Цель
Сформировать представление об управлении SIEM—системой, настройке и обслуживании, что может помочь повысить эффективность и скорость реагирования на кибер—инциденты и обеспечить повышенную безопасность вашей информационной системы. Изучите больше возможностей контроля кибер—инцидентов, основанных на корреляционном анализе и методах управления рисками.
Задачи
- Сформировать начальное представление о системе;
- Рассмотреть проблемы детектирования инцидентов в корпоративной сети;
- Установка и настройка SIEM с открытым исходным кодом в ОС Linux.
Теория
SIEM (Security Event Management + Security Information Management) — системы, которые контролируют информационные системы, анализируют события безопасности в режиме реального времени, исходящие от сетевых устройств, средств информационной безопасности, ИТ—служб, системной и прикладной инфраструктуры, и помогают обнаруживать инциденты информационной безопасности. Проблемы обнаружения инцидентов в корпоративных сетях:
- Средства безопасности, серверы и сетевые устройства создают миллионы событий, терабайты журналов;
- Неэффективно реагировать на все инциденты: 50-95% из них являются ложными;
- Данные, полученные с помощью одного средства защиты, не позволяют выявить сложные и целенаправленные атаки;
- События разбросаны по разным системам и десяткам отчетов;
- Нормативные требования в области информационной безопасности.
Действия
Перед установкой любого программного обеспечения нам необходимо обновить индекс и пакет в Debian:
sudo apt update && sudo apt upgrade -y
Следующий этап: установите необходимые пакеты.
sudo apt-get install suricata
Настройка Suricata:
sudo nano /etc/suricata/suricata.yaml
В файле конфигурации установите соответствующий сетевой интерфейс для мониторинга Suricata:
default-log-dir: /var/log/suricata/
...
af-packet:
- interface: enp0s5
Примечание: Замените «enp0s5» именем вашего сетевого интерфейса.
Сохраните и закройте файл конфигурации. Запустите Suricata:
sudo suricata -c /etc/suricata/suricata.yaml -i eth0 --init-errors-fatal
Убедитесь, что Suricata запущена, проверив ее лог-файлы:
tail -f /var/log/suricata/fast.logВывод
В заключение, настройка системы SIEM с открытым исходным кодом на Debian является важным шагом на пути к повышению безопасности информационных систем для малого и среднего бизнеса. Отслеживая и анализируя события безопасности в режиме реального времени, SIEM—системы помогают выявлять потенциальные инциденты безопасности. Однако обнаружение инцидентов в корпоративных сетях может быть сложной задачей из-за большого объема событий, генерируемых различными инструментами и устройствами безопасности. При правильно настроенной системе SIEM предприятия могут эффективно управлять кибер—инцидентами на основе корреляционного анализа и методов управления рисками, обеспечивая тем самым режим повышенной безопасности своей информационной системы.
