SIEM - sustavi za upravljanje sigurnosnim informacijama i događajima                          

Mnogi uređaji, aplikacije i sam operacijski sustav generiraju logove koji se mogu iskoristiti za analizu i poboljšanje sigurnosti sustava. Međutim, ručna obrada i analiza nije učinkovita te je potrebno taj postupak automatizirati. U slučaju velikih organizacija, količina logova može biti iznimno velika. Problemom pohrane i pretraživanja logova bave se alati za upravljanje logovima, nakon čega se nekim alatom spremljeni logovi analiziraju. Sustavi SIEM (eng. Security Information and Event Management) objedinjuju ta dva postupka, uz neke dodatne mogućnosti koje nude. Oni mogu obrađivati i terabajte logova dnevno, količinu koja je donedavno bila nezamisliva.

Trenutno postoji oko osamdeset implementacija sustava SIEM, pretežito komercijalnih. Jedna od najpopularnijih jest alat „Splunk“ koji, zahvaljujući principu nadogradnje aplikacijama, korisnicima nudi jednostavnost uz velike mogućnosti.

 

 

Mnogi uređaji, mrežna oprema, operacijski sustav te razne aplikacije generiraju sigurnosne logove koje korisnici često ignoriraju ili čak isključe. Međutim, iz njih se mogu saznati razne informacije koje se zatim mogu koristiti za poboljšanje sigurnosti i sigurnosne politike.

Sustavi SIEM služe upravo za tu svrhu. Njihova se struktura može podijeliti na dva dijela. Prvi dio je SIM (eng. Security Information Management), koji se bavi upravljanjem (prikupljanjem, obradom i pohranjivanjem) logova. Nakon toga, drugi dio SEM (eng. Security Event Management) provodi njihovu analizu.

Ručna analiza logova nije učinkovita čak niti u slučaju relativno malog broja logova, dok kod veće količine postaje nemoguća. U većim organizacijama količina logova može dostići čak i preko terabajt dnevno te je zbog toga potrebno napraviti učinkovitu automatsku analizu. Prvi problem koji je prije toga potrebno riješiti jest učinkovito dohvaćanje, obrada, pohrana i pretraživanje logova. To uključuje filtriranje samo onih događaja koji su od interesa, normalizaciju logova u neki referentni format, kompresiju, zaštitu i razne druge postupke. Zbog ograničenog mjesta za njihovu pohranu, potrebno je što točnije odabrati koji će se logovi pohranjivati kako bi mogli biti dostupni što dulje, dok je one važnije potrebno pohraniti na neki trajni medij.

Automatska analiza logova provodi se raznim metodama, a najvažnija jest korelacijska analiza u kojoj se informacije iz jednog loga podupiru informacijama o tom događaju pronađenima u drugim logovima.

Na tržištu je trenutno dostupno osamdesetak SIEM implementacija, od kojih je samo mali broj besplatnih. Jedna od najpoznatijih implementacija jest alat „Splunk“, koji se nudi i u komercijalnoj i u besplatnoj inačici. On nudi korisniku mnoge SIEM mogućnosti i pogodan je i za velike i za male organizacije. Za velike organizacije dostupna je Enterprise inačica koja podržava analizu i preko terabajt podataka dnevno, dok je za male organizacije dostupna besplatna inačica podržava analizu do 500 MB dnevno. Splunk se temelji na aplikacijama, odnosno omogućuje korisniku da instalira i upotrebljava samo one aplikacije koje su mu potrebne te na taj način olakšava korištenje.

Do sada je relativna složenost sustava SIEM u odnosu na obično pretraživanje logova često odbijala korisnike. U budućnosti težit će se ka što jednostavnijem korištenju. Osim toga, potrebno je dodano unaprijediti metode analize kako bi rezultati i korist od sustava SIEM bili što veći, a broj lažnih rezultata minimiziran.

Cijeli dokument (u PDF obliku) "SIEM - sustavi za upravljanje sigurnosnim informacijama i događajima" preuzmite ovdje.

© Laboratorij za sustave i signale - Copyright 2008 - 2013. www.LSS.hr