SIEM (Security Information and Event Management) jest rozwiązaniem do monitorowania cyberbezpieczeństwa oraz wykrywania i badania zagrożeń. SIEM gromadzi i analizuje dzienniki zdarzeń generowane przez sieci i systemy, ułatwiając wczesne wykrywanie zagrożeń i szybką reakcję.

SIEM w skrócie

Funkcje SIEM

  • Zbieranie dzienników: Zbiera alerty i dane dziennika z różnych urządzeń i aplikacji.
  • Korelowanie zdarzeń bezpieczeństwa: Wykrywa nietypowe wzorce i sygnały ataków poprzez zestawianie ze sobą wielu zdarzeń i dzienników
  • Alerty i powiadomienia: Wykrywa nietypową aktywność i incydenty bezpieczeństwa i wysyła odpowiednie alerty według zaprogramowanych reguł.
  • Generowanie raportów: Zapewnia informacje i procedury do szybkiego reagowania na incydenty bezpieczeństwa oraz generuje procesy i raporty do zarządzania incydentami.

Przykłady użycia SIEM w SOC

SIEM jest używany przede wszystkim w centrum ds. bezpieczeństwa (ang. Security Operations Center. SOC), które monitoruje bezpieczeństwo w organizacji i rozumie występowanie cyberataków i incydentów. SIEM jest ważnym narzędziem dla specjalistów ds. bezpieczeństwa, wspierającym skuteczność ich działań.

Powiadomienia o alertach przez zintegrowane zarządzanie dziennikami: SIEM zarządza różnymi dziennikami w sposób zintegrowany i wykrywa oznaki nietypowych zachowań lub ataków, ostrzegając specjalistów ds. bezpieczeństwa. Na przykład oprócz wykrywania malware i innych nieautoryzowanych zachowań SIEM ostrzega również o wykryciu podejrzanych zdarzeń, takich jak wiele prób logowania na serwery, na których przechowywane są ważne informacje, lub korzystanie z usług chmurowych nieautoryzowanych przez firmę.

Badanie incydentów i reagowanie na nie: Na podstawie nieautoryzowanych zachowań i zdarzeń SIEM bada, czy doszło do cyberataku, czy też nie (zwykłe zachowanie, błąd dostępu itd.). W razie wykrycia cyberataku, jego ścieżka i zasięg, w tym informacja o tym, czy jest to atak wewnętrzny czy zewnętrzny, mogą zostać prześledzone i zapewnić wskazówki co do reakcji na incydent. Zostaną pojęte następujące środki

  • Jeśli atak został zainicjowany z zewnątrz: Zablokowanie adresu IP źródła dostępu, zmiana progu na zablokowany przez produkt bezpieczeństwa, itp.
  • Jeśli podejrzane zachowanie jest powodowane przez pracownika: Jeśli to pracownik narusza zasady firmowe (np. korzysta z przestrzeni dyskowej w chmurze, mimo że jest to zabronione), zostaje mu wysłane ostrzeżenie itp.

Raportowanie: Zwizualizowanie stanu naruszeń zasad bezpieczeństwa firmy i wypływu cyberataków w perspektywie średnio- i długoterminowej oraz sporządzenie raportu. Wizualizując rodzaje cyberataków, na jakie została narażona firma w okresie miesiąca, trzech miesięcy, sześciu miesięcy, roku itd., można określić, jakie inne środki zapobiegawcze należy wprowadzić.

Wyżej opisano główne przykłady użycia SIEM, jednak największą korzyścią, jaką SIEM oferuje pracownikom SOC, jest możliwość szybkiego wizualizowania zdarzeń oraz rejestrowanie informacji z różnych produktów i łączenie ich z następnym działaniem.

Wyzwania stojące przed SIEM

Choć SIEM oferuje zespołom SOC i innym korzyści w postaci podniesienia poziomu bezpieczeństwa i wydajności operacyjnej, to wiążą się z nim również następujące wyzwania.

Złożoność wdrożenia i konfiguracji: Rozwiązania SIEM są skomplikowane, a ich wdrożenie i konfiguracja wymaga czasu i doświadczenia. Specjaliści muszą stale doglądać pracy systemu, dodając do niego dzienniki z urządzeń i źródła danych, konfigurując reguły i dostrajając alerty.

Przetwarzanie dużych ilości danych z dzienników: Muszą być przetwarzanie i analizowane duże ilości danych. Do przetwarzania dużych ilości danych potrzebny jest odpowiedni sprzęt i przestrzeń dyskowa. Konieczne jest także zarządzanie okresami przechowywania dzienników danych oraz kompresją/redukcją danych.

Konieczność ciągłego reagowania na fałszywe alarmy i przeciążenie alertami: Systemy SIEM generują alerty na podstawie zaprogramowanych reguł i wzorców. Mogą zdarzać się fałszywe alarmy (tj. niegroźne zachowania błędnie interpretowane jako złośliwe) oraz niewykryte zdarzenia. W zależności od konfiguracji może również występować dużo alertów, co wymaga ich ciągłego dostrajania i poprawiania reguł przez operatorów.

Odpowiedź po wykryciu incydentu: Po wykryciu zdarzenia w czasie rzeczywistym należy je potwierdzić i odpowiednio na nie zareagować. Jeśli personel działu bezpieczeństwa odpowiednio wcześnie nie dostroi alertów, będzie musiał reagować na alerty różnych wielkości, co z kolei redukować może wydajność operacyjną.

Wymagania w zakresie umiejętności i zasobów: Do właściwej implementacji i obsługi systemów SIEM potrzeba znajomości zasad analizy bezpieczeństwa oraz umiejętności zarządzania. Potrzebne są również odpowiednie zasoby (ludzie, sprzęt i oprogramowanie).

Czym różni się SIEM od XDR

This is an image of different security layers that can feed into XDR

 

Platforma rozszerzonego wykrywania i reagowania XDR (ang. Extended Detection and Response) i systemy SIEM są do siebie podobne w tym, że oba rozwiązania oferują narzędzie do poprawy bezpieczeństwa i wydajności. Różnice między SIEM i XDR są następujące:

Cele i konteksty zbierania danych

  • SIEM: Zbiera i analizuje zdarzenia i dzienniki generowane w sieci lub systemie. Analizowane są głównie dane z dzienników pod kątem nietypowych działań i oznak ataków.
  • XDR: Zbiera i analizuje dane telemetryczne z wielu źródeł danych, w tym punktów końcowych, sieci, i chmury. Gromadzi informacje nie tylko o zdarzeniach bezpieczeństwa, lecz również pliki z punktów końcowych i informacje o procesach, dane o ruchu w sieci itd.

Analiza i detekcja

  • SIEM: Analizuje i zbiera dane według zaprogramowanych reguł i algorytmów. Wykrywa nietypowe działania lub oznaki ataków i generuje odpowiednie alerty i ostrzeżenia. Niektóre produkty oferują możliwość korelowania analiz między dziennikami mechanicznymi. Jednak decyzja o tym, czy zaobserwowane zdarzenie jest cyberatakiem, czy nie, zależy od ludzkiej intuicji.
  • XDR: Na podstawie bazy wiedzy o zagrożeniach (malware, złośliwe witryny, złośliwe e-maile, metody ataków używane przez cyberprzestępców itd.), którą dysponują dostawcy cyberzabezpieczeń z XDR, oznaki cyberataków są identyfikowane dla zebranych danych telemetrycznych. Na przykład uprawnione narzędzia dostarczane przez Microsoft, takie jak PsExec, Cobalt Strike, i Mimikatz, są często mylnie uznawane za źródła cyberataków.

Reagowanie na incydenty i automatyzacja

  • SIEM: Zapewnia podstawowe informacje i procedury do pomocy w reagowaniu na incydenty bezpieczeństwa; SIEM skupia się głównie na generowaniu alertów i monitorowaniu, podczas gdy inne produkty mogą wymagać procedur reagowania.
  • XDR: Zapewnia automatyzację i koordynację funkcji do szybkiego reagowania na incydenty bezpieczeństwa. Wykryte zagrożenia są analizowane w czasie rzeczywistym i podawane są wskazówki co do reakcji.

Zależność od źródła

  • Wartością rozwiązania SIEM jest jego bezpośrednie połączenie ze źródłami, z których uzyskuje informacje. Występujące luki w ochronie są często zauważane późno lub wcale.
  • Porównując zatem ze sobą rozwiązania SIEM i XDR, powinniśmy podkreślić, że w większości przypadków nie jest to wybór albo/albo. Często oba te systemy działają równolegle, ponieważ SIEM najbardziej korzysta na dostępie do dzienników bezpośredniego reagowania (ang. Detection & Response). Więc kto jest górą?
  • Z powodu zależności systemów SIEM od jakości informacji generowanych przez dostawców zewnętrznych, często zdarza się, że oba warianty są używane równolegle, a wstępnie skorelowane dane trafiają z XDR do SIEM.

Rozwiązanie SIEM Trend Micro

Zoptymalizuj przepływy pracy dzięki ekosystemowi obejmującemu SIEM, SOAR, IAM, zaporę sieciową, analizę zagrożeń, zarządzanie usługami IT i nie tylko.

Systemy SIEM

Powiązane informacje