Receipt date: 
19.06.2024
Bibliographic description of the article: 

Соколова А.И., Бутин А.А. Особенности интеграции SIEM-системы с другими средствами защиты информации // «Информационные технологии и математическое моделирование в управлении сложными системами»: электрон. науч. журн. – 2024. – №2. – С. 38-46.  – Режим доступа: https://ismm.irgups.ru/toma/222-2024, свободный. – Загл. с экрана. – Яз. рус., англ.

Year: 
2024
Journal number: 
УДК: 
004.056
Article File: 
Pages: 
38
46
Abstract: 

В данной статье освещены особенности интеграции SIEM-системы с другими средствами защиты информации, включающие в себя проблемы, которые необходимо учитывать специалисту при разработке системы защиты информации. Проанализирована статистика увеличения компьютерных атак за последние годы. Описано назначение и приведена архитектура SIEM-системы, интегрированной с другими средствами защиты информации. Проанализировано, какие средства наиболее часто выступают в роли источников событий информационной безопасности. Отражены принципы функционирования программного обеспечения, предназначенного для сбора, нормализации и корреляции событий. Описан процесс сбора событий посредством сканирования сетевых узлов в разных режимах. Рассмотрена необходимость настройки сетевых протоколов и специализированного программного обеспечения для сбора событий, а также используемые для этого методы. Приведен принцип срабатывания правил корреляции событий. Для актуализации существующих правил предложено использование матрицы MITRE ATT&CK, в которой описаны техники, используемые злоумышленниками для реализации атак. Отражен параметр для подсчета количества событий, поступающих в SIEM-систему от средств защиты информации. Также рассмотрен современный способ масштабирования системы защиты информации с помощью улучшения технической оснащенности системы хранения.

List of references: 

1. Кибербезопасность в 2023-2024 гг.: тренды и прогнозы. Часть третья (ptsecurity.com) [Электронный ресурс]. – URL: https://www.ptsecurity.com/ru-ru/research/analytics/kiberbezopasnost-v-2... (Дата обращения: 10.04.2024).

2. Итоги расследований инцидентов ИБ в 2021–2023 годах (ptsecurity.com) [Электронный ресурс]. – URL: https://www.ptsecurity.com/ru-ru/research/analytics/outcomes-of-IS-incid... (Дата обращения: 10.04.2024).

3. SIEM (ru.wikipedia.org) [Электронный ресурс]. – URL: https://ru.wikipedia.org/wiki/SIEM (Дата обращения: 10.04.2024).

4. Абденов А. Ж., Трушин В. А., Сулайман К. Анализ, описание и оценка функциональных узлов SIEM-системы: учебное пособие. – Новосибирск: НГТУ, 2018. – 122 c. (Дата обращения: 10.04.2024).

5. Алгоритм работы MaxPatrol SIEM и схема взаимодействия компонентов (help.ptsecurity.com) [Электронный ресурс]. – URL: https://help.ptsecurity.com/ru-RU/projects/siem/8.0/help/2189382283 (Дата обращения: 10.04.2024).

6. Выявление инцидентов ИБ с помощью SIEM: типичные и нестандартные задачи, 2020 (ptsecurity.com) [Электронный ресурс]. – URL: https://www.ptsecurity.com/ru-ru/research/analytics/incidents-siem-2020/ (Дата обращения: 11.04.2024).

7. Настройка параметров интеграции с SIEM (support.kaspersky.com) [Электронный ресурс]. – URL: https://support.kaspersky.com/KSWS/11/ru-RU/146650.htm (Дата обращения: 10.04.2024).

8. И снова про SIEM (habr.com) [Электронный ресурс]. – URL: https://habr.com/ru/companies/otus/articles/773430/ (Дата обращения: 11.04.2024).

9. Глубины SIEM: корреляции «из коробки». Часть 3.2. Методология нормализации событий (securitylab.ru) [Электронный ресурс]. – URL: https://www.securitylab.ru/blog/company/pt/345379.php (Дата обращения: 12.04.2024).

10. SIEM – Security Information and Event Management (www.securityvision.ru) [Электронный ресурс]. – URL: https://www.securityvision.ru/blog/siem-security-information-and-event-m... (Дата обращения: 12.04.2024).

11. Корреляция SIEM – это просто. Сигнатурные методы (securitylab.ru) [Электронный ресурс]. – URL: https://www.securitylab.ru/analytics/431459.php?ysclid=luwe2xur4h87421031 (Дата обращения: 12.04.2024).

12. Сколько правил нужно SIEM-системе (kaspersky.ru) [Электронный ресурс]. – URL: https://www.kaspersky.ru/blog/siem-rules/35597/ (Дата обращения: 12.04.2024)

13. Внедрение SIEM – что нужно знать про него (habr.com) [Электронный ресурс]. – URL: https://habr.com/ru/sandbox/97147/ (Дата обращения: 12.04.2024)

14. MaxPatrol SIEM теперь обрабатывает до 60 000 событий в секунду (ptsecurity.com) [Электронный ресурс]. – URL: https://www.ptsecurity.com/ru-ru/about/news/maxpatrol-siem-teper-obrabat... (Дата обращения: 12.04.2024).

15. Как правильно выбрать и внедрить SIEM-систему (anti-malware.ru) [Электронный ресурс]. – URL: https://www.anti-malware.ru/practice/methods/How-to-choose-and-implement... (Дата обращения: 12.04.2024).