[spoiler]- По какой схеме выявляются неявные взаимосвязи между событиями из анализируемых наборов данных (например, логов) -- на основе правил или с помощью статистической корреляции? Статистика математический более мощный механизм, однако и более «универсальный» и менее настраиваемый. Желательно сочетание обеих подходов, включая возможность создания собственных правил.
- Есть ли в системе «входной контроль», предварительная фильтрация поступающей информации? Фильтр позволяет существенно повысить скорость анализа объёмных данных, однако заметно повышается вероятность утери/неучёта важных фактов.
- Из каких внешних источников может собираться информация для анализа?
- Может ли система предсказывать начинающуюся атаку, предотвращать её, самостоятельно блокировать несанкционированный доступ?
- Самообучаема ли система, повышает ли она со временем качество работы, адаптируясь к конкретной корпоративной деятельности?
- Умеет ли система мгновенно извещать заданных лиц самыми разными способами при выявлении аномалии?
- Насколько UI системы будет понятен и доступен сотрудникам служб безопасности?
Крайне полезными фишками будут:
- выявление атак нулевого дня (когда используются непропатченные бреши в системе);
- единичное копирование данных, часто пропускаемое системами защиты, ориентированными на интенсивные и многократные попытки взлома;
- несоответствующие перемещения данных (как было со Сноуденом) -- например, связь факта разрешённого доступа к информации с последующим перемещением неких файлов на внешние физические накопители или во внешние облачные системы;
- отсутствие событий (когда например у оператора SCADA-системы долгое время не фиксируется никакая активность);
- подозрительная активность системного администратора
-- возможно, он обиделся на начальника, или собрался перейти к конкурентам, и теперь копирует нехарактерные для его профиля данные, меняет права доступа итд;- странные способы доступа к БД -- например, когда информация записывается в базу автоматически от внешних датчиков, странно, если вдруг к ней обратятся из внутренней сети.
ТТХ:
- Какова скорость анализа текстовых логов, мебагайтов/сек? Сравните это с вашими объёмами, тут важно реальное время. Какие известные/стандартные форматы логов поддерживаются?
- Количество отслеживаемых подсистем каждого типа.
- Сколько событий в секунду/час/сутки система способна обработать?
Согласно январского опроса TechTarget европейских пользователей SIEM, последним сейчас практически одинаково важны цена, функциональные возможности, простота внедрения и доступность коробочной версии, не требующая особой возни. Хит сезона -- это обнаружение угроз в реальном времени, однако абсолютное большинство заказчиков пока видят в SIEM в основном анализаторы логов, и не понимают/не хотят связываться с организацией полноценной защиты, которая всегда сложна и требует индивидуального подхода.
