Содержание статьи
Что такое SIEM
Управление информацией и событиями безопасности (SIEM) - это набор инструментов и услуг, предлагающих целостное представление об информационной безопасности организации.
Инструменты SIEM обеспечивают:
Информацию о безопасности и процесс управления событиями можно разбить следующим образом:
Информация о безопасности и инструменты управления событиями
На рынке имеется ряд решений по безопасности и управлению событиями. Arcsight ESM, IBM QRadar и Splunk - одни из самых популярных.
ArcSight
ArcSight собирает и анализирует данные журналов корпоративных технологий безопасности, операционных систем и приложений. При обнаружении вредоносной угрозы система предупреждает сотрудников службы безопасности.
ArcSight также может запускать автоматическую реакцию, чтобы остановить вредоносную активность. Еще одна особенность - возможность интеграции сторонних источников информации об угрозах для более точного обнаружения угроз.
IBM QRadar
IBM QRadar собирает данные журналов из источников в информационной системе предприятия, включая сетевые устройства, операционные системы, приложения и действия пользователей.
QRadar SIEM анализирует данные журнала в режиме реального времени, позволяя пользователям быстро выявлять и блокировать атаки. QRadar также может собирать события журнала и данные сетевого потока из облачных приложений. Этот SIEM также поддерживает каналы аналитики угроз.
Splunk
Splunk Enterprise Security обеспечивает мониторинг угроз в реальном времени, быстрое расследование с использованием визуальных корреляций и исследовательский анализ для отслеживания динамических действий, связанных с расширенными угрозами безопасности.
Splunk SIEM доступен как локально установленное программное обеспечение или как облачная служба. Он поддерживает интеграцию каналов аналитики угроз из сторонних приложений.
Соответствие SIEM и PCI DSS
Инструменты SIEM могут помочь организации стать совместимой с PCI DSS. Этот стандарт безопасности заверяет клиентов компании в том, что их кредитные карты и платежные данные останутся в безопасности от кражи или неправомерного использования.
SIEM может соответствовать следующим требованиям PCI DSS:
Интеграция SIEM с решениями безопасности
Imperva обеспечивает интеграцию под ключ с ведущими решениями SIEM, включая ArcSight и Splunk.
Это позволяет нашим клиентам легко интегрировать данные безопасности, предоставляемые нашими продуктами, в выбранную ими платформу SIEM, где к ним можно будет легко получить доступ и просмотреть в более широком контексте.
Данные инкапсулы, интегрированные с инструментом SIEM. Imperva интегрирована со Splunk.
Интеграция Imperva SIEM специально разработана для удовлетворения потребностей вашего приложения в безопасности, что позволяет избежать шума и расставить приоритеты для угроз с высоким риском. В то же время вы получите полезную информацию.
Конкретные функции в наших пакетах интеграции включают настраиваемые правила для корреляции событий безопасности, параметры для анализа угроз для конкретного сайта, предварительно определенную оптимизированную панель мониторинга и многое другое.
- Что такое SIEM
- Информация о безопасности и инструменты управления событиями
- Соответствие SIEM и PCI DSS
- Интеграция SIEM с решениями безопасности
Что такое SIEM
Управление информацией и событиями безопасности (SIEM) - это набор инструментов и услуг, предлагающих целостное представление об информационной безопасности организации.
Инструменты SIEM обеспечивают:
- Видимость в реальном времени систем информационной безопасности организации.
- Управление журналом событий, объединяющее данные из множества источников.
- Корреляция событий, собранных из разных журналов или источников безопасности, с использованием правил «если-то», которые добавляют интеллектуальности необработанным данным.
- Автоматические уведомления о событиях безопасности. Большинство систем SIEM предоставляют панели мониторинга для проблем безопасности и других методов прямого уведомления.
Информацию о безопасности и процесс управления событиями можно разбить следующим образом:
- Сбор данных - все источники информации о сетевой безопасности, например серверы, операционные системы, брандмауэры, антивирусное программное обеспечение и системы предотвращения вторжений, настроены для передачи данных о событиях в инструмент SIEM. Большинство современных инструментов SIEM используют агентов для сбора журналов событий из корпоративных систем, которые затем обрабатываются, фильтруются и отправляются в SIEM. Некоторые SIEM допускают сбор данных без агентов. Например, Splunk предлагает безагентный сбор данных в Windows с помощью WMI.
- Политики - профиль создается администратором SIEM, который определяет поведение корпоративных систем как в нормальных условиях, так и во время заранее определенных инцидентов безопасности. SIEM предоставляют правила, предупреждения, отчеты и информационные панели по умолчанию, которые можно настраивать и настраивать в соответствии с конкретными потребностями безопасности.
- Консолидация и корреляция данных - решения SIEM объединяют, анализируют и анализируют файлы журналов. Затем события классифицируются на основе необработанных данных и применяются правила корреляции, которые объединяют отдельные события данных в значимые проблемы безопасности.
- Уведомления - если событие или набор событий запускают правило SIEM, система уведомляет персонал службы безопасности.
Информация о безопасности и инструменты управления событиями
На рынке имеется ряд решений по безопасности и управлению событиями. Arcsight ESM, IBM QRadar и Splunk - одни из самых популярных.
ArcSight
ArcSight собирает и анализирует данные журналов корпоративных технологий безопасности, операционных систем и приложений. При обнаружении вредоносной угрозы система предупреждает сотрудников службы безопасности.
ArcSight также может запускать автоматическую реакцию, чтобы остановить вредоносную активность. Еще одна особенность - возможность интеграции сторонних источников информации об угрозах для более точного обнаружения угроз.
IBM QRadar
IBM QRadar собирает данные журналов из источников в информационной системе предприятия, включая сетевые устройства, операционные системы, приложения и действия пользователей.
QRadar SIEM анализирует данные журнала в режиме реального времени, позволяя пользователям быстро выявлять и блокировать атаки. QRadar также может собирать события журнала и данные сетевого потока из облачных приложений. Этот SIEM также поддерживает каналы аналитики угроз.
Splunk
Splunk Enterprise Security обеспечивает мониторинг угроз в реальном времени, быстрое расследование с использованием визуальных корреляций и исследовательский анализ для отслеживания динамических действий, связанных с расширенными угрозами безопасности.
Splunk SIEM доступен как локально установленное программное обеспечение или как облачная служба. Он поддерживает интеграцию каналов аналитики угроз из сторонних приложений.
Соответствие SIEM и PCI DSS
Инструменты SIEM могут помочь организации стать совместимой с PCI DSS. Этот стандарт безопасности заверяет клиентов компании в том, что их кредитные карты и платежные данные останутся в безопасности от кражи или неправомерного использования.
SIEM может соответствовать следующим требованиям PCI DSS:
- Обнаружение неавторизованных сетевых подключений - организациям, совместимым с PCI DSS, нужна система, которая обнаруживает все несанкционированные сетевые подключения к / от ИТ-активов организации. В качестве такой системы можно использовать SIEM-решение.
- Поиск небезопасных протоколов - SIEM может задокументировать и обосновать использование разрешенных организацией услуг, протоколов и портов, а также задокументировать функции безопасности, реализованные для небезопасных протоколов.
- Проверяйте потоки трафика через DMZ - организациям, совместимым с PCI, необходимо внедрить DMZ, которая управляет соединениями между ненадежными сетями (например, Интернетом) и веб-сервером. Кроме того, входящий интернет-трафик на IP-адреса в DMZ должен быть ограничен, а исходящий трафик, связанный с данными держателя карты, должен быть оценен.
Интеграция SIEM с решениями безопасности
Imperva обеспечивает интеграцию под ключ с ведущими решениями SIEM, включая ArcSight и Splunk.
Это позволяет нашим клиентам легко интегрировать данные безопасности, предоставляемые нашими продуктами, в выбранную ими платформу SIEM, где к ним можно будет легко получить доступ и просмотреть в более широком контексте.
Данные инкапсулы, интегрированные с инструментом SIEM. Imperva интегрирована со Splunk.
Интеграция Imperva SIEM специально разработана для удовлетворения потребностей вашего приложения в безопасности, что позволяет избежать шума и расставить приоритеты для угроз с высоким риском. В то же время вы получите полезную информацию.
Конкретные функции в наших пакетах интеграции включают настраиваемые правила для корреляции событий безопасности, параметры для анализа угроз для конкретного сайта, предварительно определенную оптимизированную панель мониторинга и многое другое.
