ВКР. Фгбоу во Сыктывкарский государственный университет им. Питирима Сорокина Колледж экономики, права и информатики
Скачать 1.78 Mb.
|
KOMRAD Enterprise SIEMKOMRAD Enterprise SIEM — гибкая и масштабируемая система централизованного управления событиями информационной безопасности, поддерживающая широкий спектр источников событий, разработанная АО «НПО «Эшелон»», предназначена для сбора, регистрации и анализа событий по информационной безопасности, а также выявления признаков инцидентов и оперативного реагирования на них. Система имеет собственный визуальный конструктор для управления правилами фильтрации и корреляции событий, поддерживает интеграцию с API ГосСОПКА. Организация мониторинга событий из области информационной безопасности не только позволяет выполнить требования нормативных документов, но и обеспечивает реальный контроль над защищаемой инфраструктурой. До недавнего времени применение SIEM – систем было прерогативой крупных организаций, которые могли себе позволить штат экспертов – аналитиков по ИБ и серьёзные вложения в программное и аппаратное обеспечение, но с выходом новой версии KOMRAD Enterprise SIEM в конце 2021 года ситуация изменилась. Теперь даже небольшая организация с ограниченными ресурсами может себе позволить такую систему и получит от внедрения реальную пользу. Технические характеристики KOMRAD Enterprise SIEM: сбор событий по протоколам Syslog, SNMP, SQL, FTP, SFTP, SSH, xFlow; автоматическая нормализация событий в форматах CEF, RFC 5424, RFC 3164, EVTX; возможность разбора событий в произвольном формате с помощью регулярных выражений (RE2) для подключения нестандартных источников событий информационной безопасности; поддержка Elastic Common Schemа; широкий спектр поддерживаемых отечественных СЗИ; предустановленные виджеты для визуального анализа данных; хранилище событий на основе PostgreSQL c TimescaleDB; визуальный конструктор правил фильтрации и корреляции событий; возможность создания произвольных правил фильтрации событий на языке Lua; возможность распределенной установки компонентов системы и масштабирования решения; предустановленные правила корреляции; управление инцидентами ИБ; возможность интеграции с внешними системами: поддержка API ГосСОПКА, передачи карточки инцидентов в CEF [25]. Схема работы представлена на рисунке 3. Рисунок 3 – Схема работы KOMRAD Enterprise SIEM KOMRAD Enterprise SIEM реализует следующие меры информационной безопасности: сбор, запись и хранение информации о событиях безопасности; обнаружение, идентификация и регистрация инцидентов; информирование об инцидентах и реагирование; хранение событий в течение необходимого срока; управление активами; просмотр и анализ информации о действиях пользователей; передача инцидентов в ГосСОПКА. MaxPatrol SIEMMaxPatrol SIEM — система мониторинга событий информационной безопасности и выявления инцидентов в режиме реального времени. Программный продукт решает такие задачи, как: организовать полноценную работу офиса; управление событиями и инцидентами информационной безопасности; организовать общую безопасность сети от внешних атак. Преимущества продукта: эффективно выявляет инциденты благодаря управлению активами; выявляет новые типы угроз; строит топологию сети; оценивает эффективность ИБ; помогает построить оптимальную модель мониторинга безопасности. Ключевые возможности: общая картина угроз ИБ — дашборд отображает сводную информацию об инцидентах и уязвимостях активов в инфраструктуре и указывает на наиболее опасные из них; детальные сведения об активах для проведения расследований — паспорт ИТ – актива с данными об аппаратном и программном обеспечении, установленных обновлениях, об уязвимостях актива на любой момент времени — помогает разобраться в причинах инцидента. Оператор системы видит состояние актива на текущий момент и за любой период в прошлом; управление активами — MaxPatrol SIEM формирует группы активов по любым признакам и автоматически наполняет их новыми активами, попадающими под критерии. Это помогает выявлять аномалии в ИТ – инфраструктуре и точнее задавать условия для правил корреляции; топология сети — топология сети строится на основании модели ИТ – инфраструктуры и автоматически обновляется в случае изменений. С ее помощью оператор системы лучше понимает защищаемую инфраструктуру, проверяет доступность активов по портам, оценивает реализуемость атак и расследует инциденты; оценка эффективности ИБ — специальный модуль PT Security Intelligence Portal отражает динамику проблем в ИБ, сводку по инцидентам, загруженность ответственных сотрудников и указывает на показатели, отклоняющиеся от нормы; оценка уровня защищенности — модуль PT Security Intelligence Portal помогает оценить общий уровень защищенности организации с территориально распределенной инфраструктурой, выявить проблемы и понять их причины [26]. Схема работы MaxPatrol SIEM представлена на рисунке 4. Рисунок 4 – Схема работы MaxPatrol SIEM MaxPatrol SIEM обрабатывает события ИБ, собирает данные об активах и автоматически выявляет угрозы, в том числе ранее неизвестные. Служба ИБ моментально получает уведомления об инцидентах, что помогает оперативно отреагировать на атаку, провести детальное расследование и предотвратить репутационный и финансовый ущерб. |