Закрыть
Войти на сайтНеправильный логин или пароль Забыли пароль?
Восстановить парольemail адрес в базе не найден Вернуться назад
X
Вызов инженера
Оформить заявку
X
У вас есть вопросы?
Мы с радостью ответим
x
Тариф «Экономичный»
Тариф «Партнёрский»
Тариф «Безлимитный»
Тариф «Ресурсный»
Специалист helpdesk
Специалист helpdesk со знанием англ.языка
Системный администратор
Заявка на тест-драйв
Заявка на антивирусную защиту
Получить коммерческое предложение

Я прочитал Политику конфиденциальности и согласен с ее положениями.

ИТ-Аутсорсинг с финансовыми гарантиями
Телефоны:
+7 (495) 785-51-51
+7 (800) 555-51-51

E-mail: itsm@alp.ru

Адрес: 123022, Москва,
Столярный пер. 3, корп. 15
IT Аутсорсинг > Организация системы управления событиями информационной безопасности

Организация системы управления событиями информационной безопасности

Под системой управления событиями принято подразумевать комплекс мер, которые направлены на регистрацию, обработку, анализ и хранение произошедших в информационной системе предприятия ситуаций и реагирование на них. Так как построение подобной системы является сложным и с организационной, и с технической стороны делом, чаще всего к нему привлекаются профессионалы, способные реализовать проект быстро и качественно.

Создание системы управления событиями

В то же время, независимо от того, кто выполняет внедрение системы управления событиями – компания-интегратор или специалисты собственного ИТ подразделения предприятия, существует несколько общих моментов, свойственных каждому проекту.

Что такое событие в сфере информационной безопасности

Это такое изменение нормального состояния ИТ инфраструктуры или ее составляющих, которое имеет значение для ее защиты, управления и функционирования. Также событием называют зарегистрированные в специальном журнале данные о произошедшем.

При организации системы управления событиями в первую очередь требуется определить, какие именно задачи она должна решать. Учитывая эти задачи, можно уже понять, события в каких компонентах информационной системы компании могут дать нужные исходные данные. Это помогает выявить виды и число источников событий (англ. Event Sources). Стоит помнить о том, что источником должна служить не какая-либо абстрактная рабочая станция, сервер или другое устройство, а конкретный объект: операционная система, программные приложения, инструменты защиты информации, система управления базами данных и др.

Далее нужно понять, какие события, регистрируемые на определенном источнике, будут важны. Это необходимо для осуществления настройки политики аудита, а также ведения журнала регистрации событий на источниках (т.н. Log Management), поскольку не сгенерированное событие нельзя обработать.

Для того, чтобы получить возможность в количественном соотношении оценить предполагаемые события, измеряемые в EPS (Events per Second), следует воспользоваться специальными калькуляторами, предлагаемыми разработчиками SIEM-решений. Это может быть ArcSight от HP, RSA enVision, предлагаемый ЕМС, QRadar, созданный IBM и т.п. Производя расчеты, необходимо учитывать как данные средних показателей, так и информацию, полученную во время пиковой нагрузки. Это связано с тем, что иногда SIEM-решения жестко ограничены по числу EPS.

Что такое SIEM

Данные системы возникли как результат развития и слияния SEM и SIM-систем. Первая аббревиатура означает Security Event Management – систему, работающую в приближенном к реальному времени режиме. Для получения такой возможности им нужен автоматический мониторинг событий с их сбором, корреляцией и генерацией предупреждений.

Security Information Management (SIM) анализирует накопленные данные в области статистики, а также разнообразных отклонений и пр. В том случае, когда функции SIM и SEM объединены в одном решении, его называют SIEM-системой, фактически являющейся средством сбора и корреляции происходящих в ИС событий.

Выбор SIEM

После того, как будет определен список источников и значений EPS, уже можно приступать к выбору подходящего решения, которых сейчас доступно достаточно много. При определении оптимального варианта необходимо учитывать:

  • реализацию продукта (программную либо программно-аппаратную, учитывая и функцию виртуализации);
  • показатели EPS;
  • список поддерживаемых в штатном режиме источников событий;
  • методы их получения (с помощью Syslog, SNMP, ODBC, FTP и др.);
  • подключение внешней системы хранения данных.

Что касается своей архитектуры, SIEM могут быть как интегрированными устройствами (all-in-one), так и комплексами, включающими в себя два или три компонента. При распределенной архитектуре решение имеет повышенную производительность и располагает большими возможностями масштабирования. Это важно, если потребуется внедрить систему в ИТ инфраструктуре, имеющей несколько площадок.

В ряде случаев наиболее оправданной оказывается реализация пилотного проекта: проведение предварительного тестирования предоставит удобную возможность поработать с системой управления событиями и объективно ее оценить.

Техническое проектирование и разработка документации является чрезвычайно ответственным этапом, так как без него развертывание решения может обернуться возникновением серьезных трудностей и проблем, обусловленных отсутствием качественной проработки проекта до начала его реализации.

Внедрение системы управления событиями

Внедрение системы управления событиями

После инсталляции и инициализации системных компонентов к ней нужно подключить источники. Это можно сделать следующими двумя способами:

  1. источник самостоятельно должен инициировать передачу данных;
  2. информацию с источника необходимо забирать.

Первый вариант сам по себе несложен: на источнике нужно просто указать IP-адрес производящего сбор устройства, чтобы данные стали поступать в систему. Во втором можно применить получение данных как с помощью специальной программы-агента, так и без нее (некоторые решения предусматривают возможность использования обоих способов). При отсутствии агента проводится особая настройка источника, включающая в себя функцию создания дополнительных учетных записей, использования дополнительных протоколов и разрешения удаленного доступа. Перед окончательным выбором варианта подключения следует сначала оценить все его преимущества и недостатки. А еще лучше попробовать оба на практике во время тестирования пилотного проекта.

Поскольку данные о состоянии компонентов ИТ инфраструктуры могут быть затребованы специалистами, имеющими разный статус и уровень доступа, потребуется произвести настройку прав доступа к системе. Большинство SIEM используют ролевой принцип в этой сфере, поддерживая доменную идентификацию, а также двухфакторную аутентификацию.

После подключения всех источников и распределения ролей нужно выполнить настройку правил обработки событий, уведомлений и отчетов. Это самый трудоемкий этап работы. Как правило, при обработке событий и получении результатов их анализа используются отчеты (Reports) и запросы (Query). Особенности их применения определяются функциональными возможностями выбранного решения и потребностями компании.

Как известно, в управление событиями входит и реагирование на них. Однако иногда случается, что эта сторона функционирования SIEM не задействуется. В результате ее работа сводится к комплексному мониторингу информационной безопасности.

В то же время системы обычно предлагают заранее определенные реакции на заданные события или их цепочку. Как правило, применяются сразу несколько из этих способов:

  • на рабочей панели администратора загорается «красная лампочка»;
  • отправляется сообщение по E-mail или смс;
  • на источнике выполняется заданный командный сценарий (скрипт);
  • создается инцидент информационной безопасности в HelpDesk.

Специалисты компании ALP Group повышенное внимание уделяют защите коммерческой и конфиденциальной информации своих заказчиков. Мы выполняем качественное обслуживание ИТ инфраструктуры современных предприятий с использованием прогрессивных методологий и опыта наших сотрудников.

Мы благодарим Вас за проявленный интерес к нашему сервису.
Ваш запрос будет обработан в кратчайшие сроки.
Окно закроется автоматически через 5 секунд.
x
Получить консультацию Получить консультацию
 Я прочитал  Политику конфиденциальности  и согласен с ее положениями.
 
Это интересно

ИТ аудит: так ли он нужен?

ИТ аудит проводится для того, чтобы тщательно проверить информационную систему организации и дать общую оценка ее состояния. Главное – определить, в полной ли мере она соответствует направлениям деятельности компании и ее основным потребностям. Другой немаловажной причиной проведения ИТ аудита можно назвать возможность понять, насколько рационально расходуются средства, выделяемые на функционирование ИТ сервисов, возможно ли их сократить или, наоборот, их придется еще увеличить. ... Читать дальше

Развернуть...


Системы управления ИТ инфраструктурой

Системы управления ИТ инфраструктурой позволяют выполнять требования бизнеса к информационным сервисам, эффективно оптимизируя затраты на их предоставление.... Читать дальше

Развернуть...


Самое главное про аутсорсинг программного обеспечения

Под аутсорсингом программного обеспечения принято подразумевать создание приложений с их последующей поддержкой и тестированием.... Читать дальше

Развернуть...


Бесплатный телефон для регионов:8 800 555-51-51
Борис КадуровДащенко Дмитрий
Менеджер отдела продаж
Бессольцев ДмитрийБессольцев Дмитрий
Руководитель департамента
IT-аутсорсинга
введите сообщение
некорректный e-mail
 * некорретный телефон
 *   неверный код на картинке
   
Почему нам доверяют
  • 20 лет на рынке
  • Более 200 довольных клиентов
  • Более 500 000 выполненных запросов
  • Качество услуг соответствует соглашению об уровне сервиса (SLA)
  • 80% сотрудников сертифицированы Microsoft
Гарантии
  • Время реакции - 15 минут
  • Время решения - 1 час
  • Финансовые гарантии качества
  • Сохранность данных
  • Конфиденциальность данных
Адрес: 197046, СПб., ул. Чапаева, д.3, литера Б, оф. 506
Адрес: 123022, Москва, Столярный пер. 3, корп. 15
Адрес: 123022, Москва, Столярный пер. 3, корп. 15
Электронная почта: itsm@alp.ru

Телефон: +7 (495) 785-51-51 +7 (812) 575-51-51
+7 (495) 785-51-51
Новостной Telegram-канал ALP