«Қазіргі білім берудің даму тенденциялары» халықаралық ғылыми конференцияның материалдар жинағЫ

Қазіргі білім берудің даму тенденциялары 
129 
выявления злонамеренных действий, – но сталкиваются с оперативными 
проблемами. 
Системы управления информацией о безопасности и событиями (SIEM) 
являются 
жизненно 
важным 
устройством 
в 
SOC, 
собирающим, 
нормализующим и анализирующим случаи безопасности из различных 
источников, но они должны развиваться, чтобы преодолеть будущие проблемы 
с универсальностью. 
Цель SOC состоит в том, чтобы отследить случаи, связанные с 
безопасностью, от венчурных ИТ-ресурсов, включая ИТ-организацию, системы 
защиты границ, такие как брандмауэры и устройства предотвращения 
прерываний, серверы приложений, базы данных и учетные записи клиентов. За 
каждым ресурсом можно наблюдать с помощью различных датчиков и вести 
журнал регистрации действий. SOC получает данные о происшествиях от 
датчиков и записей в журнале и запускает предупреждения, указывающие на 
возможное недоброжелательное поведение, как на границе организации, так и 
внутри предприятия.
В первые дни было сравнительно мало устройств ИТ-безопасности, 
включая брандмауэры для обеспечения безопасности границ и определения 
местоположения прерывания (IDSS) и антивирусные платформы (AVSS) для 
проверки хостов. Каждая из этих платформ поставляется со своим клиентским 
интерфейсом, зависящим от конкретного поставщика. По мере того, как такие 
устройства стали использоваться более широко и появилось больше устройств, 
возникли две проблемы: во-первых, существовало также множество клиентских 
интерфейсов для наблюдения, и на данный момент не было устройств для 
подключения к различным инструментам безопасности. 
Системы SIEM были разработаны для решения этих задач: они собирают 
события из различных источников, каждый из которых может представлять 
события с использованием схемы конкретного поставщика; нормализуют эти 
разрозненные схемы в общее представление; и хранят эти нормализованные 
события. Их механизм правил запускает оповещения о сохраненных событиях; 
правила позволяют сопоставлять события с разных датчиков. Системы SIEM 
также включают вспомогательную контекстуальную информацию, такую как 
актуальная информация об активах предприятия, которую можно использовать 
для написания более совершенных правил с учетом контекста и определения 
приоритетов предупреждений. Главной сильной стороной SIEM-систем 
является их способность сопоставлять журналы из разных источников с 
использованием общих атрибутов для определения значимых моделей и 
сценариев атак, которые при их возникновении могут предупреждать 
аналитиков безопасности (SAS). Таким образом, SIEM-системы подобны 
радару, 
своевременно 
обнаруживающему 
объекты. 
Их 
возможность 
долгосрочного 
хранения 
событий 
полезна 
для 
пост-специального 
криминалистического анализа, а также для расследования и обнаружения 
медленных и скрытых атак, включая расширенные постоянные угрозы (APTS). 

Development trends of modern education 
130 
Платформа SIEM распознает входные данные от различных устройств и 
датчиков безопасности, включая системы защиты границ (организация 
брандмауэров и системы предупреждения о прерываниях), датчики (IDSS и 
AVSS), приложения (брандмауэры веб-приложений и системы проверки) и 
организует датчики. Каждое устройство и датчик настроены на вывод событий 
безопасности с необычным или аномальным поведением, которые могут 
указывать на злой умысел. Эти события представлены в схемах поставщиков, 
устройств и версий. Итак, первая задача SIEM-системы – нормализовать 
различные представления в общий формат, чтобы облегчить дальнейшую 
обработку и упростить создание и обслуживание правил. Как показано на 
рисунке, системные разъемы SIEM, настроенные для каждой версии, типа 
устройства и поставщика, получают события. Соединители анализируют 
входные события и преобразуют их в общий формат, причем делают это 
масштабируемым образом, чтобы не отставать от источника событий. 
После нормализации события отправляются на этап администрирования 
безопасности и в базу данных документированной научной экспертизы. Сцена 
следит и анализирует события, регулярно происходящие в течение последних 
нескольких часов. На случай, если это произойдет, в базе данных с хроникой 
хранятся случаи на более длительный срок – от трех до шести месяцев – для 
проведения юридической экспертизы. Несмотря на то, что различные этапы 
имеют различные возможности, обычная документированная база данных 
может достигать 100 Кбайт в секунду, хотя обычный этап администрирования 
может достигать примерно 10 Кбайт в минуту.
Механизм правил платформы управления периодически применяет свои 
правила к событиям в окне. Всякий раз, когда правило запускает новое 
предупреждение, оно отправляется на терминал SIEM-системы для проверки 
аналитиком SOC. Каждое правило собирает информацию о вредоносном 
поведении. Например, правило может искать большое количество неудачных 
попыток входа в систему в течение временного окна или искать HTTP-запросы 
на известные вредоносные веб-сайты. 
Правила генерируются из двух источников: аналитик может создавать 
правила, а система SIEM может алгоритмически генерировать правила из 
событий, например, с помощью интеллектуального анализа шаблонов, то есть 
определения наборов событий, которые часто происходят вместе в течение 
временного окна. Механизм правил может также использовать оповещения об 
обнаружении аномалий, запускающие оповещения, когда наблюдаемые 
события отличаются от обычных событий. 

Қазіргі білім берудің даму тенденциялары 
131 

жүктеу/скачать 2,19 Mb.

Достарыңызбен бөлісу: