Sber privacy journal [Автор Неизвестен] (pdf) читать постранично, страница - 3
- Sber privacy journal 7.95 Мб, 61с. скачать: (pdf) - (pdf+fbd) читать: (полностью) - (постранично) - Автор Неизвестен
Книга в формате pdf! Изображения и текст могут не отображаться!
[Настройки текста] [Cбросить фильтры]
- 1
- 2
- 3
- 4
- 5
- . . .
- последняя (36) »
предопределенным
правилам, настроенным на таких средствах защиты.
Таким образом, SIEM-система нового поколения
– это не просто сумма двух ее начальных частей – SIM и SEM, это мощный и эффективный
инструмент для обеспечения информационной
безопасности.
7
Что такое UEBA? URL: https://encyclopedia.kaspersky.ru/glossary/ueba/ (дата
обращения: 27.09.2023)
SBER PRIVACY JOURNAL
ВЫП. 06 | СЕНТЯБРЬ 2023
Технологии
Технология и значимость SIEM
Визуализация собираемых данных
SIEM были разработаны для того, чтобы помочь
специалистам кибербезопасности управлять событиями из различных источников. На эффективность
работы SIEM-системы влияют ее функциональные
возможности. Рассмотрим основные из них:
Фактором, который может препятствовать
анализу событий безопасности, является отсутствие понятного и достоверного
средства визуализации данных. Специалистам кибербезопасности важно наличие
поддержки современных инструментов визуализации, поскольку именно на основе
отображаемых данных сотрудники оценивают текущую обстановку и выбирают необходимый способ реагирования.
Количество источников данных
Одной из главных особенностей SIEMсистемы является возможность сбора
информации из множества разнообразных
источников данных в ИТ-инфраструктуре.
Как правило, это могут быть как «активные»
источники, которые передают данные в
SIEM самостоятельно, так и «пассивные», к
которым SIEM-система обращается сама.
Правила корреляции
Правила корреляции предполагают соотнесение между собой событий, удовлетворяющих тем или иным условиям. Корреляция
помогает специалистам кибербезопасности
осмыслить и понять огромное количество
собираемых данных и отфильтровать те, которые могут быть потенциально опасными.
Успех формирования инцидентов информационной безопасности в SIEM-системе зависит от «силы» правил корреляции.
Объем обрабатываемых данных
Анализ больших объемов данных, собираемых из различных источников, необходим
для получения более полной информации
о событиях и улучшения мониторинга. Для
результативности работы SIEM важна возможность системы поддерживать большие
объемы данных, которые нужны для корреляции событий и их хранения.
Масштабируемость
Для улучшения процессов реагирования
требуется больше мощностей за счет увеличения количества устройств и систем,
охваченных SIEM. При масштабируемости
SIEM-система может расширяться не только за счет увеличения аппаратного обеспечения, но и с точки зрения обрабатываемых событий безопасности.
Хранение
Исторические данные необходимы не
только для обеспечения соответствия нормативным требованиям и предоставления
доказательной базы для проведения расследований. Этими данными также пользуется технология UEBA для осуществления
глубокого поведенческого анализа 8. Поэтому SIEM-системе важно использовать
распределенные хранилища данных для
долгосрочного хранения обработанных
событий.
Таким образом, SIEM-системе, чтобы реагировать на инциденты безопасности как можно раньше,
необходимо совмещать в себе все вышеперечисленные функциональные возможности на высоком
уровне их реализации.
Производительность
Система, обрабатывающая большой объем
данных, не сможет работать оперативно,
если отдельные процессы будет выполняться
слишком долго, а для минимизации последствий инцидентов информационной безопасности очень важно своевременное реагирование на них. Поэтому для SIEM-системы
большое значение имеет ее вычислительная
мощность – скорость выполнения определенных операций, среди которых обработка
правил корреляции, хранение данных (чтение/запись) и прочие.
8
Что такое UEBA? URL: https://encyclopedia.kaspersky.ru/glossary/ueba/ (дата
обращения: 27.09.2023)
ВЫП. 06 | СЕНТЯБРЬ 2023
SBER PRIVACY JOURNAL
7
Технологии
Для большей защиты персональных данных и иной конфиденциальной информации
SIEM интегрируется с такими средствами обеспечения безопасности как DLP-системы11 и
антивирусное программное обеспечение, сокращая тем самым риск утечки информации.
Как работает SIEM-система
Теперь, когда мы рассмотрели основные
функциональные качества системы, поговорим
про этапы работы.
Среди основных этапов:
1
2
3
4
Утечки персональных данных не происходят внезапно. Это ряд событий, которые
сотрудники информационной безопасности упустили из вида и/или в отношении
которых не были вовремя приняты необходимые контрмеры.
Собирает/получает и консолидирует
логи из различных источников. К ним
относятся: серверы, рабочие станции,
средства защиты информации, межсетевые экраны и прочее. В данном случае SIEM-система работает как агрегатор данных.
Симбиоз SIEM и DLP позволяет повысить
оперативность реагирования на инциденты, ведущие к утечке персональных данных, благодаря получению полной информации о действиях
внутреннего нарушителя. Данная интеграция
предотвращает
правилам, настроенным на таких средствах защиты.
Таким образом, SIEM-система нового поколения
– это не просто сумма двух ее начальных частей – SIM и SEM, это мощный и эффективный
инструмент для обеспечения информационной
безопасности.
7
Что такое UEBA? URL: https://encyclopedia.kaspersky.ru/glossary/ueba/ (дата
обращения: 27.09.2023)
SBER PRIVACY JOURNAL
ВЫП. 06 | СЕНТЯБРЬ 2023
Технологии
Технология и значимость SIEM
Визуализация собираемых данных
SIEM были разработаны для того, чтобы помочь
специалистам кибербезопасности управлять событиями из различных источников. На эффективность
работы SIEM-системы влияют ее функциональные
возможности. Рассмотрим основные из них:
Фактором, который может препятствовать
анализу событий безопасности, является отсутствие понятного и достоверного
средства визуализации данных. Специалистам кибербезопасности важно наличие
поддержки современных инструментов визуализации, поскольку именно на основе
отображаемых данных сотрудники оценивают текущую обстановку и выбирают необходимый способ реагирования.
Количество источников данных
Одной из главных особенностей SIEMсистемы является возможность сбора
информации из множества разнообразных
источников данных в ИТ-инфраструктуре.
Как правило, это могут быть как «активные»
источники, которые передают данные в
SIEM самостоятельно, так и «пассивные», к
которым SIEM-система обращается сама.
Правила корреляции
Правила корреляции предполагают соотнесение между собой событий, удовлетворяющих тем или иным условиям. Корреляция
помогает специалистам кибербезопасности
осмыслить и понять огромное количество
собираемых данных и отфильтровать те, которые могут быть потенциально опасными.
Успех формирования инцидентов информационной безопасности в SIEM-системе зависит от «силы» правил корреляции.
Объем обрабатываемых данных
Анализ больших объемов данных, собираемых из различных источников, необходим
для получения более полной информации
о событиях и улучшения мониторинга. Для
результативности работы SIEM важна возможность системы поддерживать большие
объемы данных, которые нужны для корреляции событий и их хранения.
Масштабируемость
Для улучшения процессов реагирования
требуется больше мощностей за счет увеличения количества устройств и систем,
охваченных SIEM. При масштабируемости
SIEM-система может расширяться не только за счет увеличения аппаратного обеспечения, но и с точки зрения обрабатываемых событий безопасности.
Хранение
Исторические данные необходимы не
только для обеспечения соответствия нормативным требованиям и предоставления
доказательной базы для проведения расследований. Этими данными также пользуется технология UEBA для осуществления
глубокого поведенческого анализа 8. Поэтому SIEM-системе важно использовать
распределенные хранилища данных для
долгосрочного хранения обработанных
событий.
Таким образом, SIEM-системе, чтобы реагировать на инциденты безопасности как можно раньше,
необходимо совмещать в себе все вышеперечисленные функциональные возможности на высоком
уровне их реализации.
Производительность
Система, обрабатывающая большой объем
данных, не сможет работать оперативно,
если отдельные процессы будет выполняться
слишком долго, а для минимизации последствий инцидентов информационной безопасности очень важно своевременное реагирование на них. Поэтому для SIEM-системы
большое значение имеет ее вычислительная
мощность – скорость выполнения определенных операций, среди которых обработка
правил корреляции, хранение данных (чтение/запись) и прочие.
8
Что такое UEBA? URL: https://encyclopedia.kaspersky.ru/glossary/ueba/ (дата
обращения: 27.09.2023)
ВЫП. 06 | СЕНТЯБРЬ 2023
SBER PRIVACY JOURNAL
7
Технологии
Для большей защиты персональных данных и иной конфиденциальной информации
SIEM интегрируется с такими средствами обеспечения безопасности как DLP-системы11 и
антивирусное программное обеспечение, сокращая тем самым риск утечки информации.
Как работает SIEM-система
Теперь, когда мы рассмотрели основные
функциональные качества системы, поговорим
про этапы работы.
Среди основных этапов:
1
2
3
4
Утечки персональных данных не происходят внезапно. Это ряд событий, которые
сотрудники информационной безопасности упустили из вида и/или в отношении
которых не были вовремя приняты необходимые контрмеры.
Собирает/получает и консолидирует
логи из различных источников. К ним
относятся: серверы, рабочие станции,
средства защиты информации, межсетевые экраны и прочее. В данном случае SIEM-система работает как агрегатор данных.
Симбиоз SIEM и DLP позволяет повысить
оперативность реагирования на инциденты, ведущие к утечке персональных данных, благодаря получению полной информации о действиях
внутреннего нарушителя. Данная интеграция
предотвращает
- 1
- 2
- 3
- 4
- 5
- . . .
- последняя (36) »
Последние комментарии
10 минут 7 секунд назад
1 час 42 минут назад
5 часов 36 минут назад
5 часов 40 минут назад
11 часов 1 минута назад
1 день 22 часов назад