Мэдээллийн аюулгүй байдлаа SIEM-д даатгая !

Мэдээллийн аюулгүй байдлаа SIEM-д даатгая

Мэдээлэл алдагдах эрсдэл тогтмол өсч буй дор датаны аюулгүй байдал нь орчин үеийн бизнесүүдийн хамгийн өндөр эрсдлүүдийн нэг юм. Санхүү болон эрүүл мэндийн салбарын хувьд харилцагчийн болон ажилчдын чухал мэдээллийг маш чухал байдаг. Гэхдээ хакинг болсны дараа юуг хакдуулсан, хэрхэн хакдуулснаа тодорхойлох нь маш том сорилт болдог. Тиймээс тэдгээр өсч буй аюул заналуудад хариу үзүүлэх, тодорхойлох, хянадаг систем бол SIEM болон хянатын системүүд юм. Эдгээр лог хяналтын систем болон SIEM системүүд ихэнхдээ хамтдаа яригддаг гэхдээ хоёр тусдаа систем өөр өөрсдийн ялгаатай онцлог давуу талуудыг санал болгодог.

Мэдээллийн аюулгүй байдал ба үйл явдлын менежмент (SIEM) гэж юу вэ?

SIEM бол Security Information and Event Management гэсэн үгний товчлол юм. Энэ нь сүлжээний орчинд аюулгүй байдлыг хянах, удирдахад тусладаг цогц  аюулгүй байдлын шийдэл билээ. SIEM нь хэд хэдэн мэдээллийн аюулгүй байдлын технологиудаас бүрдэх ба дараах маш чухал технологиудыг өөрөө нэгтгэсэн. Үүнд:

• Log Management:

Үйлдлийн систем болон програм хангамжуудаас лог файлуудыг цуглуулж хадгалдаг систем юм.

• Security Event Management:

Мэдээллийн аюулгүй байдлын аюул заналыг тодорхойлоход тусладаг аюулгүй байдлын авах арга хэмжээнүүдийн харилцан уялдааг бий болгож бодит агшны хяналтыг хийдэг цогц систем багтдаг.

• Secutiry Information Management:

Мэдээллийн аюулгүй байдалтай хамааралтай бүртгэлүүдийг хадгалах, анализ хийх, удирдах, тайлан гаргадаг систем юм.

• Security Event Correlation:

Мэдээллийн аюулүй байдлын эсрэг үйл явц өрнөж байх үед админуудад анхааруулга өгөх, боломжит аюул занал байгааг илтгэх үйл явцуудыг хянадаг систем юм. Эдгээр технологиуд тус тусдаа маш их үр дүн авчрах боловч хамтдаа бол тус тусын онцлог давуу талуудын нийлбэрээс илүү үр дүн үзүүлэх болно.

SIEM-ийн чадамжуудын онцлог талууд

• Aggregation:

SIEM нь сүлжээгээр системүүд болон программ хангамжуудын аюулгүй байдлын логуудыг цуглуулдаг.

• Organization:

Лог цуглуулагдсаны дараа SIEM систем нь ашиглагдаж болохуйц тогтсон өгөгдлийн форматруу хөрвүүлдэг. Дараа нь эдгээр логуудыг дахин ашиглах боломжтойгоор ангилалтыг хийдэг байна**.**

• Correlation:

SIEM нь цуглуулдсан лог дээрх үйл явцыг бусад үйл явцтай статистик, эсхүл алгоритм суурьтай rule-based хамаарлыг ашиглаж харьцуудаг.

• Alert:

SIEM нь голдуу имэйл, SMS мессеж, эсхүл SNMP мессежүүдээр админуудруу байх болох хурдан арга хэлбэрээр мэдээлдэг.

• Prioritization:

SIEM шийдэл дотор хамаарлын алгоритм, зэрэглэлийн алгоритм, хамгийн чухал аюулгүй байдлын үйл явцыг тэмдэглэдэг.

• Visibility:

SIEM шийдэл нь аюулгүй байдлын дүн шинжилгээ хийсэн үр дүн болон үйл ажиллагаа бодит цагийн нарийвчлалтайгаар хянадаг хяналтын самбартай. Мөн мэдээж ДАТА-руу хялбархан шалгах боломжтой.

• Reporting:

Тайлан нь бусад байгууллагын шаардлага стандарт нийцүүлэхэд хамгийн чухал үүрэгтэй байдаг.

Эцэст нь хэлэхэд SIEM шийдлүүд нь маш өргөн хүрээнд бодит цагийн агшинд системүүдийн аюулгүй байдлын дэлгэрэнгүй нарийн харуулах боломжтой юм.

Нийтлэлийн үргэлжлэл болох "Log Management" тун удахгүй ...