Edukira joan

SIEM

Wikipedia, Entziklopedia askea

Zibersegurtasun arloan, segurtasun-informazio eta gertaera-kudeaketa (Security information and event management, SIEM) software produktu eta zerbitzuak segurtasun-informazio kudeaketa  (Security Infromation Management ,SIM) eta segurtasun-gertaera kudeaketak (Security_event_manager) konbinatzen ditu. Aplikazio eta sare-dispositiboek sortutako alertak momentuan aztertzea ahalbidetzen dute.

SEM, SIEM eta SIM akronimoak nahastuak izan dira askotan . Momentuko monitorizazio, gertaeren korrelazio, notifikazio eta ikuskatzearekin zerikusia duen atala segurtasun-gertaera kudekata (SEM) bezala ezagutzen da. Bestalde, segurtasun-informazio kudeaketa (SIM) atalak informazioa luzaroan gordetzen du, SEM-ak bildutako beste informazioarekin batera. Esate baterako, log erregistroekin, eta beste segurtasun erregistroekin batera.

Erakundeak SIEM-aren gaitasuna osatzeko, datu handiko plataformak erabiltzen hasi dira, bertan informazio biltzea egiteko, baita datuen aztertzea gauzatzeko. Hauetako plataforma bat Apache Hadoop izan daiteke, non bertan milaka nodo dituen aplikazioak lanean jar daitezkeen eta petabyte datuak erabili.

SIEM terminoa Mark Nicolett eta Amrit Williams egileengatik sortua izan zen 2005ean zeinek hurrengo funtzionaltasunak batzen dituen,

  • Sare eta segurtasun dispositiboen informazioa bildu, aztertu eta azaltzen du.
  • Kalteberetasun kudeaketa eta politika-onespen lanabesa
  • sistema eragile, aplikazio eta datu-base erregistroak
  • mehatxu informazioa

Helburua erbailtzaile eta zerbitzu pribilegioak eta gainontzeko sistema-konfigurazioa monitorizatzea da. Beste helburua bat erregistro horniketa eta gertaerei erantzuna ematea da.

  1. Datu-agregazioa: Erregistro kuadeaketak informazioa batzen du datu-iturri desberdinetatik (sare, segurtasun, zerbitzari, datu-base eta aplikazio datuak barne) hauen ikuskatze aukerarekin gertaera garrantzitsurik dal ez dadin.
  2. Korrelazioa: atributu komunak bilatzen ditu eta gertaerak batzen ditu informazio baliagarria sortuz. HAu datu-iturri desberdinetatik datorren informazioarekin gauzatzen da, korrelazioa izanik SIEM soluzioen zati nagusienetakoa.
  3. Alertak: korrelazioaren erantzunak dira alertak, zeinak bai medio batetik bidaliak izan daitezkeen baita interfaze grafiko batean ikusi ere.
  4. Interfaze grafikoa: gertaeren informazioa azaltzen da ereduak aurkitu ahal izateko, baita ezohiko aktibitatea ikusteko.
  5. informazio-bilketa: korrelazioa ahalbidetzen duen denbora luzeko informazio bilketa posible bihurtzen du.

Erabilera kasuak

[aldatu | aldatu iturburu kodea]

Chris Kubecka zibersegurtasun ikertzaileak, hurrengo erabilera kasuak identifikatu zituen, zeinak 28C3 (Chaos Communication Congress) konferentzian aurkeztu zituen:

  • Zero eguneko kalteberatasunak hauteman eta ikusarazi dezake. Hauek antibirusakin ezin dira antzeman.
  • Erregistro normalizazioa, parseoa eta kategorizazioa automatizatu daiteke, hauen tiurburua zein den jakin behar izan gabe.
  • Ezkutatuta, enkriptatuta eta maleziatsuak dire komunikazioak detekta ditzake.
  • Gerra zibernetikoak geldi ditzake, bai biktima bai erasotzailea hautemanez.

Alerta-abisu adibideak

[aldatu | aldatu iturburu kodea]

SANS Institutuko David Swift-ek monitorizatu daitezkeen aktibitateei buruz idatzi zuen, baita gertaeren korrelazioa erebiliz idatzi zitezkeen erregelei buruz ere. Bakoitzaren erara egokitutako erregela batzuk hurrengo taulan azaltzen dira, zeinetan erabiltzaile autentikazio erregelak edota eraso detekzioa ager daiztezkeen:

Erregela Helburua Arrazoia Gertaera
Eraso errepikatua - Login iturria Indar bortitzeko erasoa, pasahitz asmaketa eta gaizki konfiguratutako aplikazioen inguruan abisua ematea Iturri batetik minutu batean login saiakerak 3 edo gehiago izatea Direktorio aktibo, Syslog, RADIUS, TACACS, monitorizatutako aplikazioak
Eraso errepikatua - Suhesia Eskaneatze abisuak ematea Minutu batean IP helbide batetik suhesian 15 arbuiatu/uko egin motako gertaerak Suhesiak, bideratzaileak
Eraso errepikatua - Sare intrusio prebentzio sistema Eskaneatze abisuak ematea Minutu batean IP helbide batetik 7 IDS motako alertak jasotzea Sare intrusioko detekzio eta probentzio gailuak
Eraso errepikatua - Ekipo intrusio prebentzio sistema Infektatuta daude ekipoak aurkitzea Minutu batean IP helbide batetik 3 gertakizun edo gehiago jasotzea Ekipo intrusio prebentzio sistemak
Birus detekzioa eta ezabatzea Birus, programa espioi edo bestelako programa maleziatsu Ekipoak maleziatsua den programa zati bat ikusten duenean Antibirus, ekipotan intrusio prebentzioa egiten duen softwarea

SIEM akronimoa SIM edo SEEM bezala ahoskatzen da.

Erreferentziak

[aldatu | aldatu iturburu kodea]

Ikus, gainera

[aldatu | aldatu iturburu kodea]

Kanpo estekak

[aldatu | aldatu iturburu kodea]