Systemy SIEM w organizacjach
- Patryk Królikowski,
- 15.04.2013
Kolejną warstwą logiczną rozwiązań SIEM jest warstwa korelacyjna, która tak naprawdę stanowi kluczowy element każdego wdrożenia tego typu systemu. To właśnie wokół tej warstwy materializują się postawione wcześniej wymagania, a przygotowane scenariusze korelacyjne są przenoszone do systemu w postaci reguł korelacyjnych, których wynikiem mają być incydenty lub alerty. Pierwszy etap implementacji reguł korelacyjnych często wiąże się z dużą liczbą incydentów, będących w istocie fałszywymi alarmami. Jednakże to nie na zmniejszaniu liczby incydentów należy się skupiać, ale na dokładnym doprecyzowaniu kryteriów i warunków logicznych każdej z reguł, tak aby jakość generowanych incydentów (z uwzględnieniem False Positives i False Negatives) przełożyła się zarówno na wydajność samego rozwiązania, jak i rzeczywistą korzyść z wdrożenia. Dlatego warto przyjrzeć się, na ile elastyczne jest rozwiązanie w tym względzie, i jak dokładnie jesteśmy w stanie opisać w nim złożone scenariusze. Warto zwrócić tutaj uwagę na możliwość implementowania scenariuszy kaskadowych, tj. wiązanie kilku reguł korelacyjnych w jeden incydent. Dla niektórych scenariuszy istnienie takiej możliwości będzie konieczne, a w innych wystarczą pojedyncze, ale rozbudowane reguły.
Dodatkowa wiedza
Niezwykle istotne są również dodatkowe źródła, które zasilają system w informacje kontekstowe. Tutaj jako przykład można przytoczyć integracje z systemami IAM (Identity and Access Management) jako źródło wiedzy o użytkownikach. Ciekawa jest również możliwość pobierania informacji o zagrożeniach identyfikowanych na świecie i ich wpływu/miejsc występowania w naszej organizacji. Ważna jest także możliwość budowania wiedzy o tzw. aktywach organizacji (stacjach roboczych, serwerach) wykraczającej poza adres IP, typ systemu operacyjnego czy rodzaj zainstalowanej aplikacji. Można to osiągnąć poprzez integrację chociażby ze skanerami podatności, a dzięki temu przypisać pewne mierniki (najczęściej C-I-A) do danego zasobu, co z kolei będzie miało wpływ na określanie wagi w scenariuszu korelacyjnym.
Architektura
• 31% ze 191 badanych przyznało, że zrezygnowałoby z SIEM-a, gdyby istniała lepsza alternatywa
• 52% przyznało, że musiało zatrudnić 2 lub więcej osób przeznaczonych do bieżącej obsługi systemu
• dla 35% motywacją do wdrożenia SIEM-a było sprostanie wymogom zgodności, a nie osiągnięcie konkretnych rezultatów
• 44% samo wdrożenie SIEM-a zajęło więcej czasu, niż planowano