Symantec Security Information Manager (SSIM)
Производитель: Symantec
Symantec SIM предоставляет компаниям возможность сформировать процедуру реакции на возникновение угроз безопасности и решает проблему соответствия требованиям политик с помощью компонента управления инцидентами. IT-подразделения смогут выявлять и исследовать угрозы безопасности, оказывающие влияния на критически важные службы, расставлять угрозам приоритеты и реагировать на них.
Symantec SIM представляет собой программно-аппаратный комплекс, позволяющий в режиме онлайн собирать по всей корпоративной сети, структурировать, приоритезировать и анализировать все события, имеющие значения с точки зрения информационной безопасности, от систем и приложений используемых в компании.
Собранная информация в режиме реального времени сопоставляются с информацией о сетевых и хостовых угрозах, полученной через службу Global Intelligence Network, что делает Symantec SIM инструментом системы реагирования на инциденты мирового класса, и позволяющим поддерживать целостность систем.
Вся информация, связанная, например, с фактами обновления антивирусного ПО, устаревания антивирусных баз, инцидентами зафиксированными на межсетевом экране, задокументированными в логах попытками доступа к определенным ресурсам пользователей, не имеющих на это прав, и т.п. не останется незамеченной офицером безопасности.
При выявлении какого-либо инцидента срабатывает определенный тип оповещения (в соответствии с настройками) - оповещаются указанные администраторы по эл.почте или, например, SMS. Кроме того, вся информация и результаты её обработки хранятся в централизованной базе.
Symantec SIM так же позволяет генерировать самые разнообразные отчеты о состоянии сети в разрезе информационной безопасности. Поддерживаются лог-форматы практически всех распространных решений информационной безопасности, включая продукты сторонних производителей.
Основные функции, реализуемые продуктом:
• Централизованный сбор, хранение, анализ журналов безопасности
• Обнаружение инцидентов в режиме реального времени
• Определение приоритетов инцидентов
• Автоматизация контроля над процессом исправления инцидентов
• Создание отчетов о соблюдении нормативных требований и аудите
Обзор основных функциональных возможностей:
Средство централизованного сбора, хранения и анализа журналов
Журнальная информация в Symantec SIM хранится в архивах, реализованных в виде самостоятельных модулей, отслеживающих срок хранения информации. Существует возможность гибкой настройки правил, регулирующих размещение событий в тот или иной архив.
Symantec SIM превосходит стандартные продукты контроля информации о безопасности на основе реляционных баз данных, для которых характерны дополнительные начальные затраты и необходимость длительного администрирования баз данных. С Symantec SIM не требуется администрирование базы данных. Архивы можно хранить либо на локальных дисках, либо использовать системы хранения SAN, NAS, DAS. Коэффициент сжатия данных в архиве достигает 30:1. Нормализованные данные, по желанию администратора системы, могут фиксироваться и сохраняться вместе с исходной информацией о событиях для анализа происшествий.
Важным требованиям к системам хранения журнальной информации является их достоверность. Архивы Symantec SIM подписываются с помощью криптографических алгоритмов, поэтому всегда существует возможность проверки целостности и неизменности данных архивов.
Системы централизованного сбора и анализа логов часто используются для разбора произошедших инцидентов безопасности. Необходимым условием проведения комплексного расследования является сбор информации с максимально возможного количества систем, которые используются в компании. Сбор информации из журналов устройств и приложений в Symantec SIM производится с помощью программных компонентов, называющихся коллекторами.
Обнаружение инцидентов в режиме реального времени
Для обнаружения угроз безопасности в Symantec SIM используется метод, предусматривающий классификацию угроз и проблем безопасности с учетом степени воздействия события на среду, способа атаки и целевых ресурсов. Такая классификация, называемая «Эффекты, механизмы и ресурсы» (EMR), лежит в основе модуля анализа данных Symantec Security Information Manager. Благодаря гибкости интеллектуальных правил на основе шаблонов, отдельное правило может занять место нескольких более конкретных правил, применяемых в стандартных подходах. В результате значительно упрощается процедура обслуживания и создания правил, которые могут охватывать множество условий. Данный подход также позволяет достигать непревзойденной скорости корреляции до 30 000 событий в секунду.
Symantec SIM собирает и анализирует события в режиме реального времени путем сопоставления потока нормализованных событий с учетом правил. В результате обнаружения события или группы событий, соответствующих правилу корреляции, создается заключение. Заключение может инициировать создание нового инцидента, либо быть автоматически привязано к уже существующему. Объединение нескольких заключений в единый инцидент позволяет значительно упростить процесс расследования инцидентов, так как позволяет офицеру безопасности видеть более общую картину угрозы. Заключения сопровождаются короткими описаниями, позволяющими без детального изучения логов понять, что происходит в системе. Описание шагов по устранению угрозы, предлагаемые Symantec, можно дополнить рекомендациями или предписаниями, принятыми в рамках компании.
Автоматизация контроля над процессом исправления инцидентов
Symantec Security Information Manager помогает подготовиться к потенциальным угрозам, направленным на среду компании. Система раннего оповещения обнаруживает угрозы на глобальном уровне и предоставляет подробную информацию о них. Кроме того, она выдает рекомендации относительно мер по обеспечению защиты компании. На этапе обнаружения для инцидента создается одно или несколько заключений, указывающих на угрозу безопасности. Инцидент можно назначить отдельному сотруднику или группе. Этапы работы с инцидентом объединяются процедурой, обеспечивающей контроль выполнения расследования. Для систематизации этого процесса имеется встроенная система обработки заявок (Help Desk). Также существует возможность двухсторонней интеграции с внешними системами, например HP OpenView или Remedy.
Для упрощения процесса исправления найденных проблем в Symantec SIM существует справочная информация по угрозам. Благодаря интеграции с глобальной сетью слежения за злонамеренной активностью (GIN, Symantec Global Intelligence Network) эта информация обновляется в режиме реального времени. После обнаружения инцидента сотрудник, ответственный за инцидент, может ознакомиться с рекомендациями от Symantec по устранению проблемы.
Кроме предоставления информации, помогающей в быстром разрешении обнаруженных инцидентов, Symantec SIM предоставляет удобные средства мониторинга текущего статуса безопасности компании.
Создание отчетов
Благодаря централизации хранения журнальной информации со всех систем и возможности работы с ней через единый интерфейс, Symantec SIM удобно использовать для проведения анализа активности пользователей вне зависимости от системы, в которой производились действия.
Также Symantec SIM удобно использовать для контроля активности уволенных пользователей и пользователей, находящихся в отпуске. Данная проблема особенно актуальна в компаниях, где не реализованы технологии централизованным управлением учетными записями ко всем приложениям. Достаточно не заблокировать учетную запись пользователя к одному из десятков используемых приложений, и это может послужить причиной дальнейших негативных последствий. Symantec SIM автоматически обнаружит попытку произведения действий от имени уволенного или отсутствующего пользователя.
Для удобства пользователей системы существует возможность создания наиболее часто используемых наборов отчетов. Каждый пользователь может создавать свои наборы. При необходимости просмотра событий, связанных с какой-либо частью диаграммы, можно легко перейти к ним (диаграммы интерактивны).
Использование Symantec SIM в рамках предприятия
Для использования в крупных предприятиях Symantec SIM имеет гибкие возможности по масштабированию. Все компоненты системы (сбор, хранение, корреляция) могут либо находиться на одном сервере, либо разноситься на разные системы. Для ограничения нагрузки на каналы связи существует возможность ограничения занимаемой полосы пропускания, агрегации и фильтрации сообщений. Если каналы связи не позволяют передавать большие объемы информации, то существует возможность обнаружения инцидентов в филиалах и передачи минимального кол-ва информации об инциденте в главный офис.
Состав решения Symantec SIM
Система автоматизации выявления и реагирования на инциденты информационной безопасности контроля перемещения конфиденциальной информации, построенная на базе решения Symantec SIM состоит из следующих компонентов:
- Сервера Symantec SIM;
- Объекты наблюдения;
- Коллекторы;
- Агенты;
- Symantec Global Intelligence Network.
Общая схема решения Symantec SIM
Сервер Symantec SIM является обязательной составляющей любой архитектуры. Сервер Symantec SIM может осуществлять функции сбора, анализа, фильтрации, корреляции и хранения информации о событиях.
При большом количестве обрабатываемой информации о событиях часть функций можно перенести на дополнительные сервера Symantec SIM. Функции сбора, анализа, фильтрации и хранения могут переноситься на дополнительные сервера Symantec SIM.
Объекты наблюдения – системы безопасности и другие наиболее важные бизнес-приложения, информация с которых будет обрабатываться на серверах Symantec SIM.
Коллекторы – компоненты, которые отвечают за сбор событий с объектов наблюдения. Коллекторы могут собирать информацию из различных источников: syslog, файлы, журнал событий Windows, база данных, SNMP и другие наиболее популярные источники, используемые приложениями. Коллекторы бывают двух типов: работающие на устройстве Symantec SIM и работающих на других компьютерах.
Агент – компонент, отвечающий за взаимодействие коллектора и устройства. Информация с объектов наблюдения собирается коллекторами и передается на устройства Symantec SIM через агентов. На уровне агента производится сжатие и шифрование передаваемых данных, т.о. данные передаются в защищенном виде и трафик между компонентами сбора и хранения/корреляции значительно уменьшается.
Symantec Global Intelligence Network – глобальная сеть, использующая ловушки для обнаружения злонамеренной активности. Большое внимание уделяется анализу нетрадиционной активности по различным портам/протоколам. Исследуются приложения, использующие эти порты/протоколы, проверяется, не появлялись ли новые уязвимости в этих приложениях, анализируется вероятность использования приложений в злонамеренных целях. Также создается статистика наиболее атакующих и атакуемых систем. Вся эта информация перерабатывается в правила и используется в Symantec SIM при анализе и корреляции событий.
Услуги LETA, связанные с данным продуктом:
Другие продукты этого производителя:
- Symantec Data Loss Prevention
- Symantec Endpoint Protection
- Symantec Endpoint Protection Small Business Edition
- Symantec Network Access Control
- Symantec Protection Suite
- Symantec Mail Security for Microsoft Exchange
- Symantec Mail Security for Lotus Domino
- Symantec Web Gateway 8400 Series
- Symantec Brightmail Message Filter
- Symantec BrightMail Gateway 8300 Series
- Symantec Protection for SharePoint Servers
- Symantec Multi-tier Protection
- Symantec Backup Exec for Windows Servers
- Backup Exec System Recovery Desktop Edition
- Backup Exec System Recovery Server Edition
- NetBackup
- Symantec Enterprise Vault™
- Symantec Control Compliance Suite
- Symantec Management Platform (Altiris)
- Symantec CCS VM
