Система візуалізації та управління подіями (SIEM)

Бібліотека Інші навчальні предмети Презентації
Про матеріал
Система візуалізації та управління подіями (SIEM) SIEM у комп'ютерній безпеці є програмними продуктами, які об'єднують управління інформаційною безпекою та управління подіями безпеки. Технологія SIEM забезпечує аналіз в реальному часі подій (тривог) безпеки, отриманих від мережевих пристроїв і додатків. SIEM представлено додатками, приладами або послугами, і використовується також для журналювання даних і генерації звітів в цілях сумісності з іншими бізнес-даними
Перегляд файлу
Система візуалізації та управління подіями (SIEM)Галієвський Р. Р..
SIEM (Security information and event management)SIEM у комп'ютерній безпеці є програмними продуктами, які об'єднують управління інформаційною безпекою та управління подіями безпеки. Технологія SIEM забезпечує аналіз в реальному часі подій (тривог) безпеки, отриманих від мережевих пристроїв і додатків. SIEM представлено додатками, приладами або послугами, і використовується також для журналювання даних і генерації звітів в цілях сумісності з іншими бізнес-даними
Принцип роботи SIEM1 Надавати зведені дані про події, пов’язані з безпекою – успішні та неуспішні входи до системи, активність вірусних програм2 Розсилання повідомлень, якщо такі отримані дані сигналізують про те, що дія виконується проти протоколів та політик, і вказує на потенційний чи цілком реальний фактор небезпеки. SIEM у своїй основі ідентифікує та класифікує інциденти та події. І має два основні завдання:
1 Керування журналами. Системи SIEM збирають великий обсяг даних в одному місці, упорядковують їх, а потім визначають, чи є ознаки загрози, атаки або порушення безпеки2 Кореляція подій. Потім дані сортуються для визначення зв’язків і закономірностей між ними, що дає змогу швидко виявляти потенційні загрози й реагувати на них3 Моніторинг інцидентів і реагування на них. Технологія SIEM відстежує інциденти безпеки в корпоративній мережі, а також створює оповіщення й перевіряє всі дії, пов’язані з інцидентом. Можливості й сценарії використання SIEMСистеми SIEM відрізняються за своїми можливостями, але зазвичай усі вони пропонують наведені нижче основні функції
централізоване подання потенційних загрозвиявлення загроз у реальному часі й реагування на них3розширений аналіз кіберзагрозмоніторинг відповідності вимогам і створення звітів5ефективніше відстеження дій користувачів, програм і пристроїв. Переваги використання SIEMІнструменти SIEM мають багато переваг, які можуть допомогти посилити захищеність організації, зокрема:124
ОбмеженняІ це часом веде до великої кількості помилкових спрацьовувань при розгортанні платформ та додатків. Цей сценарій має на увазі додаткове інтелектуальне управління та ефективні політики всередині компанії, щоб підрозділи безпеки не були завалені непотрібними попередженнями. Однак у SIEM теж є обмеження, саме: не зовсім точне визначення – що є прийнятною активністю, а що є загрозою злому чи зараження. Написання сценаріїв для рутинних функцій повсюдно застосовується для автоматизації, наприклад, такі як вилучення контекстних даних, щоб створити базу попереджень і виявити зловмисні загрози.
Агрегація даних: управління журналами даних[en]; дані збираються з різних джерел: мережеві пристрої та сервіси, датчики систем безпеки, сервери, бази даних, програми; забезпечується консолідація даних з метою пошуку критичних подій. Кореляція: пошук спільних атрибутів, зв'язування подій у вагомі кластери. Технологія забезпечує застосування різних технічних заходів для інтеграції даних з різних джерел для перетворення вихідних даних в значущу інформацію. Кореляція є типовою функцією підмножини Security Event Management. Сповіщення: автоматизований аналіз корелюючих подій і генерація повідомлень (сигналів) про поточні проблеми. Оповіщення може виводитися на
Сумісність (трансформування): застосування додатків для автоматизації збору даних, формування звітності для адаптації агрегованих даних до чинних процесів управління інформаційною безпекою та аудиту. Зберігання даних: застосування довготривалого зберігання даних в історичному порядку для кореляції даних за часом та для забезпечення трансформування. Довготривале зберігання даних критично для проведення комп'ютерно-технічних експертиз, оскільки розслідування мережевого інциденту, зазвичай, відбувається з часовою затримкою від моменту порушення. Експертний аналіз: можливість пошуку по безлічі журналів на різних вузлах; може виконуватися в рамках програмно-технічної експертизи. Засоби відображення (інформаційні панелі): відображення діаграм, які допомагають ідентифікувати патерни відмінні від стандартної поведінки. Функціональність SIEM
1 / 8
Зміст слайдів
Номер слайду 1

Система візуалізації та управління подіями (SIEM)Галієвський Р. Р..

Номер слайду 2

SIEM (Security information and event management)SIEM у комп'ютерній безпеці є програмними продуктами, які об'єднують управління інформаційною безпекою та управління подіями безпеки. Технологія SIEM забезпечує аналіз в реальному часі подій (тривог) безпеки, отриманих від мережевих пристроїв і додатків. SIEM представлено додатками, приладами або послугами, і використовується також для журналювання даних і генерації звітів в цілях сумісності з іншими бізнес-даними

Номер слайду 3

Принцип роботи SIEM1 Надавати зведені дані про події, пов’язані з безпекою – успішні та неуспішні входи до системи, активність вірусних програм2 Розсилання повідомлень, якщо такі отримані дані сигналізують про те, що дія виконується проти протоколів та політик, і вказує на потенційний чи цілком реальний фактор небезпеки. SIEM у своїй основі ідентифікує та класифікує інциденти та події. І має два основні завдання:

Номер слайду 4

1 Керування журналами. Системи SIEM збирають великий обсяг даних в одному місці, упорядковують їх, а потім визначають, чи є ознаки загрози, атаки або порушення безпеки2 Кореляція подій. Потім дані сортуються для визначення зв’язків і закономірностей між ними, що дає змогу швидко виявляти потенційні загрози й реагувати на них3 Моніторинг інцидентів і реагування на них. Технологія SIEM відстежує інциденти безпеки в корпоративній мережі, а також створює оповіщення й перевіряє всі дії, пов’язані з інцидентом. Можливості й сценарії використання SIEMСистеми SIEM відрізняються за своїми можливостями, але зазвичай усі вони пропонують наведені нижче основні функції

Номер слайду 5

централізоване подання потенційних загрозвиявлення загроз у реальному часі й реагування на них3розширений аналіз кіберзагрозмоніторинг відповідності вимогам і створення звітів5ефективніше відстеження дій користувачів, програм і пристроїв. Переваги використання SIEMІнструменти SIEM мають багато переваг, які можуть допомогти посилити захищеність організації, зокрема:124

Номер слайду 6

ОбмеженняІ це часом веде до великої кількості помилкових спрацьовувань при розгортанні платформ та додатків. Цей сценарій має на увазі додаткове інтелектуальне управління та ефективні політики всередині компанії, щоб підрозділи безпеки не були завалені непотрібними попередженнями. Однак у SIEM теж є обмеження, саме: не зовсім точне визначення – що є прийнятною активністю, а що є загрозою злому чи зараження. Написання сценаріїв для рутинних функцій повсюдно застосовується для автоматизації, наприклад, такі як вилучення контекстних даних, щоб створити базу попереджень і виявити зловмисні загрози.

Номер слайду 7

Агрегація даних: управління журналами даних[en]; дані збираються з різних джерел: мережеві пристрої та сервіси, датчики систем безпеки, сервери, бази даних, програми; забезпечується консолідація даних з метою пошуку критичних подій. Кореляція: пошук спільних атрибутів, зв'язування подій у вагомі кластери. Технологія забезпечує застосування різних технічних заходів для інтеграції даних з різних джерел для перетворення вихідних даних в значущу інформацію. Кореляція є типовою функцією підмножини Security Event Management. Сповіщення: автоматизований аналіз корелюючих подій і генерація повідомлень (сигналів) про поточні проблеми. Оповіщення може виводитися на "приладову панель самого додатка, так і бути направлено в інші сторонні канали: e-mail, GSM-шлюз і т. ін. Функціональність SIEM

Номер слайду 8

Сумісність (трансформування): застосування додатків для автоматизації збору даних, формування звітності для адаптації агрегованих даних до чинних процесів управління інформаційною безпекою та аудиту. Зберігання даних: застосування довготривалого зберігання даних в історичному порядку для кореляції даних за часом та для забезпечення трансформування. Довготривале зберігання даних критично для проведення комп'ютерно-технічних експертиз, оскільки розслідування мережевого інциденту, зазвичай, відбувається з часовою затримкою від моменту порушення. Експертний аналіз: можливість пошуку по безлічі журналів на різних вузлах; може виконуватися в рамках програмно-технічної експертизи. Засоби відображення (інформаційні панелі): відображення діаграм, які допомагають ідентифікувати патерни відмінні від стандартної поведінки. Функціональність SIEM

pptx
Додав(-ла)
Галієвський Роман Романович
Пов’язані теми
Інші навчальні предмети, Презентації
Додано
30 березня
Переглядів
52
Оцінка розробки
Відгуки відсутні
Безкоштовний сертифікат
про публікацію авторської розробки
Щоб отримати, додайте розробку

Додати розробку
Рекомендовані матеріали
docx
48 0
Виховний захід " Сузір'я ліцею"
docx
57 0
Флешмоб " Миру в Україні БУТИ!"
pdf
29 0
Шляхи подолання освітніх втрат
doc
117 0
Урок «Приготування холодних супів»
Схожі матеріали
docx
648 0
Генератор ребусів: від історичних ребусів до математичних
docx
189 0
Виступ агітбригади ЮІР
docx
221 0
Виступ агітбригади "Сильні духом"
pdf
177 0
Урок для учнів 7 класу на тему "Чашковий анемометр" в рамках всеукраїнської освітньої STEM програми
doc
170 0
Свято народної пісні
Завантажити
Зберегти на потім