Система централизованного сбора событий событий ИБ (SIEM, Security Information and Event Management) - решение для централизованного сбора, анализа и оценки корреляции событий информационной безопасности, которое помогает организациям выявлять угрозы и оперативно на них реагировать.
Журналирование и аудит является основой для эффективного обнаружения аномального поведения и потенциальных атак и проведения расследований.
Рекомендации при внедрении SIEM:
- Интегрировать SIEM со смежными системами — например, службой каталогов Active Directory.
- Настроить взаимосвязь со всеми компонентами ИТ-инфраструктуры: почтой, инструментами мониторинга, антивирусным ПО, межсетевым экраном и другими.
- Определить и подключить источники событий — это могут быть, как устройства (автоматизированные рабочие места, ноутбуки сотрудников, виртуальные машины), так и отдельные подсистемы (СУБД, инструменты виртуализации). Уже имеющиеся средства безопасности — хостовые или с централизованным управлением — также являются источниками событий ИБ.
- Составить собственные правила нормализации, если полученных от производителя недостаточно.
- Разработать правила корреляции, учитывающие особенности инфраструктуры и используемых решений, в том числе для уменьшения количества ложноположительных срабатываний системы.
- Протестировать отправку уведомлений и работоспособность всех компонентов в совокупности.
- История командной строки для привилегированных учетных записей операционной системы на критических активах;
- Журналы средств защиты;
- Журналы приложений и операционной системы, в которых подробно описывается анормальное поведение системы (например, активность в нерабочее время, множественные неудачные попытки входа в систему, ошибки аутентификации, изменения в группах пользователей);
- Журналы брандмауэра;
- Журналы базы данных и прикладного ПО.
Предотвратите потерю записей журналов когда хранилище журналов может быть заполнено. В качестве примера может быть включена ротация журнала, уменьшение объема собираемых записей или игнорирование некоторых событий.
- Учесть SIEM-систему в модуле "Активы" (указать название, сертификат соответствия (при необходимости) и иную информацию.
- SIEM-систему (как актив) привязать к карточке меры как инструмент.
- Описать базовую политику по правилам обработки инцидентов (регламент), добавить Регламент в Реестр документов по защите информации (в модуле активов SECURITM).
- Добавить шаблон регулярной задачи по анализу журналов.
- Добавить шаблон регулярной задачи по настройке журналирования на новых активах.
- Добавить шаблон регулярной задачи по проверке хранения журналов.
Область действия: Вся организация
Классификация
Цепочка мер
| № | Этап 1 | ||||
|---|---|---|---|---|---|
| 1 | Утверждение Регламента регистрации событий безопасности в ИС | ||||
| 2 | Утверждение Регламента аудита безопасности в объектах КИИ | ||||
| 3 | Утверждение Регламента выявления компьютерных инцидентов и реагирования на них |
Ресурсная оценка
|
Качественная оценка |
Количественная оценка |
Итоговая оценка | ||||
|---|---|---|---|---|---|---|
|
Стоимость |
Трудозатраты |
Сложность |
Стоимость, тыс. руб |
Трудозатраты, дней/ год |
||
|
CAPEX ? |
Высокая
|
Средние
|
Средняя
|
Неизвестно
|
Неизвестно
|
11 -
Средняя
|
|
OPEX ? |
Высокая
|
Средние
|
Средняя
|
Неизвестно
|
Неизвестно
|
|
Связанные риски
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.