January 15th, 2019

Мост Безопасности, Юрий Гедзберг

Информационная безопасность. Как работает SIEM-система?

https://www.security-bridge.com/forum/oborudovanie_i_po_po_bezopasnosti/informacionnaya_bezopasnost/informatsionnaya_bezopasnost_kiberbezopasnost/#message_46239

Информационная безопасность. Как работает SIEM-система?

Максим Якубов, "Газинформсервис"

На данном слайде представлена довольно типовая архитектура практически любой SIEM-системы.

Значит, сервер сбора событий, ну, скажем так, это своего рода фэншуйный компонент.

Да, также есть, так называемый, агент, который можно устанавливать непосредственно на источнике событий, если они это позволяют делать. Но зачастую используется единый сервер или группа серверов сбора событий, которыми, собственно, и осуществляется сбор событий со всех источников событий. 

Дальше эти события нормализуются, скажем так, потому что события – они в разном формате, эти события разные по объему, их всех нужно привести к единому виду, чтобы SIEM-система могла эффективно и быстро их обрабатывать.

После того, как события собраны, нормализованы, они отправляются на сервер управления событиями – то есть непосредственно здесь, на этом компоненте и происходит корреляция событий, их анализ, ну, и скажем так, диагноз того, что это за событие.