Войти на сайтНеправильный логин или пароль Забыли пароль?
Восстановить парольemail адрес в базе не найден Вернуться назад
X
Вызов инженера
Оформить заявку
X
У вас есть вопросы?
Мы с радостью ответим
x
Тариф «Экономичный»
Тариф «Партнёрский»
Тариф «Безлимитный»
Тариф «Ресурсный»
Специалист helpdesk
Специалист helpdesk со знанием англ.языка
Системный администратор
Заявка на тест-драйв
Заявка на антивирусную защиту
Получить коммерческое предложение
ИТ-Аутсорсинг с финансовыми гарантиями
Телефоны:
+7 (495) 785-51-51
+7 (800) 555-51-51

E-mail: itsm@alp.ru

Адрес: 123022, Москва,
Столярный пер. 3, корп. 15
IT Аутсорсинг > Организация системы управления событиями информационной безопасности

Организация системы управления событиями информационной безопасности

Под системой управления событиями принято подразумевать комплекс мер, которые направлены на регистрацию, обработку, анализ и хранение произошедших в информационной системе предприятия ситуаций и реагирование на них. Так как построение подобной системы является сложным и с организационной, и с технической стороны делом, чаще всего к нему привлекаются профессионалы, способные реализовать проект быстро и качественно.

Создание системы управления событиями

В то же время, независимо от того, кто выполняет внедрение системы управления событиями – компания-интегратор или специалисты собственного ИТ подразделения предприятия, существует несколько общих моментов, свойственных каждому проекту.

Что такое событие в сфере информационной безопасности

Это такое изменение нормального состояния ИТ инфраструктуры или ее составляющих, которое имеет значение для ее защиты, управления и функционирования. Также событием называют зарегистрированные в специальном журнале данные о произошедшем.

При организации системы управления событиями в первую очередь требуется определить, какие именно задачи она должна решать. Учитывая эти задачи, можно уже понять, события в каких компонентах информационной системы компании могут дать нужные исходные данные. Это помогает выявить виды и число источников событий (англ. Event Sources). Стоит помнить о том, что источником должна служить не какая-либо абстрактная рабочая станция, сервер или другое устройство, а конкретный объект: операционная система, программные приложения, инструменты защиты информации, система управления базами данных и др.

Далее нужно понять, какие события, регистрируемые на определенном источнике, будут важны. Это необходимо для осуществления настройки политики аудита, а также ведения журнала регистрации событий на источниках (т.н. Log Management), поскольку не сгенерированное событие нельзя обработать.

Для того, чтобы получить возможность в количественном соотношении оценить предполагаемые события, измеряемые в EPS (Events per Second), следует воспользоваться специальными калькуляторами, предлагаемыми разработчиками SIEM-решений. Это может быть ArcSight от HP, RSA enVision, предлагаемый ЕМС, QRadar, созданный IBM и т.п. Производя расчеты, необходимо учитывать как данные средних показателей, так и информацию, полученную во время пиковой нагрузки. Это связано с тем, что иногда SIEM-решения жестко ограничены по числу EPS.

Что такое SIEM

Данные системы возникли как результат развития и слияния SEM и SIM-систем. Первая аббревиатура означает Security Event Management – систему, работающую в приближенном к реальному времени режиме. Для получения такой возможности им нужен автоматический мониторинг событий с их сбором, корреляцией и генерацией предупреждений.

Security Information Management (SIM) анализирует накопленные данные в области статистики, а также разнообразных отклонений и пр. В том случае, когда функции SIM и SEM объединены в одном решении, его называют SIEM-системой, фактически являющейся средством сбора и корреляции происходящих в ИС событий.

Выбор SIEM

После того, как будет определен список источников и значений EPS, уже можно приступать к выбору подходящего решения, которых сейчас доступно достаточно много. При определении оптимального варианта необходимо учитывать:

  • реализацию продукта (программную либо программно-аппаратную, учитывая и функцию виртуализации);
  • показатели EPS;
  • список поддерживаемых в штатном режиме источников событий;
  • методы их получения (с помощью Syslog, SNMP, ODBC, FTP и др.);
  • подключение внешней системы хранения данных.

Что касается своей архитектуры, SIEM могут быть как интегрированными устройствами (all-in-one), так и комплексами, включающими в себя два или три компонента. При распределенной архитектуре решение имеет повышенную производительность и располагает большими возможностями масштабирования. Это важно, если потребуется внедрить систему в ИТ инфраструктуре, имеющей несколько площадок.

В ряде случаев наиболее оправданной оказывается реализация пилотного проекта: проведение предварительного тестирования предоставит удобную возможность поработать с системой управления событиями и объективно ее оценить.

Техническое проектирование и разработка документации является чрезвычайно ответственным этапом, так как без него развертывание решения может обернуться возникновением серьезных трудностей и проблем, обусловленных отсутствием качественной проработки проекта до начала его реализации.

Внедрение системы управления событиями

Внедрение системы управления событиями

После инсталляции и инициализации системных компонентов к ней нужно подключить источники. Это можно сделать следующими двумя способами:

  1. источник самостоятельно должен инициировать передачу данных;
  2. информацию с источника необходимо забирать.

Первый вариант сам по себе несложен: на источнике нужно просто указать IP-адрес производящего сбор устройства, чтобы данные стали поступать в систему. Во втором можно применить получение данных как с помощью специальной программы-агента, так и без нее (некоторые решения предусматривают возможность использования обоих способов). При отсутствии агента проводится особая настройка источника, включающая в себя функцию создания дополнительных учетных записей, использования дополнительных протоколов и разрешения удаленного доступа. Перед окончательным выбором варианта подключения следует сначала оценить все его преимущества и недостатки. А еще лучше попробовать оба на практике во время тестирования пилотного проекта.

Поскольку данные о состоянии компонентов ИТ инфраструктуры могут быть затребованы специалистами, имеющими разный статус и уровень доступа, потребуется произвести настройку прав доступа к системе. Большинство SIEM используют ролевой принцип в этой сфере, поддерживая доменную идентификацию, а также двухфакторную аутентификацию.

После подключения всех источников и распределения ролей нужно выполнить настройку правил обработки событий, уведомлений и отчетов. Это самый трудоемкий этап работы. Как правило, при обработке событий и получении результатов их анализа используются отчеты (Reports) и запросы (Query). Особенности их применения определяются функциональными возможностями выбранного решения и потребностями компании.

Как известно, в управление событиями входит и реагирование на них. Однако иногда случается, что эта сторона функционирования SIEM не задействуется. В результате ее работа сводится к комплексному мониторингу информационной безопасности.

В то же время системы обычно предлагают заранее определенные реакции на заданные события или их цепочку. Как правило, применяются сразу несколько из этих способов:

  • на рабочей панели администратора загорается «красная лампочка»;
  • отправляется сообщение по E-mail или смс;
  • на источнике выполняется заданный командный сценарий (скрипт);
  • создается инцидент информационной безопасности в HelpDesk.

Специалисты компании ALP Group повышенное внимание уделяют защите коммерческой и конфиденциальной информации своих заказчиков. Мы выполняем качественное обслуживание ИТ инфраструктуры современных предприятий с использованием прогрессивных методологий и опыта наших сотрудников.

Мы благодарим Вас за проявленный интерес к нашему сервису.
Ваш запрос будет обработан в кратчайшие сроки.
Окно закроется автоматически через 5 секунд.
x
Получить консультацию Получить консультацию
 
Это интересно

Когда нужно проводить аудит компьютерной сети

Аудит компьютерной сети необходим для своевременного обнаружения и устранения проблем в работе ЛВС и для предотвращения появления их в будущем.... Читать дальше

Развернуть...


Аутсорсинг серверов

Аутсорсинг серверов – это сопровождение серверов и систем хранения данных компании силами внешней специализированной организации. ... Читать дальше

Развернуть...


Преимущества выбора ИТ аутсорсинга для обслуживания компьютерной техники

Обслуживание компьютерной техники в рамках ИТ аутсорсинга предоставляет компании множество важных преимуществ, поэтому поручать его нужно только профессионалам.... Читать дальше

Развернуть...


Бесплатный телефон для регионов:8 800 555-51-51
Борис КадуровКадуров Борис
Менеджер отдела продаж
Бессольцев ДмитрийБессольцев Дмитрий
Руководитель департамента
IT-аутсорсинга
введите сообщение
некорректный e-mail
 * некорретный телефон
 *   неверный код на картинке
   
Почему нам доверяют
  • 20 лет на рынке
  • Более 200 довольных клиентов
  • Более 500 000 выполненных запросов
  • Качество услуг соответствует соглашению об уровне сервиса (SLA)
  • 80% сотрудников сертифицированы Microsoft
Гарантии
  • Время реакции - 15 минут
  • Время решения - 1 час
  • Финансовые гарантии качества
  • Сохранность данных
  • Конфиденциальность данных
Адрес: 197046, СПб., ул. Чапаева, д.3, литера Б, оф. 506
Адрес: 123022, Москва, Столярный пер. 3, корп. 15
Адрес: 123022, Москва, Столярный пер. 3, корп. 15
Электронная почта: itsm@alp.ru

Телефон: +7 (495) 785-51-51 +7 (812) 575-51-51
+7 (495) 785-51-51