Xavfsizlik hodisalarini kuzatish tizimlari (SIEM). Xavfsizlik ma'lumotlari va hodisalarni boshqarish (SIEM) echimlari turli xil axborot tizimlari va ilovalaridagi hodisalarni kuzatishga mo'ljallangan. Ushbu sinfning axborot xavfsizligi echimlari sizga quyidagi vazifalarni bajarishga imkon beradi:
• katta miqdordagi xavfsizlik tadbirlarini yig'ish va tahlil qilish;
• IT -infratuzilmani himoya qilish vositalarining hozirgi holatini monitoring qilish;
• real vaqtda kompyuterda sodir bo'lgan hodisalarni aniqlash;
• IT infratuzilmasida nima bo'layotgani haqida to'liq tasavvurga ega bo'lish;
• IT va axborot xavfsizligi tizimlarining ishlashidagi nosozliklarni aniqlash va ularga javob berish;
• hujum zanjirlarini bashorat qilish uchun tarmoq xaritasini tuzish;
• real vaqtda tahlil qilish va xavflarni baholash uchun ma'lumotlarni olish;
• axborot xavfsizligi (IS) hodisalari monitoringi sohasidagi Rossiya Federatsiyasi qonunchiligining ayrim talablari va me'yoriy hujjatlarini bajarish.
Ko'pincha, tajovuzkorlar infratuzilmaga kirib, o'z o'rnini egallaydi va shu bilan birga, uzoq vaqt sezilmay qoladi. Bunday kirishlarning maqsadi ma'murlar va axborot xavfsizligi bo'yicha mutaxassislarga ko'rinmas ma'lumotlarni uzatish yoki ichki infratuzilma tugunlariga hujumlarni tayyorlash va uyushtirishdir. Hodisalarni yanada aniqroq aniqlash va maqsadli tizimga bunday kirishga qarshi kurashish uchun SIEM echimlari tahdidlar (tasmalar, murosaga keltirish ko'rsatkichlari, ekspertlar korrelyatsiyasi qoidalari va boshqalar) haqidagi eng yangi ma'lumotlardan foydalangan holda voqealarni retrospektiv tahlil qilishga imkon berishi muhimdir.
SIEM sinfi echimlarining ishlash printsipi har xil turdagi jurnallarni (hodisalarni) dasturiy ta'minot darajasida ham, apparat komponentlari darajasida ham yig'ishdir. Bundan tashqari, barcha voqealar qo'shimcha tahlil qilish uchun yagona formatga tushiriladi. Xuddi shu infratuzilma elementi bilan bog'liq bo'lgan hodisalar (korrelyatsiya) kiberhujumni ko'rsatishi mumkin.
SIEM sizga IT -infratuzilmasida nima bo'layotganini to'liq tasvirini ko'rish va qo'shimcha ravishda, ma'lum tugunlarning tarmoqqa kirish imkoniyatlarini tahlil qilish imkonini beradi. Turli manbalardan olingan ma'lumotlarni sinchkovlik bilan tahlil qilish va taqqoslash orqali SIEM an'anaviy tarzda aniqlanadigan asboblar har doim ham samarali bo'lmaydigan hodisalarni aniqlaydi.
SIEMdan foydalanishning odatiy hollari:
• Axborot tizimlari elementlarini yuqtirish holatlarini kuzatish, chiquvchi xavfsizlik devori jurnallaridan, veb -proksi -jurnallaridan, ichki ulanish jurnallaridan va boshqalardan foydalanadigan zararli dasturlarni (zararli dasturlarni) aniqlash;
• ichki tizimlardagi tizim o'zgarishlarini va boshqa ma'muriy harakatlarni va ularning ruxsat etilgan siyosatga muvofiqligini kuzatish;
• autentifikatsiya monitoringi, shuningdek, foydalanuvchi hisoblarining buzilishi;
• AX siyosatiga muvofiqligini nazorat qilish.