+38 (067) 372 39 55

English site

Замовити консультацію

+38 (067) 372 39 55

English site

Замовити консультацію
Сучасний SOC: чому SIEM-системи є необхідними?

Сучасний SOC: чому SIEM-системи є необхідними?

Чому сучасний SOC не може існувати без SIEM? У цій статті ми розкриємо питання важливості наявності SIEM-системи в центрі управління безпекою, розглянемо ключові особливості цієї технології, та розповімо з чого саме має складатися передовий SOC-центр.

Головні особливості сучасного SOC та технологій SIEM

Security operations center (SOC) або центр управління безпекою — це фізичний об’єкт всередині організації, де працюють фахівці з інформаційної безпеки. Їхнє завдання — контролювати питання кібербезпеки, виявляти загрози та порушення, та реагувати на них.

З технологічної точки зору, основою SOC-центру є система управління інформацією та подіями безпеки або security information and event management system (SIEM), яка об’єднує пристрої, збирає журнали та інформацію про події безпеки із сотень інструментів, та спільно з іншими технологічними компонентами зіставляє ці дані та оцінює загрози.

У разі підозрілої активності, команда SOC-центру отримує повідомлення, аналізує їх, вивчає контекст і приймає рішення про подальші дії. Якщо рівень підозрілості події дуже високий, SIEM може самостійно ізолювати процес, а потім вже сповістити аналітиків.

Ключові процеси, які підтримує SIEM, можна описати наступним чином.

  1. Поєднання журналів, класифікація подій. SIEM збирає файли журналів, переформатовує їх у єдиний формат, систематизує та надає співробітникам SOC.
  2. Формування контексту подій, розстановка пріоритетів, пошук та виявлення загроз. Зіставлення подій, які, на перший погляд, здаються безпечними, дозволяє сформувати контекст і виявити загрозу.
  3. Зменшення кількості попереджень. За рахунок того, що система зіставляє дані від різних систем, вона точніше визначає оповіщення, які з більшою ймовірністю пов’язані з реальними подіями безпеки.
  4. Запобігання фішингу. SIEM може визначити, що користувач натиснув на шкідливе посилання та сповістити про це аналітиків SOC.
  5. Виявлення аномальної поведінки серед працівників. Система також може визначати аномалії серед співробітників — вхід у неурочний час, завантаження в мережу або скачування великих обсягів даних, підвищення привілеїв тощо.
  6. Оптимізація робочих процесів. SIEM за рахунок єдиного інтерфейсу користувача забезпечує гнучкість і відносну простоту налаштування, а також дозволяє аналітикам швидше реагувати на загрози.
  7. Відповідність стандартам безпеки. Однією з основних функцій SIEM є формування звітів для відповідності стандартам інформаційної безпеки, нормативним вимогам та законам. Таким як, наприклад, PCI DSS, HIPAA, SOX, GDPR та багатьом іншим.

Побудова SOC-центру, значення та роль SIEM у цьому

Оскільки SIEM-система стає активною тоді, коли подія безпеки вже відбулася, то для надійного захисту інфраструктури організації, SIEM має бути доповнена іншими компонентами.

UEBA-системи

У поєднанні з SIEM, серед іншого, використовуються UEBA-системи (user and entity behavior analytics). Це системи поведінкового аналізу користувачів та подій, які дозволяють легко визначати події з високим ризиком та сповіщати про них аналітиків SOC-центру.

По суті, UEBA реагує на ланцюжки дій. Після кількох тижнів навчання та налаштування така система може сама визначати, що є звичайною рутиною для певного кола користувачів, а що є, власне, інцидент безпеки.

Технології Big Data

SIEM-системи наступного покоління використовують озера даних. Це місце та метод зберігання структурованих та неструктурованих великих обсягів даних, що надходять із різних джерел. Ця інформація використовується SIEM для аналізу, а також машинного навчання UEBA-системи.

Дані Threat Intelligence

Кіберрозвідка — це процес збору інформації про загрози, які зараз націлені або можуть бути націлені на організацію в майбутньому. Дані про кіберзагрози дозволяють вивчити цілі, інструменти та тактику зловмисників для того, щоб підготувати ефективну стратегію захисту.

Інші інструменти:

  • система GRC — система управління ризиками у сфері керівництва та відповідності нормативним вимогам у компанії;
  • IPS та IDS — системи виявлення та запобігання вторгненням;
  • NGFW міжмережеві екрани нового покоління;
  • WAF — міжмережевий екран для веб-додатків;
  • NTA – інструменти аналізу мережевого трафіку;
  • EDR — інструменти виявлення цілеспрямованих атак і складноскладових загроз;
  • також можуть бути присутні сканери вразливостей та інструменти для проведення тесту на проникнення.
  • Play Book — крім технологічних рішень, повинні бути опрацьовані та прописані процедури роботи різних відділів у разі атаки.

Можна сказати, що SIEM-система — це своєрідний скелет, на який нарощується пул з інших технологій, компонентів та масивів даних. Правильне проектування, побудова та налаштування всієї цієї конструкції дозволяє сформувати гармонійну систему захисту, яка управляється однією командою з SOC-центру.

SIEM від Exabeam

Однією з таких SIEM-систем, що підходить для побудови системи кіберзахисту наступного покоління є рішення від Exabeam. Цей продукт поєднує в собі технологію озера даних, хмарну інфраструктуру, UEBA-аналітику, компоненти для автоматичного реагування на інциденти та модуль пошуку загроз.

Детальніше про рішення SIEM >>

Детальніше про SIEM-систему Exabeam >>

Підписатись


Copyright © 2024 ESKA, Inc. All rights reserved.

Terms of Use and Privacy Policy.

Підписатись


Copyright © 2024 ESKA, Inc. All rights reserved.

Terms of Use and Privacy Policy.