Куда я попал?
Внедрение системы централизованного сбора событий информационной безопасности (SIEM)
Цель: повышение эффективности защиты ИТ инфраструктуры от угроз информационной безопасности (ИБ) путем сбора и обработки событий ИБ, выявления инцидентов ИБ и при необходимости организация передачи сведений о зафиксированных инцидентах в различные внешние системы (ГосСОПКА, ФинЦЕРТ и т.д.).
Система централизованного сбора событий событий ИБ (SIEM, Security Information and Event Management) - решение для централизованного сбора, анализа и оценки корреляции событий информационной безопасности, которое помогает организациям выявлять угрозы и оперативно на них реагировать.
Журналирование и аудит является основой для эффективного обнаружения аномального поведения и потенциальных атак и проведения расследований.
Рекомендации при внедрении SIEM:
Система централизованного сбора событий событий ИБ (SIEM, Security Information and Event Management) - решение для централизованного сбора, анализа и оценки корреляции событий информационной безопасности, которое помогает организациям выявлять угрозы и оперативно на них реагировать.
Журналирование и аудит является основой для эффективного обнаружения аномального поведения и потенциальных атак и проведения расследований.
Рекомендации при внедрении SIEM:
- Интегрировать SIEM со смежными системами — например, службой каталогов Active Directory.
- Настроить взаимосвязь со всеми компонентами ИТ-инфраструктуры: почтой, инструментами мониторинга, антивирусным ПО, межсетевым экраном и другими.
- Определить и подключить источники событий — это могут быть, как устройства (автоматизированные рабочие места, ноутбуки сотрудников, виртуальные машины), так и отдельные подсистемы (СУБД, инструменты виртуализации). Уже имеющиеся средства безопасности — хостовые или с централизованным управлением — также являются источниками событий ИБ.
- Составить собственные правила нормализации, если полученных от производителя недостаточно.
- Разработать правила корреляции, учитывающие особенности инфраструктуры и используемых решений, в том числе для уменьшения количества ложноположительных срабатываний системы.
- Протестировать отправку уведомлений и работоспособность всех компонентов в совокупности.
Минимальный перечень регистрируемых событий:
- История командной строки для привилегированных учетных записей операционной системы на критических активах;
- Журналы средств защиты;
- Журналы приложений и операционной системы, в которых подробно описывается анормальное поведение системы (например, активность в нерабочее время, множественные неудачные попытки входа в систему, ошибки аутентификации, изменения в группах пользователей);
- Журналы брандмауэра;
- Журналы базы данных и прикладного ПО.
Хранение журналов должно соответствовать требованиям регулятора и правилам сферы деятельности организации. Журналы должны храниться от трех до 12 месяцев и быть защищены от компрометации на уровне администратора.
Предотвратите потерю записей журналов когда хранилище журналов может быть заполнено. В качестве примера может быть включена ротация журнала, уменьшение объема собираемых записей или игнорирование некоторых событий.
Предотвратите потерю записей журналов когда хранилище журналов может быть заполнено. В качестве примера может быть включена ротация журнала, уменьшение объема собираемых записей или игнорирование некоторых событий.
Рекомендации к заполнению карточки:
- Учесть SIEM-систему в модуле "Активы" (указать название, сертификат соответствия (при необходимости) и иную информацию.
- SIEM-систему (как актив) привязать к карточке меры как инструмент.
- Описать базовую политику по правилам обработки инцидентов (регламент), добавить Регламент в Реестр документов по защите информации (в модуле активов SECURITM).
- Добавить шаблон регулярной задачи по анализу журналов.
- Добавить шаблон регулярной задачи по настройке журналирования на новых активах.
- Добавить шаблон регулярной задачи по проверке хранения журналов.
Область действия: Вся организация
Классификация
Тип
Техническая
?
Детективная
?
Реализация
Автоматически
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено
Внедрение системы централизованного сбора событий информационной безопасности (SIEM)
Последующие меры
| № | Этап 1 | ||||
|---|---|---|---|---|---|
| 1 | Утверждение Регламента регистрации событий безопасности в ИС | ||||
| 2 | Утверждение Регламента аудита безопасности в объектах КИИ | ||||
| 3 | Утверждение Регламента выявления компьютерных инцидентов и реагирования на них |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.