Онлайн поддержка
Все операторы заняты. Пожалуйста, оставьте свои контакты и ваш вопрос, мы с вами свяжемся!
ВАШЕ ИМЯ
ВАШ EMAIL
СООБЩЕНИЕ
* Пожалуйста, указывайте в сообщении номер вашего заказа (если есть)

Войти в мой кабинет
Регистрация
ГОТОВЫЕ РАБОТЫ / ДИПЛОМНАЯ РАБОТА, ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

Изучение SIEM системы

Workhard 500 руб. КУПИТЬ ЭТУ РАБОТУ
Страниц: 87 Заказ написания работы может стоить дешевле
Оригинальность: неизвестно После покупки вы можете повысить уникальность этой работы до 80-100% с помощью сервиса
Размещено: 11.01.2023
Глава I. Изучение SIEM системы 1.Понятие SIEM системы Системы информационной безопасности и управления событиями (SIEM) широко используются в качестве мощного инструмента для предотвращения, обнаружения и реагирования на кибератаки. Решения SIEM эволюционирова-ли, превратившись в комплексные системы, которые обеспечивают широкую видимость для выявления областей с высокими рисками и активно фокусиру-ются на стратегиях смягчения последствий, направленных на сокращение за-трат и времени на реагирование на инциденты. Защита корпоративной ИТ-инфраструктуры от кибератак становится все более и более сложной задачей. Такие тенденции, как Интернет вещей, превращают современные ИТ-ландшафты в сложную и запутанную структуру с растущим количеством точек атаки. В большинстве компаний среднего и крупного раз-мера создается Центр управления безопасностью (SOC) для получения целост-ного и централизованного представления об ИТ-безопасности и обеспечения быстрого реагирования в случае инцидента. Согласно опросу Центра опера-ций безопасности SANS 2017, более 80 % этих SOC поддерживаются систе-мой SIEM для повышения осведомленности о безопасности ИТ. Кроме того, SIEM-системы позволяют автоматизировать обнаружение инцидентов и по-следующее реагирование, чтобы уменьшить неизбежный ущерб или сохранить доказательства судебной экспертизы. Таким образом, эти системы собирают данные, относящиеся к безопасности, в центральной точке, чтобы получить целостное представление об ИТ-безопасности организаций. Кроме того, включены исторические и коррелированные анализы и дальнейшие меры. Первое понятие SIEM (расшифровка) связано с отчетом Gartner Inc. Согласно этой работе, выражение состоит из двух терминов: Управление информацией о безопасности (SIM) и Управление событиями безопасности (SEM). В то время как SIM занимается централизованным управлением, сбором, сохране-нием исторических данных журнала и формированием отчетов в целях со-блюдения требований, SEM охватывает управление угрозами, мониторинг инцидентов безопасности в режиме реального времени и запуск надлежащих реакций в случае инцидента. Таким образом, собранные данные объединяются для уменьшения объема данных и облегчения их использования для надлежа-щего реагирования на события безопасности. Тем не менее, в настоящее время SIEM превратился из единственной комби-нации этих двух технологий в более целостное и интегрированное решение для обеспечения безопасности и, таким образом, сочетает в себе преимущества SIM и SEM в одной централизованной системе. Из-за многочисленных функ-ций, которые должен выполнять SIEM, трудно дать соответствующее акаде-мическое определение. Согласно их определению, системы SIEM собирают соответствующие данные и проводят исторический анализ событий безопас-ности из широкого спектра различных типов событий или контекстуальных источников данных. Основными функциональными возможностями SIEM яв-ляются его широкий охват источников событий, а также его способность со-поставлять и анализировать эти события в разнородных источниках. Задачи SIEM:
Введение

Глава I. Изучение SIEM системы 1.Понятие SIEM системы Системы информационной безопасности и управления событиями (SIEM) широко используются в качестве мощного инструмента для предотвращения, обнаружения и реагирования на кибератаки. Решения SIEM эволюционирова-ли, превратившись в комплексные системы, которые обеспечивают широкую видимость для выявления областей с высокими рисками и активно фокусиру-ются на стратегиях смягчения последствий, направленных на сокращение за-трат и времени на реагирование на инциденты. Защита корпоративной ИТ-инфраструктуры от кибератак становится все более и более сложной задачей. Такие тенденции, как Интернет вещей, превращают современные ИТ-ландшафты в сложную и запутанную структуру с растущим количеством точек атаки. В большинстве компаний среднего и крупного раз-мера создается Центр управления безопасностью (SOC) для получения целост-ного и централизованного представления об ИТ-безопасности и обеспечения быстрого реагирования в случае инцидента. Согласно опросу Центра опера-ций безопасности SANS 2017, более 80 % этих SOC поддерживаются систе-мой SIEM для повышения осведомленности о безопасности ИТ. Кроме того, SIEM-системы позволяют автоматизировать обнаружение инцидентов и по-следующее реагирование, чтобы уменьшить неизбежный ущерб или сохранить доказательства судебной экспертизы. Таким образом, эти системы собирают данные, относящиеся к безопасности, в центральной точке, чтобы получить целостное представление об ИТ-безопасности организаций. Кроме того, включены исторические и коррелированные анализы и дальнейшие меры. Первое понятие SIEM (расшифровка) связано с отчетом Gartner Inc. Согласно этой работе, выражение состоит из двух терминов: Управление информацией о безопасности (SIM) и Управление событиями безопасности (SEM). В то время как SIM занимается централизованным управлением, сбором, сохране-нием исторических данных журнала и формированием отчетов в целях со-блюдения требований, SEM охватывает управление угрозами, мониторинг инцидентов безопасности в режиме реального времени и запуск надлежащих реакций в случае инцидента. Таким образом, собранные данные объединяются для уменьшения объема данных и облегчения их использования для надлежа-щего реагирования на события безопасности. Тем не менее, в настоящее время SIEM превратился из единственной комби-нации этих двух технологий в более целостное и интегрированное решение для обеспечения безопасности и, таким образом, сочетает в себе преимущества SIM и SEM в одной централизованной системе. Из-за многочисленных функ-ций, которые должен выполнять SIEM, трудно дать соответствующее акаде-мическое определение. Согласно их определению, системы SIEM собирают соответствующие данные и проводят исторический анализ событий безопас-ности из широкого спектра различных типов событий или контекстуальных источников данных. Основными функциональными возможностями SIEM яв-ляются его широкий охват источников событий, а также его способность со-поставлять и анализировать эти события в разнородных источниках. Задачи SIEM:
Содержание

Глава I. Изучение SIEM системы 1.Понятие SIEM системы Системы информационной безопасности и управления событиями (SIEM) широко используются в качестве мощного инструмента для предотвращения, обнаружения и реагирования на кибератаки. Решения SIEM эволюционирова-ли, превратившись в комплексные системы, которые обеспечивают широкую видимость для выявления областей с высокими рисками и активно фокусиру-ются на стратегиях смягчения последствий, направленных на сокращение за-трат и времени на реагирование на инциденты. Защита корпоративной ИТ-инфраструктуры от кибератак становится все более и более сложной задачей. Такие тенденции, как Интернет вещей, превращают современные ИТ-ландшафты в сложную и запутанную структуру с растущим количеством точек атаки. В большинстве компаний среднего и крупного раз-мера создается Центр управления безопасностью (SOC) для получения целост-ного и централизованного представления об ИТ-безопасности и обеспечения быстрого реагирования в случае инцидента. Согласно опросу Центра опера-ций безопасности SANS 2017, более 80 % этих SOC поддерживаются систе-мой SIEM для повышения осведомленности о безопасности ИТ. Кроме того, SIEM-системы позволяют автоматизировать обнаружение инцидентов и по-следующее реагирование, чтобы уменьшить неизбежный ущерб или сохранить доказательства судебной экспертизы. Таким образом, эти системы собирают данные, относящиеся к безопасности, в центральной точке, чтобы получить целостное представление об ИТ-безопасности организаций. Кроме того, включены исторические и коррелированные анализы и дальнейшие меры. Первое понятие SIEM (расшифровка) связано с отчетом Gartner Inc. Согласно этой работе, выражение состоит из двух терминов: Управление информацией о безопасности (SIM) и Управление событиями безопасности (SEM). В то время как SIM занимается централизованным управлением, сбором, сохране-нием исторических данных журнала и формированием отчетов в целях со-блюдения требований, SEM охватывает управление угрозами, мониторинг инцидентов безопасности в режиме реального времени и запуск надлежащих реакций в случае инцидента. Таким образом, собранные данные объединяются для уменьшения объема данных и облегчения их использования для надлежа-щего реагирования на события безопасности.
Список литературы

SELECT * FROM indexName WHERE type = «http» AND http.response.code = 404; Синтаксис поиска соответствует синтаксису Lucene, что означает, что вы можете выполнять поиск по определенным полям, отделяя поле от значения двоеточием (ключ:значение), и использовать логические операции для объединения нескольких полей в запросе. Возвращен-ная информация может быть использована для определения того, подвергался ли веб-сайт атаке с использованием методов фаззинга URL-адресов для поиска уязвимостей или скрытых каталогов дан-ных. Kibana также имеет возможности визуализации, которые часто ис-пользуются как часть информационной панели. Панели мониторинга — это набор визуализаций, таких как сводные данные и диаграммы, которые были созданы на основе информации, полученной из запро-сов Elasticsearch. Информационные панели часто сосредоточены на определенной области интересов, такой как статистика http-сервера или системный журнал, перенаправленный с различного сетевого оборудования. Timelion можно использовать для объединения двух или более неза-висимых источников данных для их одновременного просмотра в одной и той же визуализации, что позволяет, например, сравнить использование центрального процессора (ЦП) за последний час со средним значением за неделю. Преимущества Kibana: • Интерактивные графики Kibana предлагает интуитивно понятные диаграммы и отчеты, кото-рые можно использовать для интерактивной навигации. через большие объемы данных журнала. Вы можете динамически пе-ретаскивать временные окна, увеличивать и из определенных подмножеств данных, а также детализировать от-четы, чтобы извлечь полезную информацию из ваших данных. • Поддержка сопоставления Kibana поставляется с мощными геопространственными возможно-стями, так что вы можете легко наслаивать географическую информацию поверх ваших данных и визуализиро-вать результаты на картах. • Перестроенные агрегаты и фильтры Используя предварительно созданные агрегации и фильтры Kibana, вы можете запускать различные виды аналитики, такие как гистограммы, первые N запросов и тренды всего за несколько кли-ков. • Легкодоступные информационные панели Вы можете легко настраивать информационные панели и отчеты и делиться ими с другими. Все, что тебе нужно это браузер для просмотра и изучения данных. 1.4 Beats Платформа Beats была представлена в версии 5.0 Elastic Stack и является по-следним дополнением к Elastic Stack. Платформа Beats состоит из различных Beats, которые являются поставщиками данных с открытым исходным кодом, предназначенными для установки в качестве агентов на серверах для отправки операционных данных либо непосредственно в Elasticsearch, либо через Logstash. Beats — поставщики данных с открытым исходным кодом. Это про-стые в установке агенты, которые передают данные с конечных компьютеров, сетевых устройств и приложений в HELK. Есть много разных типов ударов, каждый из которых имеет свою цель. В нашем случае мы увидим использова-ние Winlogbeat, который используется для отправки данных журнала с кли-ентских машин Windows в Elasticsearch и Filebeat для отправки данных из Ubuntu в HELK. До сих пор Elastic также предоставляла Auditbeat, Filebeat, Functionbeat, Heartbeat, Metricbeat и Packetbeat, каждый из которых имеет уни-кальную цель. Beats может отправлять данные журнала либо напрямую в Elasticsearch, либо через Logstash. Предпочтительнее сначала передавать данные из Logstash, что-бы анализировать и улучшать их. 1.5 X-Pack
Отрывок из работы

2. Данные журнала Первое что нужно для работы это данные, которые наша система будет обраба-тывать. Эти данные представляют собой логи определенного оборудования, которые показывают, что именно происходит в системе. Они могут собираться с большого количества различных источниках на разных уровнях инфраструк-туры компании. Примера источников событий: Сетевые устройства: • Маршрутизаторы • DNS-сервера • Коммутаторы сети • Точки беспроводного доступа Приложения: • Веб-приложения • Внутренние приложения компании Устройства: • Компьютеры • Базы данных • Облачные сервера • Мобильные устройства Защитные устройства сети: • Брандмауэр • VPN клиенты • IPS система • IDS система • Антивирусы Также некоторые компании для увеличения внешнего объема информации для обогащения используют базы знаний, содержащие описание тактик, методов, приемов кибер-преступников и т.д. Яркий пример такой базы знаний-MITRE Att&ck. Логи это все действия внутри системы которые она тщательно записы-вает и хранит. В них содержится информация абсолютно разного рода в зависимости назначения системы. Несколько примеров различных логов в системе: • Логи системы — это логи, связанные с системными событиями. • Логи сервера - логи, отвечающие за обращения к серверу и за возникшие ошибки. • Логи баз данных - специальные логи, которые имеют отношение к запросам баз данным и возникших ошибках. • Логи почты отвечают за отправленные и принятые письма, ошибки и при-чины, по которым письма не были доставлены. • Логи cron (планировщика задач). • Логи панели управления хостингом, где размещен сайт. • Лог основного файла, например, firewall, dns сервера и др. В зависимости от системы эти логи могут дать огромное количество инфор-мации о том, что происходило или что послужило ошибкой в системе, отчет о действиях установленного ПО, хронологию событий, ошибок и причин, по которым они произошли. В разных операционных системах логи хранятся в разных местах. К примеру, ОС семейства linux они хранятся в папке /var/log. В обычном случае администраторы при настройке или обслуживании какого-
Условия покупки ?
Не смогли найти подходящую работу?
Вы можете заказать учебную работу от 100 рублей у наших авторов.
Оформите заказ и авторы начнут откликаться уже через 5 мин!
Похожие работы
Дипломная работа, Информационные технологии, 68 страниц
2000 руб.
Дипломная работа, Информационные технологии, 79 страниц
550 руб.
Дипломная работа, Информационные технологии, 76 страниц
1400 руб.
Дипломная работа, Информационные технологии, 92 страницы
1500 руб.
Служба поддержки сервиса
+7 (499) 346-70-XX
Принимаем к оплате
Способы оплаты
© «Препод24»

Все права защищены

Разработка движка сайта

/slider/1.jpg /slider/2.jpg /slider/3.jpg /slider/4.jpg /slider/5.jpg