SIEM

Orion Instruments jest dostawcą różnych systemów SIEM, w szczególności koncentrujemy się jednak na rozwiązaniu firmy McAfee, zaliczanej wg Gartner Inc. do liderów rynku zarówno w obszarze SIEM jak i przeciwdziałania wyciekowi danych. Zapewniamy analizę przedwdrożeniową, implementację, szkolenia, utrzymanie i rozwój systemu. Wspieramy wykorzystanie SIEMów w ramach Security Operations Centers poprzez zaplanowanie i wdrożenie systemu reakcji na incydenty, case management system, tworzenie procedur i szkolenie personelu.

Wielu producentów systemów SIEM traktuje je przede wszystkim jako narzędzia do zarządzania logami. SIEM firmy McAfee konsolidując dane z logów systemów i aplikacji oraz dane o ruchu sieciowym pozwala na wykrywanie zagrożeń z zewnątrz oraz prób oszustw ze strony użytkowników wewnętrznych, a także na przewidywanie ryzyka, spełnienie wymogów formalnych i korelowanie słabych punktów w infrastrukturze IT, co bezpośrednio przekłada się na poziom bezpieczeństwa organizacji.

McAfee SIEM jest w stanie wykryć anomalie w zachowaniu użytkownika, sieci i aplikacji oraz rozpoznać wzorce aktywności reprezentatywne dla coraz bardziej wyrafinowanych zagrożeń. Poza alarmowaniem o podejrzanych działaniach i ich raportowaniem ma możliwość podjęcia bezpośredniej akcji. W skład systemu SIEM mogą również wchodzić specjalizowane komponenty do monitorowania baz danych, aplikacji oraz szacowania ryzyka.

  +48 22 638 31 45

Lubimy rozmawiać :ˉ)

Wykrywanie zagrożeń

Wiele pojedynczych zdarzeń wygląda na szum. Jednak nawet najbardziej pozornie niewinne działanie, może stanowić część zaplanowanego ataku. SIEM sprawia, że rozpoznanie tego procesu jest łatwe, bowiem korzysta on równocześnie z wielu zaawansowanych technik wykrywania najbardziej nawet wyrafinowanych zagrożeń.

U

Dynamiczne linie bazowe

SIEM dynamicznie wyznacza zachowanie linii bazowej, jak również odchylenia w odniesieniu do wszystkich zebranych informacji. Jest to mechanizm wykrywania anomalii w sieci, ale odnoszący się również do działań użytkownika, aplikacji, transakcji bazy danych i wielu innych. Linie bazowe przedstawiane są zazwyczaj w formie graficznej w całym interfejsie użytkownika, wyraźnie wyróżniając się kolorem, po to, by operator błyskawicznie dostrzegł wszelkie zaburzenia zachowań.

Z

Przewidywanie ryzyka

Od zespołów odpowiedzialnych za bezpieczeństwo informatyczne oczekuje się skutecznego zarządzania ryzykiem i eliminacji słabych punktów zabezpieczeń zanim jeszcze dojdzie do ich naruszenia. SIEM oferuje rozwiązanie pozwalające działać z wyprzedzeniem i ocenić czynniki ryzyka występujące podczas i po ataku, a także odpowiadające na szereg pytań typu „co,  jeśli?”. W efekcie możliwe jest istotne zwiększenie efektywności pracy zespołów odpowiedzialnych za bezpieczeństwo i ograniczenie czynników ryzyka w środowisku sieciowym.

Korelacja zero-day

Korelacja zdarzeń w czasie rzeczywistym odbywa się w odniesieniu do spływających informacji. SIEM jest w stanie dodatkowo powiązać informacje ad hoc, co pozwala na badanie wzorców i zależności w odniesieniu do wszystkich zebranych do tej pory danych. Jest to korelacja „zero day”, ponieważ poziom zarządzania zdarzeniami w czasie rzeczywistym umożliwia wykrycie nowych wskaźników zagrożenia, co z kolei pozwala na podjęcie stosownych reakcji wobec określonych zagrożeń, zanim jeszcze one wystąpią.

Wewnętrzne zagrożenia

Mieszane ataki z wyrafinowanymi wektorami są trudne do wykrycia, ponieważ dotyczą dostępu do informacji autoryzowanych użytkowników, co znajduje się w zakresie dopuszczalnych zachowań. Całkowity wgląd w aktywności uprawnionego użytkownika – łącznie z transferem plików do e-maili i zapytania do komunikatorów internetowych lub sieci społecznościowych – pozwala analitykom bezpieczeństwa oddzielić uzasadnione działania od niebezpiecznych błędów i rzeczywistych nadużyć. Natomiast monitorowanie treści pozwala na wykrywanie zagrożeń wewnętrznych: od przypadkowego naruszenia reguł aż do oszustwa i umyślnego nadużycia logiki biznesowej.

Informatyka śledcza

SIEM stanowi niezwykle cenne narzędzie do celów informatyki śledczej, jest bowiem w stanie wychwycić logi i zdarzenia oraz przechować w formie niezaprzeczalnej wszystkie zebrane detale przez dowolnie długi czas. SIEM nie wymaga comiesięcznej archiwizacji danych poza systemem, więc wszystkie zebrane informacje są dostępne do analizy w każdej chwili. SIEM nie każe również czekać na odpowiedź – w ciągu kilku sekund realizowane są: wyszukiwanie, relacyjne zapytania, linie bazowe i analizy trendów, a nawet pełne informacje o całej sesji. Ze względu na wyjątkową szybkość i skalowalność rozwiązania, nawet najbardziej skomplikowany raport z miliardów rekordów może być przygotowany w ciągu zaledwie kilku minut.

Zaawansowana korelacja

Korelacja zdarzeń jest wykorzystywana do szukania wzorców zdarzeń charakterystycznych dla ataku. SIEM idzie dalej, włączając do korelacji przepływy sieciowe, aktywności użytkowników, aktywności aplikacji, a nawet progi ze zdefiniowanym odchyleniem. "Liczba nieudanych prób po udanym logowaniu” jest często podawana jako przykład korelacji zdarzeń, ale co to naprawdę oznacza? Inteligentny SIEM potrafi wykryć czy atak brute force został wykonany przez byłego pracownika, czy też nastąpił jako skutek działania szkodliwego oprogramowania. Korzystanie z edytora graficznego korelacji SIEM oraz tworzenie nowych reguł jest proste i logiczne, a przez to wygodne w użyciu.

h

Spełnienie wymogów formalnych

Przedsiębiorstwa i instytucje są bardzo często zobowiązane do przestrzegania branżowych i ogólnych przepisów i norm prawnych takich jak np. wytyczne KNF, PCI Compliance, czy rozporządzenie GDPR (RODO).  Obszerne zbiory danych i zdarzeń generowanych w organizacji zawierają kluczowe dane, które powinny znaleźć się w formalnie wymaganych zapisach kontrolnych.  Dzięki korelacji i integracji źródeł danych rozwiązanie SIEM dostarcza operatorowi bardziej precyzyjnych informacji, audytorom – pełniejszych raportów, a osobom odpowiedzialnym za reagowanie na incydenty – bardziej szczegółowego materiału dowodowego.

Chcesz wiedzieć więcej:

„McAfee SIEM”

„AlienVault SIEM”