Системы мониторинга событий безопасности - Сравнение и выбор

Системы мониторинга событий безопасности

Системы сбора и анализа событий по информационной безопасности

Вопрос
Задать вопрос

Описание и назначение

Мониторинга событий информационной безопасности — это процесс проверки всех событий безопасности, получаемых от различных источников. Источниками событий могут быть антивирусные системы, журналы операционных систем, сканеры анализа защищенности инфраструктуры, сетевое оборудование и другие источники, расположенные в инфраструктуре организации. 

Системы мониторинга событий можно разделить на следующие категории:

  • SIEM — системы для управления событиями, полученными из различных источников, позволяющие анализировать события в режиме реального времени.
  • UBA — системы, осуществляющие сбор и анализ действий пользователей для поиска возможных внутренних угроз и атак.
  • UEBA — системы с функцией поиска аномалий в поведении сотрудников и различных систем.
  • Системы контроля эффективности сотрудников, позволяющие анализировать действия пользователей на рабочем месте и контролировать их действия при работе с конфиденциальной информацией.
  • Системы поиска и обнаружения атак, которые направлены на повышение уровня защищенности инфраструктуры организации.

Системы мониторинга событий позволяют проводить инвентаризацию ресурсов автоматизированными средствами, анализировать сетевые приложения, оборудование и веб-сервисы, сокращать затраты на проведение аудита, автоматизировать процесс управления уязвимостями и обеспечивать контроль соответствия политикам информационной безопасности, принятым в организации.

Системы мониторинга событий, как правило, состоят из четырех компонентов:

  • Программные агенты. Такие агенты необходимы для обеспечения сбора информации, которая поступает от источников (программное обеспечение, средства защиты информации, аппаратные компоненты инфраструктуры).
  • Сервер. Этот модуль позволяет выполнять обработку событий безопасности централизованно. Сервер аккумулирует информацию, которая поступает от программных агентов, и обрабатывает поступающие события на основе политик и правил, которые были настроены администраторами безопасности компании.
  • Хранилище данных. Все события безопасности, которые поступают от агентов, передаются на хранение в хранилище данных. У администратора безопасности всегда есть возможность обратиться к событиям, которые были зарегистрированы в последние несколько недель, месяцев (в зависимости от размеров хранилища данных).
  • Консоль управления. Для того чтобы настраивать параметры обработки поступающих событий безопасности, администратору безопасности предоставляется инструмент настройки — консоль централизованного управления. В ней же он может просматривать события информационной безопасности и обращаться к хранилищу данных.

Чтобы корректно настроить мониторинг событий, необходимо определить некоторые параметры и выполнить следующее:

  • определить, что считать инцидентом информационной безопасности, и то, какие типы инцидентов могут быть присущи конкретной организации;
  • определить, какие события могут предшествовать инциденту информационной безопасности;
  • определить, что будет являться источником инцидента информационной безопасности;
  • определить, какие риски могут быть связаны с выбранными инцидентами, и выстроить все риски в соответствии с их приоритетом и важностью в организации.

При выборе системы мониторинга событий необходимо учитывать количество источников событий, которые могут обрабатываться системой мониторинга, возможности анализа событий выбранной системы мониторинга, удобство пользования системой мониторинга (возможности консоли управления, детализация параметров настройки системы мониторинга), а также возможности системы мониторинга по визуализации данных и построению отчетов.

Список средств защиты

LogRhythm
0
0 отзывов
LogRhythm SIEM - решение по управлению информацией и событиями безопасности (SIEM) могут быть реализованы и только на одном устройстве или на единственной инсталляции ПО, обеспечивая управление записями журналов и событиями.
AlienVault
0
0 отзывов
OSSIM, Open Source Security Information and Event Management (SIEM) продукт от компании AlienVault, предлагает Вам насыщенную различными инструментами «Open Source» SIEM систему со сбором, нормализацией и корреляцией событий. 
Forcepoint
0
0 отзывов
Главной угрозой информационной безопасности остается человеческий фактор. Forcepoint Insider Threat призвана защищать данные от широкого спектра угроз. 
Fortscale
0
0 отзывов
Fortscale Presidio позволяет провайдерам безопасности быстро и легко интегрировать расширенные модели поведенческой аналитики в свои собственные платформы безопасности.
Gurucul
0
0 отзывов
Традиционные решения по обеспечению информационной безопасности в современных условиях не эффективны. Решение Gurucul Threat Analytics анализирует поведение пользователей и позволяет оперативно принимать решение на основе полученных данных.
Haystax
0
0 отзывов
Инсайдерские угрозы представляют серьезную проблему для компаний. Haystax Insider Threat собирает информацию о поведении пользователей и анализирует их. На основе данных ИБ сотрудники принимают решение о степени угрозы.
HPE
0
0 отзывов
Niara автоматически выявляет атаки и подозрительное поведение в организации, позволяя специалистам по безопасности тратить меньше времени и ресурсов на изучение инцидентов и реагирование на них.
Interset
0
0 отзывов
Interset используется для сбора данных о работе пользователей, анализе этих данных и возможности принимать решения сотрудниками отдела информационной безопасности.
Splunk
0
0 отзывов
Splunk User Behavior Analytics помогает компаниям обнаруживать инсайдерские угрозы, для этого используется машинное обучение. Достоинством решения является его автономность, от администраторов требуется минимальное участие.
Palo Alto Networks
0
0 отзывов
PA LightCyber Magna - платформа обнаружения атак на базе поведенческого анализа, таргетированные атаки могут обойти старые средства предотвращения вторжений, а затем использовать неконтролируемый доступ к сетевым ресурсам.