ДОСЛІДЖЕННЯ СУЧАСНОГО СТАНУ SIEM-СИСТЕМ
DOI:
https://doi.org/10.28925/2663-4023.2024.25.618Ключові слова:
SIEM; управління інформацією та подіями безпеки; хмарні платформи; критична інфраструктура; кібербезпека; інформаційна безпека.Анотація
У даній роботі проведено дослідження SIEM-систем, актуальність застосування яких значно виросла під час повномасштабного вторгнення росії в Україну. Було вирішено завдання з пошуку найбільш оптимальних рішень відповідно до наступних критеріїв: зручність використання, здатність інтегруватися з іншими рішеннями захисту, цінова політика та особливості. Для цього у роботі розглянуто загальний опис будови та принцип функціонування системи SIEM, визначені можливості та особливості сучасних SIEM-систем, проведено дослідження наступного програмного забезпечення (ПЗ): Splunk Enterprise Security (Splunk), Elastic Security, IBM QRadar SIEM, Wazuh SIEM, Microsoft Sentinel. У результаті дослідження виявлено наступне: сучасні SIEM-рішення дозволяють автоматизувати частину процесів з виявлення та реагування на події безпекового характеру, дозволяють брати під контроль гібридні типи інфраструктури, які можуть включати хмарні середовища, системи віртуалізації та контейнеризації, робочі станції та інші корпоративні пристрої. Вони реалізуються як у вигляді розгортання своїх рішень на власних потужностях, так і у вигляді оренди відповідних ресурсів, надаючи послугу Software-as-a-Service. При цьому наявність великої кількості інтеграцій з різноманітними пакетами ПЗ та системами дозволяє SIEM стежити за відповідністю наявного стану кіберзахисту інформаційної інфраструктури організації певним міжнародним стандартам, як то ISO 27001, GDPR чи PCI DSS. Визначено, що у сучасних SIEM для виявлення аномалій у поведінці систем та користувачів, а також для пріоритизації виявлених вразливостей та пропонування кроків щодо покращення стану кіберзахисту використовуються досягнення у сферах машинного навчання та штучного інтелекту. Розглянуті рішення працюють сумісно з іншими сучасними системами, як то SOAR чи EDR/XDR, що підвищує ефективність SIEM-систем та, як наслідок, операційних центрів безпеки, тому, на думку авторів, відповідні технології заслуговують на подальше дослідження.
Завантаження
Посилання
The number of cyberattacks during the war tripled. (2022). State Service for Special Communications and Information Protection of Ukraine. https://cip.gov.ua/ua/news/kilkist-kiberatak-pid-chas-viini-zrosla-vtrichi
Leung, B. K. (2021). Security Information and Event Management (SIEM) Evaluation Report. ScholarWorks. https://scholarworks.calstate.edu/downloads/41687p49q
González-Granadillo, G., González-Zarzosa, S., Diaz, R. (2021). Security Information and Event Management (SIEM): Analysis, Trends, and Usage in Critical Infrastructures. Sensors, 21(14). https://doi.org/10.3390/s21144759
Muhammad, S., et al. (2023). Effective Security Monitoring Using Efficient SIEM Architecture. Human-centric Computing and Information Sciences, 13. https://doi.org/10.22967/HCIS.2023.13.017
Magic Quadrant for Security Information and Event Management. (n. d.). Gartner. https://www.gartner.com/doc/reprints?id=1-2AHCXAHG&ct=220701
Guide for Security-Focused Configuration Management of Information Systems. (2021). NIST. https://doi.org/10.6028/NIST.SP.800-128
What is SIEM. Security Information and Event Management Tools. (n. d.). Imperva. https://www.imperva.com/learn/application-security/siem/
SOAR and SIEM in 2023: Key Trands and New Changes. (2023). Security Intelligence. https://securityintelligence.com/articles/soar-and-siem-in-2023-key-trends-and-new-changes/
Gartner® Magic Quadrant™ for SIEM. (n. d.). Splunk. https://www.splunk.com/en_us/form/gartner-siem-magic-quadrant.html
Splunk Enterprise Security. (n. d.). Splunk. https://www.splunk.com/en_us/products/enterprise-security.html
Splunk Cloud Platform. (n. d.). Splunk. https://www.splunk.com/en_us/products/splunk-cloud-platform.html
Elastic Security Solution. (n. d.). Elastic. https://www.elastic.co/security/
SIEM & Security Analytics | Elastic Security | Elastic SIEM. (n. d.). Elastic. https://www.elastic.co/security/siem/
Visual event analyzer | Elastic Security Solution [8.12] | Elastic. (n. d.). Elastic — The Search AI Company | Elastic. https://www.elastic.co/guide/en/security/current/visual-event-analyzer.html
IBM Security QRadar. (n. d.) https://www.ibm.com/qradar/
What is the MITRE ATT&CK Framework? | IBM. (n. d.). https://www.ibm.com/topics/mitre-attack/
IBM QRadar SIEM Solution Brief. (n. d.). https://www.ibm.com/downloads/cas/RLXJNX2G
Overview | Wazuh. (n. d.). https://wazuh.com/platform/overview/
Wazuh – The Open Source Security Platform. Unified XDR and SIEM protection for endpoints and cloud workloads. (n. d.). https://github.com/wazuh/wazuh?tab=readme-ov-file#wazuh
Regulatory compliance – Wazuh documentation. (n. d.). https://documentation.wazuh.com/current/compliance/index.html
How SCA works – Security Configuration Assessment. (n. d.). https://documentation.wazuh.com/current/user-manual/capabilities/sec-config-assessment/how-it-works.html
Wazuh License. (n. d.). https://github.com/wazuh/wazuh/blob/master/LICENSE
Microsoft Sentinel – хмарне SEIM-рішення. (n. d.). https://www.microsoft.com/uk-ua/security/business/siem-and-xdr/microsoft-sentinel/
Moving to Next-Gen SIEM with Microsoft Sentinel. (n. d.). https://www.microsoft.com/insidetrack/blog/moving-to-next-generation-siem-at-microsoft-with-microsoft-azure-sentinel/
What is Microsoft Sentinel? (n. d.). https://learn.microsoft.com/uk-ua/azure/sentinel/overview/
Smirnov, O., et al. (2023). Simulation of the cloud IoT-based monitoring system for critical infrastructures. In: CEUR Workshop Proceedings, vol. 3530, 256–265.
Smirnov, O., et al. (2022). Method Detection Audit Data Anomalies on Basis Restricted Cauchy Machine. In: CEUR Workshop Proceedings, vol. 3187, 1–12.
Smirnov, O., et al. (2023). Selection of a Rational Composition of İnformation Protection Means Using a Genetic Algorithm. Intelligent Communication Technologies and Virtual Mobile Networks, 131, 21–34.
Smirnov O. A., et al. (2020). Models and algorithms for ensuring functional stability and cybersecurity of virtual cloud resources. Journal of Theoretical and Applied Information Technology, 98(21), 3334–3346.
Smirnov O. A., et al. (2020). Research of cloud technologies as services. Cybersecurity: Education, Science, Technology, 3(7), 43–62.
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2024 Тетяна Смірнова, Лілія Константинова , Оксана Конопліцька-Слободенюк , Ян Козлов, Оксана Кравчук, Наталія Козірова, Олексій Смірнов
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
