Главная страница
Медицина
Финансы
Экономика
Биология
Ветеринария
Сельское хозяйство
Юриспруденция
Право
Языкознание
Языки
Логика
Философия
Религия
Этика
Политология
Социология
История
Информатика
Вычислительная техника
Физика
Математика
Промышленность
Энергетика
Искусство
Культура
Химия
Электротехника
Связь
Автоматика
Геология
Экология
Начальные классы
Строительство
образование
Механика
Воспитательная работа
Русский язык и литература
Дошкольное образование
Реферат
Урок
Отчет
Программа
Закон
Курсовая
Задача
Занятие
Решение
Лекция
Протокол

ВКР. Фгбоу во Сыктывкарский государственный университет им. Питирима Сорокина Колледж экономики, права и информатики


Скачать 1.78 Mb.
НазваниеФгбоу во Сыктывкарский государственный университет им. Питирима Сорокина Колледж экономики, права и информатики
Дата09.07.2022
Размер1.78 Mb.
Формат файлаdocx
Имя файлаВКР.docx
ТипРеферат
#627440
страница10 из 11
1   2   3   4   5   6   7   8   9   10   11

Применение KOMRAD Enterprise SIEM


События по информационной безопасности поступают в KOMRAD Enterprise SIEM из различных источников: ОС, СУБД, сетевого оборудования, СЗИ, прикладного ПО и т. д. Для сбора событий используются коллекторы. Некоторые из них работают в пассивном режиме, ожидая входящих данных на определённых сетевых портах (Syslog, xFlow), другие сами инициируют соединения для извлечения необходимой информации (SQL, файловый, SNMP). Для сбора событий с Windows – машин используется специальный WMI – агент. Коллекторы могут быть установлены как на одном узле с основными компонентами системы, так и на выделенных серверах. Важнейшими коллекторами, которые позволяют организовать сбор событий с абсолютного большинства источников, являются Syslog – коллектор и WMI – агент.

Подключение Windows – машины в качестве источника событий доступно для администраторов системы за три простых шага, а именно: одной командой установить агент на нужный узел, в конфигурационном файле указать IP – адрес коллектора KOMRAD Enterprise SIEM, после чего применить настройки. WMI – агент также позволяет собирать данные из локальных файлов журналов. Агенты устанавливаются в качестве службы Windows и управляются через веб – интерфейс администратора KOMRAD Enterprise SIEM.

Управление WMI – агентами представлено на рисунке 12.



Рисунок 12 – Управление WMI – агентами в KOMRAD Enterprise SIEM

В случае отсутствия соединения между WMI – агентом и сервером KOMRAD Enterprise SIEM события будут собираться в свою локальную базу данных во избежание их потери, а при возобновлении соединения поступят по назначению.

Корреляция в KOMRAD Enterprise SIEM позволяет выявлять инциденты в информационной безопасности по срабатыванию фильтров и выполнению различных условий, определённых в директиве корреляции. Директива корреляции — построенная по иерархическому принципу логическая совокупность правил, в соответствии с которыми осуществляется сравнение параметров событий в информационной безопасности, а также их количества и частоты с заданными показателями для выявления инцидентов.

В KOMRAD Enterprise SIEM существует собственный графический конструктор для управления директивами корреляции.

Создание директивы с выбранным фильтром показано на рисунке 13.



Рисунок 13 – Создание директивы с выбранным фильтром в KOMRAD Enterprise SIEM

Правила в директиве корреляции могут быть следующих типов:

  • «Событие» — блок конструктора директив на проверку приходящих событий на соответствие заранее созданным фильтрам. Этот тип блока может иметь привязку ко времени до и после события, может дополнительно содержать выражение и переменные, также в нём доступна функция «Ветвления»;

  • «Отсутствие события» — блок обратный предыдущему. Он сработает в том случае, если событие, соответствующее указанным параметрам, не поступило;

  • «Утверждение» — блок на простое утверждение. Содержит булево выражение. Если результат вычисления — «Истина», то выполнение правила корреляции продолжается, иначе — прерывается, инцидент не будет зарегистрирован;

  • «Задержка» — интервал времени, которое коррелятор проигнорирует. Отсчёт выполняется от времени предыдущего найденного события.

В случае появления события или набора событий, соответствующих включённым директивам корреляции, происходит регистрация инцидента и в веб – интерфейсе KOMRAD Enterprise SIEM появляется всплывающее уведомление, а ответственным лицам отправляется электронное письмо, если соответствующая настройка была активирована.

При возникновении инцидента в системе создаётся карточка для его расследования, которая изначально помещается в список неподтверждённых инцидентов.

Уведомление об обнаружении инцидентов в ИБ из общего потока событий и неподтверждённые инциденты показаны на рисунках 14 – 15.



Рисунок 14 – Уведомление об обнаружении инцидентов в ИБ из общего потока событий в KOMRAD Enterprise SIEM



Рисунок 15 – Неподтверждённые инциденты в KOMRAD Enterprise SIEM

Для подтверждения инцидента или определения его как «Ложное срабатывание» необходимо выбрать один или несколько инцидентов из «Неподтверждённых» и с помощью функциональных клавиш определить их в нужную группу.

В KOMRAD Enterprise SIEM доступны следующие предустановленные виджеты:

  • количество событий по протоколам за 24 часа;

  • EPS — количество событий в секунду;

  • общее количество событий по ИБ;

  • число событий в минуту (EPM) за последние 30 минут;

  • топ – 10 IP – адресов активов;

  • количество событий по протоколам за неделю;

  • статистика инцидентов по важности за последние 24 часа;

  • статистика инцидентов по статусам за последнюю неделю;

  • незакрытые инциденты по уровню важности за всё время.

Также продукт обеспечивает возможность построения отчётов на основе собранной информации об инцидентах за определённый период.
  1. 1   2   3   4   5   6   7   8   9   10   11

написать администратору сайта