C помощью следующих советов вы сможете экономить до 40% ежегодных издержек на лицензирование SIEM-систем и улучшить их производительность. В результате вырастет скорость обнаружения и реакции на потенциальные угрозы, а также анализ рисков безопасности.

Ключевая задача каждой коммерческой организации — сбалансировать производительность компании и ее затраты. ИТ-подразделения сегодня играют важную роль в каждой компании, а требования к ИТ-отделам «делать больше за меньшие деньги» выросли, особенно в кризис. И поскольку все больше и больше активов становятся цифровыми, даже хорошо подготовленные команды могут не справиться с задачами по наблюдению за целостностью и безопасностью вашей ИТ-инфраструктуры.

Системы управления событиями информационной безопасности (SIEM) часто выступают в качестве нервного центра корпоративных систем и становятся ключевой частью успешной ИБ-стратегии. Однако огромный объем данных, которые компании собирают, хранят и обрабатывают, быстро выходит из-под контроля. Он настолько велик, что приходится постоянно увеличивать свои бюджеты на SIEM или надеяться на то, что серьезные вирусные атаки обойдут стороной. Также необходимо помнить, что SIEM-системы главным образом хороши для анализа и составления отчетов на основе фундамента любой SIEM-системы — логов.

Оптимизацию SIEM-системы (для сокращения издержек или повышения эффективности) удобнее и продуктивнее всего организовать, повысив эффективность процесса управления логами. Следуя нашим советам, вы сможете улучшить работу SIEM-систем и упростить работу вашей службы безопасности.

Совет № 1. Избегайте проблем с совместимостью: качество анализа ИБ-событий напрямую зависит от качества исходных данных. Поскольку большинство организаций имеют самый разнообразный парк оборудования, среди инструментов для сбора и управления логами лучше выбрать те решения, которые имеют наиболее широкую поддержку разных форматов логов (включая простые текстовые файлы, файлы баз данных типа SQL, Oracle и SNMP-трапы, помимо привычных форматов syslog).

Совет № 2. Передавайте в SIEM только ценную информацию. Инструмент для «подачи» в SIEM информации должен также уметь обрабатывать и передавать структурированные и неструктурированные данные. Кроме этого, в его в распоряжении должны быть универсальные функции вроде фильтрации, парсинга, преобразования логов и их классификации. С таким набором характеристик вы будете направлять в SIEM только самую ценную информацию о событиях информационной безопасности. Таким образом, значительно сократятся расходы на оплату лицензии SIEM, основанной на количестве событий (реальные случаи эксплуатации говорят об экономии порядка 40% за год), и вы сможете предоставлять специалистам компактный и переформатированный поток журнальных данных для более легкого анализа.

Совет № 3. Обеспечьте соответствие хранения ваших логов регулирующим правилам по умолчанию. Преобразовывающие функции, такие как анонимизация и псевдонимизация, очень важны для соблюдения международных стандартов обращения с данными и обеспечения приватности, таких как PCI-DSS, HIPAA и новый GDPR в Евросоюзе.

Совет № 4. Сжимайте ваши логи при передаче по сети с узкой полосой пропускания. В зависимости от пропускной способности Интернета и интранета ваш инструмент для управления логами должен уметь работать даже в условиях очень ограниченной скорости соединения и передачи данных. Мгновенное сжатие логов может значительно уменьшить потребление трафика и ускорить работу центрального лог-сервера. Это увеличит скорость отклика на потенциальные риски безопасности или эксплуатации.

Совет № 5. Убедитесь в том, что теряете только «нулевые» логи. Что произойдет, если вы потеряете одно событие? Скорее всего, ничего, если это не будет единичным признаком происходящей утечки. Функции предотвращения потери сообщений — буферизация, поддержка доставки в виде автоматического переключения на резерв при сбое, контроль скорости передачи сообщений и подтверждение приема на уровне приложения — очень важны. Важно вовремя заметить, что неполученное сообщение сигнализирует о временном сбое инфраструктуры сбора логов или ее неспособности справиться с задачей.

Совет № 6. Богатый функционал должен поддерживаться высоко масштабируемой и надежной производительностью. Специализированные инструменты с устойчивыми к сбоям архитектурами могут обслуживать трафик от нескольких сотен сообщений до сотен тысяч событий в секунду. Здесь задействовано огромное количество движущихся элементов, зависимостей и переменных, но в самом общем случае, если вы не гигант вроде Amazon или Facebook, проблем с объемами обрабатываемых данных, даже при включенном активном индексировании, возникнуть не должно.

Совет № 7. Интегрируйте данные мониторинга действий привилегированных пользователей и поддерживайте их в актуальном состоянии. Хотя большинство действий пользователей оставляют след в логах, некоторые из них (особенно те, которые выполняют привилегированные пользователи через управляющие протоколы SSH или RDP) не находят отражение в журналах или данных аналитики SIEM. Интегрируя SIEM с решением для мониторинга привилегированных действий, вы сможете анализировать действия сотрудников, которые больше всего подвержены риску в режиме реального времени. Тем самым вы предотвратите кибератаки с самыми тяжелыми последствиями и нецелевое использование привилегированных учетных записей.

Совет № 8. Расставьте приоритеты SIEM-оповещений. Ваша компания получает слишком много логов? SIEM-система часто выдаёт ложно-положительные срабатывания? Небольшая команда безопасности перегружена работой и не в состоянии немедленно расследовать все случаи взлома? У любого профессионала в области безопасности есть только семь минут на работу с каждым SIEM-оповещением, чтобы найти источник утечки — будь то APT-атака или фишинговое письмо. Опираясь на уровень привилегий пользователя, активировавшего сигнал, и то, отличается ли его поведение в этой ситуации от обычной ежедневной деятельности, можно определить самые серьезные бреши в безопасности ИТ-инфраструктуры. Именно для этого ваша компания и внедрила SIEM-решение, чтобы значительно уменьшить время, необходимое для обнаружения, отклика и исследования потенциальных угроз и для возвращения предприятию состояния полной защиты.

Автор статьи — менеджер по маркетингу продукта syslog-ng компании Balabit.

Версия для печати