İnformasiya təhlükəsizliyi və hadisə idarəetməsi

Təhlükəsizlik informasiyası və hadisə idarə edilməsi (ing. Security information and event management və ya ing. SIEM) — kompüter təhlükəsizliyində tətbiqi proqram. Burada təhlükəsiz informasiya idarə edilməsi (SIM) və təhülkəsiz hadisə idarə edilməsi cəmlənir (SEM). Onlar şəbəkə avadanlıqlarında və proqramlarında baş verən hər cür xəbərdarlıqları analiz etmə qabiliyyətinə malikdirlər. Satıcılar SİEM-I bir tətbiqi proqram kimi satır və onun vasitəsilə loq təhlükəsizliyində habelə hesabatların hazırlanmasında istifadə edilir.[1] SEM, SİM, and SIEM abreviaturalara bəzən bir birini əvəz edərək istifadə olunur.[2] Təhlükəsiz hadisə idarəetməsinin ümumi konsepsiyaları sırasında cari monitorinq prosesləri, hadisələr arası əlaqələr, bildirişlər əsas yer tutur. Təhlükəsiz informasiya idarəedilməsində isə uzun müddətli loqların analizi və saxlanılması yer tutur. Texnologiyalardakı inkişaf nəticəsində SİEM-lər bir neçə katiqoriyalara bölünür. Bu inkişafa ən bariz nümunə səs informasiya təhlükəsizliyini və hadisə idarə etməsini göstərə bilərik.

Təhlükəsiz informasiya və sistem idarə edilməsi ilk dəfə 2005 ci ildə Mark Nikolett və Amrit Villiams tərəfindən işlədilmişdir.[3] Bu proqramın əsasında şəbəkə və təhlükəsizlik cihazlarından informasiyanın toplanılması, analizi:

  • Giriş proqramlarının aşkarlanması
  • Əməliyyat sistemlərinin, verilənlər bazasının, və tətbiqetmə proqramlarının loqlarını idarə edilməsi
  • Xarici təhlükəli dataların aşkarlanması

Əsas xüsusiyyətləri içərisində user və system icazələrini monitorinq etmək, sistemlərdə, fayllarda olan hər cür dəyişikliyi aşkarlamaq, loqların auditini və baxışını aparmaq

İmkanları

redaktə
  • Verilənlərin aqreqasiyası: Loq idarəetməsi bir çox mənbədən məlumatı aqreqasiya edir. Bunlar şəbəkə, təhlükəsizlik, serverlər, verilənlər bazası, tətbiqlər, gözdən qaça biləcək olan ən əsas hadisələri daha yaxşı izləməni təmin edir.
  • Əlaqə: ümumi atributlara baxmaq üçün, və hadisələr arasında əlaqə yaradır. Bu texnologiya məlumatı yararlı informasiyaya çevirmək üçün, müxtəlik mənbələri inteqrasiya etmək üçün bir çox müxtəlik əlaqə texnikalarını istifadə etməsini təmin edir. Əlaqə, tam SUİM həllinin Security Event Management hissəsinin tipik bir funksiyasıdır.[4]
  • Xəbərdarlıq: alıcıları ani nüanslar barədə məlumatlandırmaq üçün əlaqəli hadisələrin və xəbərdarlıqların hazırlanmasının analizinin avtomatlaşdırılması. Xəbəretmə lövhədə baş tuta bilər vəya e-poçt vasitəsi ilə göndərə bilər.
  • Lövhə: məlumat diaqramlarını görülə bilər izlərə çevirən və ya fəaliyyətləri (standart olmayan izlər) təyin eləyən bir təhcizatdır.[5]
  • Təminat: Tətbiqlər məlumatlarının toplanmasının, mövcud təhlükəsizliyə uyğunlaşan hesabatların hazırlanmasının, idarə va audit proseslərinin avtomatlaşdırılması üçün istifadə oluna bilər.[6]
  • Yaddaşda saxlama: məlumatların zamanla əlaqəsinin asanlaşdırılması və compliance tələbləri üçün yadda saxlamanın təmin olunması üçün uzun müddətli yaddaşda olan məlumatların istifadəsi. Uzun müddətli log məlumatlrının yadda saxlanması hüquqi araşdırmalarda vacibdir çünki fərqli olaraq şəbəkə qırılmasının aşkar olunması qırılma baş verdiyi zamanda olacaq.[7]
  • Hüquqi analiz: xüsusi kriteriyalar əsaslanaraq zaman aralıqlarında və müxtəlif birləşmə nöqtələrində logların axtarılması təmin edir. Bu loq informasiyalarının bir yerə yığılmasını və ya minlərlə log məlumatları arasında axtarış aparılmasını asanlaşdırır.[6]

Həmçinin bax

redaktə

İstinadlar

redaktə
  1. "SIEM: A Market Snapshot". Dr.Dobb's Journal. 5 February 2007. 25 June 2012 tarixində arxivləşdirilib. İstifadə tarixi: 21 May 2016.
  2. Swift, David. "A Practical Application of SIM/SEM/SIEM, Automating Threat Identification" (PDF). SANS Institute. 26 dekabr 2006. səh. 3. 14 May 2014 tarixində arxivləşdirilib. İstifadə tarixi: 21 May 2016. ...the acronym SIEM will be used generically to refer...
  3. Williams, Amrit. "Improve IT Security With Vulnerability Management". 2005-05-02. 2018-06-26 tarixində arxivləşdirilib. İstifadə tarixi: 2016-05-21. Security information and event management (SIEM)
  4. "Correlation". 2014-10-19 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 2016-05-21.
  5. "Understanding and Selecting SIEM/LM: Use Cases". 2018-07-26 tarixində arxivləşdirilib. İstifadə tarixi: 2016-05-21.
  6. 1 2 "Compliance Management and Compliance Automation – How and How Efficient, Part 1". 2011-07-23 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 2016-05-21.
  7. http://www.verizonbusiness.com/about/events/2012dbir/ Arxivləşdirilib 2013-02-05 at Archive.today Data Breach Report