ДОСЛІДЖЕННЯ СУЧАСНОГО СТАНУ SIEM-СИСТЕМ

Автор(и)

DOI:

https://doi.org/10.28925/2663-4023.2024.25.618

Ключові слова:

SIEM; управління інформацією та подіями безпеки; хмарні платформи; критична інфраструктура; кібербезпека; інформаційна безпека.

Анотація

У даній роботі проведено дослідження SIEM-систем, актуальність застосування яких значно виросла під час повномасштабного вторгнення росії в Україну. Було вирішено завдання з пошуку найбільш оптимальних рішень відповідно до наступних критеріїв: зручність використання, здатність інтегруватися з іншими рішеннями захисту, цінова політика та особливості. Для цього у роботі розглянуто загальний опис будови та принцип функціонування системи SIEM, визначені можливості та особливості сучасних SIEM-систем, проведено дослідження наступного програмного забезпечення (ПЗ): Splunk Enterprise Security (Splunk), Elastic Security, IBM QRadar SIEM, Wazuh SIEM, Microsoft Sentinel. У результаті дослідження виявлено наступне: сучасні SIEM-рішення дозволяють автоматизувати частину процесів з виявлення та реагування на події безпекового характеру, дозволяють брати під контроль гібридні типи інфраструктури, які можуть включати хмарні середовища, системи віртуалізації та контейнеризації, робочі станції та інші корпоративні пристрої. Вони реалізуються як у вигляді розгортання своїх рішень на власних потужностях, так і у вигляді оренди відповідних ресурсів, надаючи послугу Software-as-a-Service. При цьому наявність великої кількості інтеграцій з різноманітними пакетами ПЗ та системами дозволяє SIEM стежити за відповідністю наявного стану кіберзахисту інформаційної інфраструктури організації певним міжнародним стандартам, як то ISO 27001, GDPR чи PCI DSS. Визначено, що у сучасних SIEM для виявлення аномалій у поведінці систем та користувачів, а також для пріоритизації виявлених вразливостей та пропонування кроків щодо покращення стану кіберзахисту використовуються досягнення у сферах машинного навчання та штучного інтелекту. Розглянуті рішення працюють сумісно з іншими сучасними системами, як то SOAR чи EDR/XDR, що підвищує ефективність SIEM-систем та, як наслідок, операційних центрів безпеки, тому, на думку авторів, відповідні технології заслуговують на подальше дослідження.

Завантаження

Дані завантаження ще не доступні.

Посилання

The number of cyberattacks during the war tripled. (2022). State Service for Special Communications and Information Protection of Ukraine. https://cip.gov.ua/ua/news/kilkist-kiberatak-pid-chas-viini-zrosla-vtrichi

Leung, B. K. (2021). Security Information and Event Management (SIEM) Evaluation Report. ScholarWorks. https://scholarworks.calstate.edu/downloads/41687p49q

González-Granadillo, G., González-Zarzosa, S., Diaz, R. (2021). Security Information and Event Management (SIEM): Analysis, Trends, and Usage in Critical Infrastructures. Sensors, 21(14). https://doi.org/10.3390/s21144759

Muhammad, S., et al. (2023). Effective Security Monitoring Using Efficient SIEM Architecture. Human-centric Computing and Information Sciences, 13. https://doi.org/10.22967/HCIS.2023.13.017

Magic Quadrant for Security Information and Event Management. (n. d.). Gartner. https://www.gartner.com/doc/reprints?id=1-2AHCXAHG&ct=220701

Guide for Security-Focused Configuration Management of Information Systems. (2021). NIST. https://doi.org/10.6028/NIST.SP.800-128

What is SIEM. Security Information and Event Management Tools. (n. d.). Imperva. https://www.imperva.com/learn/application-security/siem/

SOAR and SIEM in 2023: Key Trands and New Changes. (2023). Security Intelligence. https://securityintelligence.com/articles/soar-and-siem-in-2023-key-trends-and-new-changes/

Gartner® Magic Quadrant™ for SIEM. (n. d.). Splunk. https://www.splunk.com/en_us/form/gartner-siem-magic-quadrant.html

Splunk Enterprise Security. (n. d.). Splunk. https://www.splunk.com/en_us/products/enterprise-security.html

Splunk Cloud Platform. (n. d.). Splunk. https://www.splunk.com/en_us/products/splunk-cloud-platform.html

Elastic Security Solution. (n. d.). Elastic. https://www.elastic.co/security/

SIEM & Security Analytics | Elastic Security | Elastic SIEM. (n. d.). Elastic. https://www.elastic.co/security/siem/

Visual event analyzer | Elastic Security Solution [8.12] | Elastic. (n. d.). Elastic — The Search AI Company | Elastic. https://www.elastic.co/guide/en/security/current/visual-event-analyzer.html

IBM Security QRadar. (n. d.) https://www.ibm.com/qradar/

What is the MITRE ATT&CK Framework? | IBM. (n. d.). https://www.ibm.com/topics/mitre-attack/

IBM QRadar SIEM Solution Brief. (n. d.). https://www.ibm.com/downloads/cas/RLXJNX2G

Overview | Wazuh. (n. d.). https://wazuh.com/platform/overview/

Wazuh – The Open Source Security Platform. Unified XDR and SIEM protection for endpoints and cloud workloads. (n. d.). https://github.com/wazuh/wazuh?tab=readme-ov-file#wazuh

Regulatory compliance – Wazuh documentation. (n. d.). https://documentation.wazuh.com/current/compliance/index.html

How SCA works – Security Configuration Assessment. (n. d.). https://documentation.wazuh.com/current/user-manual/capabilities/sec-config-assessment/how-it-works.html

Wazuh License. (n. d.). https://github.com/wazuh/wazuh/blob/master/LICENSE

Microsoft Sentinel – хмарне SEIM-рішення. (n. d.). https://www.microsoft.com/uk-ua/security/business/siem-and-xdr/microsoft-sentinel/

Moving to Next-Gen SIEM with Microsoft Sentinel. (n. d.). https://www.microsoft.com/insidetrack/blog/moving-to-next-generation-siem-at-microsoft-with-microsoft-azure-sentinel/

What is Microsoft Sentinel? (n. d.). https://learn.microsoft.com/uk-ua/azure/sentinel/overview/

Smirnov, O., et al. (2023). Simulation of the cloud IoT-based monitoring system for critical infrastructures. In: CEUR Workshop Proceedings, vol. 3530, 256–265.

Smirnov, O., et al. (2022). Method Detection Audit Data Anomalies on Basis Restricted Cauchy Machine. In: CEUR Workshop Proceedings, vol. 3187, 1–12.

Smirnov, O., et al. (2023). Selection of a Rational Composition of İnformation Protection Means Using a Genetic Algorithm. Intelligent Communication Technologies and Virtual Mobile Networks, 131, 21–34.

Smirnov O. A., et al. (2020). Models and algorithms for ensuring functional stability and cybersecurity of virtual cloud resources. Journal of Theoretical and Applied Information Technology, 98(21), 3334–3346.

Smirnov O. A., et al. (2020). Research of cloud technologies as services. Cybersecurity: Education, Science, Technology, 3(7), 43–62.

Downloads


Переглядів анотації: 43

Опубліковано

2024-09-25

Як цитувати

Смірнова, Т., Константинова , Л., Конопліцька-Слободенюк , О., Козлов, Я., Кравчук, О., Козірова, Н., & Смірнов, О. (2024). ДОСЛІДЖЕННЯ СУЧАСНОГО СТАНУ SIEM-СИСТЕМ. Електронне фахове наукове видання «Кібербезпека: освіта, наука, техніка», 1(25), 6–18. https://doi.org/10.28925/2663-4023.2024.25.618

Статті цього автора (авторів), які найбільше читають