIEM)



SIEM или Security Information and Event Management - это система сбора и анализа событий информационной безопасности. В классическом представлении SIEM является лог-коллектором, собирающим события с таких источников как DLP-системы, межсетевые экраны, IPS, серверы, рабочие станции, маршрутизаторы и т.п. и выполняющий их анализ на предмет наличия инцидентов ИБ.

К основным сценариям использования SIEM можно отнести:

  •          Обнаружение атак на ранних этапах
  •          Автоматическое построение полной модели IT-инфраструктуры
  •          Предоставление информации о состоянии IT-инфраструктуры в любой момент времени
  •          Выявление и расследование инцидентов ИБ
  •          Выявление новых типов угроз
  •          Построение оптимальной модели мониторинга безопасности

При этом важно понимать, что SIEM система сама по себе не является средством защиты - это средство для сбора и анализа информации, средство для связывания порой несвязанных инструментов и функций при помощи логики и накапливаемой статистики, что в конечном счете позволяет автоматизировать некоторые процессы информационной безопасности.

Есть смысл рассматривать внедрение SIEM системы, если:

  •          В вашей организации больше 1000 устройств
  •          У Вас уже присутствуют некоторые базовые средства защиты информации, к примеру, антивирусная система, UTM и/или IDS\IPSDLPWeb-прокси и т.д.
  •          Ваша задача – обеспечить автоматизацию процессов службы информационной безопасности;
  •          Требуется оперативность и комплексность принятия решений в области информационной безопасности;
  •          Необходимо соответствовать требованиям закона о защите КИИ

Если Вашей организации требуется SIEM система мы предлагаем:

  •          Провести первичное обследование инфраструктуры и проработать архитектуру решения
  •          Разработать техническое задание и технический проект
  •          Провести установку и базовую настройку SIEM системы
  •          Настроить сбор событий безопасности
  •          Создать правила реагирования на события безопасности
  •          Провести обучение сотрудников, участвующих в работе SIEM системы
  •          Осуществлять сопровождение во время тестовой эксплуатации