Как быстро выявить, расследовать и устранить угрозу безопасности?

Для выявления, расследования и устранения различных угроз информационной безопасности (ИБ) вам потребуется SIEM – специальное решение для управления событиями и инцидентами ИБ.

SIEM помогает IT-специалистам обнаруживать угрозы, уязвимости и аномалии в режиме реального времени, а также быстро реагировать и расследовать даже старые инциденты безопасности.

Давайте разберем, что это за платформа, для кого она подойдет и почему следует выбрать решение от McAfee.

Что такое SIEM?

SIEM открывает возможность наблюдения за кибербезопасностью компании с управлением информацией и событиями безопасности.

Система приобретает все большее значение для защиты ИТ-инфраструктуры здравоохранения или финансовых систем, а также для предотвращения угроз и потери данных. А все потому, что в SIEM переплетаются разные подходы и технологии к обеспечению безопасности, повышая тем самым ее надежность и эффективность.

По сути SIEM – это уровень управления над существующими средствами безопасности, который обеспечивает просмотр и анализ всей сетевой активности компании с помощью единого интерфейса.

SIEM-платформа включает в себя:

• Агрегацию данных – сбор журнальных сообщений от различных устройств безопасности и хостов, обеспечивающий централизованный доступ к этим данным из единого места. Является ключевым компонентом, предоставляя контрольные журналы, архивы и результаты поиска всех журналов событий для просмотра при возникновении инцидентов.
• Управление событиями безопасности – компонент, ориентированный на события в реальном времени, генерируемые устройствами безопасности, сетевыми устройствами, системами и приложениями, которые представляют возможные последствия для безопасности.
• Управление информацией о безопасности – компонент, ориентированный на данные журнала безопасности, генерируемые хост-системами, приложениями и устройствами безопасности (такими как брандмауэры, прокси-серверы, системы обнаружения и предотвращения вторжений, антивирусное программное обеспечение и т. п.).
• Корреляция событий – технология для интеграции исходных данных из разных источников и связывания событий в кластеры.

Например, SIEM предупредит об успешном или неудачном входе в систему, действиям с вредоносным ПО или повышению привилегий. Подобные сведения отправляются в виде предупреждений или высвечиваются аналитикам безопасности на панели мониторинга в единой консоли платформы.

В состав SIEM могут входить:

• Анализ поведения пользователей и объектов (UEBA).
• Обнаружение конечных точек.
• Платформы для анализа угроз.
• Различные решения для оценки уязвимостей.
• Системы предотвращения вторжений (IPS).
• Системы управления, контроля рисков и соответствия требованиям.

Кому нужна SIEM-система?

Так для кого все-таки предназначена SIEM? Основными пользователями являются сотрудники информационной безопасности, которым требуется вся информация и средства автоматизации для того, чтобы защитить компанию от кибер-угроз.

Аналитики безопасности используют системы SIEM для:

• Отслеживания действий пользователей.
• Анализа поведения пользователей.
• Наблюдения за состоянием систем в режиме реального времени.
• Наблюдения за перемещением данных и активности приложений.

С помощью доступа к журналам, событиям и инцидентам безопасности специалисты быстро выяснят причину сбоя и эффективно решат проблему. К тому же инструменты SIEM помогут вернуть деятельность компании в обычный режим в случае возникновения кибер-инцидентов.

Эффективные решения SIEM должны быть в состоянии обработать приходящие события с таких систем как межсетевые экраны, системы обнаружения вторжений, антивирусной системы, журналы событий с основных серверов, ключевых приложений и серверов баз данных, а также журналы активных серверов каталогов и веб-серверов.

Итак, если вы создаете надежную стратегию безопасности для своей организации, важным фактором будет выбор решения для управления журналами, которое будет расти по мере роста инфраструктуры. Мы предлагаем воспользоваться решением нашего партнера McAfee.

Решение SIEM от McAfee

Поскольку угрозы и стоимость ущербов растут день ото дня, роль решений SIEM стала неоценимой в вопросах реагирования на инциденты и обнаружения нарушений.

Возможности McAfee SIEM:

• Неограниченная масштабируемость.
• Хранение неограниченного количества исторических данных.
• Автоматизированный сбор данных из любого источника.
• Обнаружение угроз на основе машинного обучения.
• Анализ моделей поведения для обнаружения аномалий.
• Интеграция с ИТ-инструментами для реагирования на инциденты.
• Возможность обнаружения попыток злоумышленников осуществить горизонтальные перемещения в сети предприятия.
• Автоматическое реагирование на инциденты.
• Обнаружение сложных многоступенчатых атак с помощью правил корреляции.
• Бессигнатурное обнаружение угроз.
• Удобные панели мониторинга и управления решением.

Ключевые компоненты решения:

• McAfee Advanced Correlation Engine (ACE) – модуль расширенной корреляции, которая может быть основана как на наборах правил, так и на рисках, принимаемых на предприятии при наблюдениях за высокоценными активами. Так же данный модуль осуществляет построение и наблюдение за отклонениями от нормального распределения событий. Все функции данного модуля работают как в режиме реального времени, так и в историческом режиме.
• McAfee Application Data Monitor (ADM) – анализирует потоки трафика, предоставляя обширную информацию о рисках на уровне приложений.
• McAfee Direct Attached Storage – аппаратное расширение СХД для ПАК модулей ESM и ELM.
• McAfee Enterprise Log Manager (ELM) – собирает и хранит «сырые» для обеспечения соответствия требованиям отраслевых и государственных регуляторов и в том числе для осуществления поиска по этим данным.
• McAfee Enterprise Log Search (ELS) – модуль высокоскоростного и гибкого поиска по «сырым» данным для проведения быстрых расследований инцидентов.
• McAfee Enterprise Security Manager (ESM) – центральная консоль SIEM для наблюдения, управления, составления отчетности и выполнения абсолютно всех основных процессов. Включает в себя высокопроизводительную базу данных (входит в стоимость решения).
• McAfee Event Receiver (ERC) – собирает события, и сетевые flow (потоки) сторонних производителей и самого McAfee.
• McAfee Global Threat Intelligence (GTI) – глобальный репутационный источник индикаторов компрометации (IOC) для максимально точного реагирования на возникающие события.

С помощью данного решения вы сможете автоматизировать и ускорить процессы наблюдения и реагирования, а также своевременно выявлять угрозы и реагировать на инциденты!

Статья составлена совместно с нашим партнером McAfee.