Главная страница

ВКР. Фгбоу во Сыктывкарский государственный университет им. Питирима Сорокина Колледж экономики, права и информатики


Скачать 1.78 Mb.
НазваниеФгбоу во Сыктывкарский государственный университет им. Питирима Сорокина Колледж экономики, права и информатики
Дата09.07.2022
Размер1.78 Mb.
Формат файлаdocx
Имя файлаВКР.docx
ТипРеферат
#627440
страница10 из 11
1   2   3   4   5   6   7   8   9   10   11

Применение KOMRAD Enterprise SIEM


События по информационной безопасности поступают в KOMRAD Enterprise SIEM из различных источников: ОС, СУБД, сетевого оборудования, СЗИ, прикладного ПО и т. д. Для сбора событий используются коллекторы. Некоторые из них работают в пассивном режиме, ожидая входящих данных на определённых сетевых портах (Syslog, xFlow), другие сами инициируют соединения для извлечения необходимой информации (SQL, файловый, SNMP). Для сбора событий с Windows – машин используется специальный WMI – агент. Коллекторы могут быть установлены как на одном узле с основными компонентами системы, так и на выделенных серверах. Важнейшими коллекторами, которые позволяют организовать сбор событий с абсолютного большинства источников, являются Syslog – коллектор и WMI – агент.

Подключение Windows – машины в качестве источника событий доступно для администраторов системы за три простых шага, а именно: одной командой установить агент на нужный узел, в конфигурационном файле указать IP – адрес коллектора KOMRAD Enterprise SIEM, после чего применить настройки. WMI – агент также позволяет собирать данные из локальных файлов журналов. Агенты устанавливаются в качестве службы Windows и управляются через веб – интерфейс администратора KOMRAD Enterprise SIEM.

Управление WMI – агентами представлено на рисунке 12.



Рисунок 12 – Управление WMI – агентами в KOMRAD Enterprise SIEM

В случае отсутствия соединения между WMI – агентом и сервером KOMRAD Enterprise SIEM события будут собираться в свою локальную базу данных во избежание их потери, а при возобновлении соединения поступят по назначению.

Корреляция в KOMRAD Enterprise SIEM позволяет выявлять инциденты в информационной безопасности по срабатыванию фильтров и выполнению различных условий, определённых в директиве корреляции. Директива корреляции — построенная по иерархическому принципу логическая совокупность правил, в соответствии с которыми осуществляется сравнение параметров событий в информационной безопасности, а также их количества и частоты с заданными показателями для выявления инцидентов.

В KOMRAD Enterprise SIEM существует собственный графический конструктор для управления директивами корреляции.

Создание директивы с выбранным фильтром показано на рисунке 13.



Рисунок 13 – Создание директивы с выбранным фильтром в KOMRAD Enterprise SIEM

Правила в директиве корреляции могут быть следующих типов:

  • «Событие» — блок конструктора директив на проверку приходящих событий на соответствие заранее созданным фильтрам. Этот тип блока может иметь привязку ко времени до и после события, может дополнительно содержать выражение и переменные, также в нём доступна функция «Ветвления»;

  • «Отсутствие события» — блок обратный предыдущему. Он сработает в том случае, если событие, соответствующее указанным параметрам, не поступило;

  • «Утверждение» — блок на простое утверждение. Содержит булево выражение. Если результат вычисления — «Истина», то выполнение правила корреляции продолжается, иначе — прерывается, инцидент не будет зарегистрирован;

  • «Задержка» — интервал времени, которое коррелятор проигнорирует. Отсчёт выполняется от времени предыдущего найденного события.

В случае появления события или набора событий, соответствующих включённым директивам корреляции, происходит регистрация инцидента и в веб – интерфейсе KOMRAD Enterprise SIEM появляется всплывающее уведомление, а ответственным лицам отправляется электронное письмо, если соответствующая настройка была активирована.

При возникновении инцидента в системе создаётся карточка для его расследования, которая изначально помещается в список неподтверждённых инцидентов.

Уведомление об обнаружении инцидентов в ИБ из общего потока событий и неподтверждённые инциденты показаны на рисунках 14 – 15.



Рисунок 14 – Уведомление об обнаружении инцидентов в ИБ из общего потока событий в KOMRAD Enterprise SIEM



Рисунок 15 – Неподтверждённые инциденты в KOMRAD Enterprise SIEM

Для подтверждения инцидента или определения его как «Ложное срабатывание» необходимо выбрать один или несколько инцидентов из «Неподтверждённых» и с помощью функциональных клавиш определить их в нужную группу.

В KOMRAD Enterprise SIEM доступны следующие предустановленные виджеты:

  • количество событий по протоколам за 24 часа;

  • EPS — количество событий в секунду;

  • общее количество событий по ИБ;

  • число событий в минуту (EPM) за последние 30 минут;

  • топ – 10 IP – адресов активов;

  • количество событий по протоколам за неделю;

  • статистика инцидентов по важности за последние 24 часа;

  • статистика инцидентов по статусам за последнюю неделю;

  • незакрытые инциденты по уровню важности за всё время.

Также продукт обеспечивает возможность построения отчётов на основе собранной информации об инцидентах за определённый период.
  1. 1   2   3   4   5   6   7   8   9   10   11


написать администратору сайта