В современных вычислительных сетях и информационных системах обычно используется большое количество разнородных средств защиты информации. Межсетевые экраны, системы обнаружения вторжений, сетевые устройства, операционные системы, антивирусы, базы данных, различные приложения генерируют огромное количество событий безопасности. Журналы событий каждого компонента хранятся отдельно, и вручную найти и сопоставить необходимую информацию для определения инцидентов информационной безопасности крайне сложно. Вместе с сигналами об активности злоумышленников от средств защиты информации поступает огромное количество ложных сигналов, что еще больше снижает эффективность работы сотрудников сетевой безопасности. При этом ответные действия на угрозы безопасности должны быть предприняты немедленно.
Одним из наиболее эффективных решений данной проблемы является использование систем управления событиями ИБ – SIEM систем. Данные системы позволяют автоматизировать процесс анализа событий поступающих от средств защиты информации и повысить эффективность управления сетевой инфраструктурой в целом.
Основные функции SIEM
- сбор и анализ сообщений, поступающих от различных источников - систем обнаружения вторжений, межсетевых экранов, операционных систем, различных приложений, баз данных, антивирусных систем и т.д.;
- ранжирование информации о событиях ИБ, что позволяет рассматривать в первую очередь наиболее критичные для функционирования информационной инфраструктуры инциденты;
- корреляционный анализ полученных данных на предмет определения комплексных сетевых атак, а также атак, распределенных по времени;
- автоматическое выявление, определение причин и реагирование на проблемы, связанные с нарушением безопасности;
- визуализация полученных данных в реальном времени и оповещение операторов системы об инцидентах и об элементах сети, вовлеченных в атаку.
Результат применения решения
- повышение уровня защищенности информационной инфраструктуры за счет оперативной реакции на инциденты ИБ;
- ускорение и автоматизация процесса идентификации и последующего расследования инцидентов;
- централизованный подход к задачам обработки и хранения событий ИБ;
- выполнение требований отраслевых и государственных регуляторов.
Предлагаемые решения
Компания «Микротест» предлагает профессиональные услуги по консалтингу, выбору решения, проектированию, внедрению следующих систем управления событиями ИБ:
- HP ArcSight;
- Symantec;
- StoneSoft;
- и других
Тел: +7(495) 787-20-58; электронная почта: security@microtest.ru.