Главная › Вики › Информационная безопасность

SIEM: сбор и корреляция событий безопасности

SIEM (Security Information and Event Management — управление информацией и событиями безопасности) — это система, которая собирает логи со всех узлов инфраструктуры в одно место, сопоставляет события между собой и выявляет признаки атаки или инцидента, которые по отдельности выглядят безобидно.

Эта страница — часть разбора аудита информационной безопасности: журналирование и мониторинг — одна из областей, которые проверяет аудит, и SIEM здесь центральный инструмент.

Зачем это нужно

Современная инфраструктура порождает гигантский поток событий: серверы, межсетевые экраны, антивирусы, контроллеры домена, рабочие станции, облачные сервисы — каждый пишет свои логи в своём формате. Когда происходит инцидент, ответы лежат именно в этих логах. Но найти их вручную, разбросанными по двадцати системам, в момент атаки — практически невозможно.

SIEM решает три задачи. Первое — централизация: все логи стекаются в единое хранилище. Второе — корреляция: система видит связь между событиями на разных системах. Третье — оповещение: при срабатывании правила безопасности дежурный получает сигнал в реальном времени, а не узнаёт о взломе через неделю от клиентов.

Как работает корреляция: пример

Сила SIEM — в сопоставлении событий, которые по отдельности не значат ничего. Классический пример цепочки:

10 неудачных попыток входа под учёткой администратора с одного адреса — само по себе бывает (человек забыл пароль);
затем успешный вход под этой учёткой — тоже норма;
сразу после этого — обращение к файловому серверу и массовое чтение файлов ночью;
и почти одновременно — исходящий трафик на незнакомый внешний адрес.

Каждое событие в отдельности не вызывает тревоги. Но SIEM, видя их связку по времени и учётной записи, поднимает инцидент «вероятная компрометация и кража данных» — и делает это в момент атаки, а не постфактум.

Что входит в SIEM

Сбор и нормализация. Агенты и коллекторы собирают логи из разных источников и приводят их к единому формату, чтобы события можно было сравнивать между собой.

Хранилище. Централизованная база событий с поиском. Важна и для расследований: после инцидента нужно поднять, что происходило, и логи должны храниться нужный срок.

Правила корреляции. Логика, которая описывает подозрительные сценарии. Часть правил идёт «из коробки», часть настраивается под конкретную инфраструктуру.

Дашборды и оповещения. Панель состояния безопасности и каналы доставки сигналов дежурной смене.

SIEM и SOC — в чём разница

SIEM часто путают с SOC. Разница простая: SIEM — это инструмент (система), SOC — это процесс и люди. SIEM собирает и коррелирует события, но реагируют на инциденты, расследуют и принимают решения именно специалисты центра мониторинга. SIEM без людей, которые на него смотрят, — это дорогая система, генерирующая алерты в пустоту. Именно поэтому SIEM почти всегда внедряют вместе с организацией процессов реагирования.

Когда нужно бизнесу

Полноценный SIEM оправдан не для всех. Он нужен, если выполняется хотя бы одно условие:

компания обрабатывает чувствительные данные, утечка которых критична (персональные данные клиентов, финансы, коммерческая тайна);
есть требования регуляторов к журналированию событий безопасности;
инфраструктура достаточно большая, чтобы вручную следить за логами было невозможно;
уже были инциденты, и нужно научиться видеть их раньше.

Для совсем небольшой инфраструктуры полноценный SIEM часто избыточен — достаточно базового сбора логов и грамотно настроенных средств защиты, выявить потребность в которых помогает аудит безопасности.

Что включает наша услуга

Оценка, нужен ли вам SIEM вообще, или задачу закрывает более простой мониторинг — по результатам аудита;
Подбор платформы под инфраструктуру и требования (с учётом доступных на дату проекта решений, включая отечественные);
Подключение источников логов: серверы, сетевое оборудование, средства защиты, в том числе IDS/IPS;
Настройка правил корреляции под ваши сценарии угроз;
Мониторинг и реагирование силами нашего NOC 24/7 — чтобы алерты не уходили в пустоту.

SOC — центр мониторинга, который реагирует на инциденты от SIEM
Аудит безопасности — определяет, нужен ли вам SIEM и какие источники подключать
IDS/IPS — системы обнаружения и предотвращения вторжений, источник событий для SIEM

Получить расчёт

Начните с аудита — он покажет, нужен ли вам полноценный SIEM или достаточно базового мониторинга. Свяжитесь с нами, обсудим объём.

Связанные термины

Расчёт стоимости

Нужен мониторинг событий безопасности?

Начните с аудита ИБ — он покажет реальные потребности. Откройте калькулятор или напишите нам.

Открыть калькулятор Получить консультацию