Интеграция с SIEM-системами

Технология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений, и позволяет реагировать на них до наступления существенного ущерба

Зачем это нужно?

SIEM (Security Information and Event Management) – это системы управления информацией о безопасности и событиями безопасности.

Их предназначение:
— обнаружить;
— локализовать;
— устранить угрозу информационной безопасности до того, как они нанесут ущерб компании.

В основе алгоритмов работы подобных систем лежит онлайн-мониторинг событий и анализ нетипичного поведения компонентов информационных систем.

Для этого SIEM-система должна уметь:

Формировать классификацию событий и вести их журнал;

Производить анализ событий и разбор инцидентов;

Вести обработку инцидентов по сформированным правилам;

Делать автоматическое оповещение в соответствии с заданным инцидент-менеджментом.

Формировать классификацию событий и вести их журнал;

Производить анализ событий и разбор инцидентов;

Вести обработку инцидентов по сформированным правилам;

Делать автоматическое оповещение в соответствии с заданным инцидент-менеджментом.

Как правило, компонентами SIEM-систем являются:

Агенты сбора информации из различных источников;

Коллектор накопления данных;

База данных хранения информации;

Подсистема анализа данных.

Агенты сбора информации из различных источников;

Коллектор накопления данных;

База данных хранения информации;

Подсистема анализа данных.

При интеграции с биллингом SIEM-система наиболее полной будет на самом начальном этапе обработки первичных данных, то есть на этапе работы агентов сбора информации.

При этом уровень коллектора максимально важен с точки зрения приведения собранной информации от разных источников к общему знаменателю, т.к. различные источники данных могут одному и тому же событию, с точки зрения безопасности, давать разные наименования и трактовки.

Интеграция биллинга и SIEM-системы – задача, успех которой зависит исключительно от правильного взаимодействия обеих сторон.

Дано

Необходимость взаимодействия администратора биллинга и администратора SIEM-системы.

Задача

Правильным образом настроить коллекторы на классификацию поученных данных.

Решение

Получение агентами всех необходимых данных, влияющих на безопасность.

Итого

Эффективный анализ событий со стороны SIEM.

Дано

Необходимость взаимодействия администратора биллинга и администратора SIEM-системы.

Задача

Правильным образом настроить коллекторы на классификацию поученных данных.

Решение

Получение агентами всех необходимых данных, влияющих на безопасность.

Итого

Эффективный анализ событий со стороны SIEM.

Модуль взаимодействия

АСР Platex® имеет свою классификацию событий, регистрируемых во внутренних журналах. Эти журналы позволяют делать выгрузку в промежуточные форматы для их дальнейшей обработки:

Обработка в целях получения той или иной статистики для администратора биллинга;

Задачи для СОРМ;

Задачи для обеспечения информационной безопасности оператора связи.

Обработка в целях получения той или иной статистики для администратора биллинга;

Задачи для СОРМ;

Задачи для обеспечения информационной безопасности оператора связи.

Практически к любому журналу событий есть доступ через REST API.
Например, есть задача в части интеграции АСР Platex® с SIEM-системой MaxPatrol по обнаружению попыток несанкционированного доступа к персональным данным абонента или тарифам оператора.

Задача может быть решена как через предоставление администратору MaxPatrol необходимого REST API, по которому SIEM-агенты будут самостоятельно забирать данные из внутренних логов, так и через настройку администратором биллинга автоматической выгрузки в промежуточный согласованный формат.
Все зависит от того, какая модель интеграции будет выбрана и какая из систем будет мастером, а какая помощником в данном взаимодействии.
В интеграции главное предварительно согласовать перечень событий и сопоставить их внутреннюю классификацию в АСР Platex® с классификацией коллекторов MaxPatrol.

Call Now Button