New-Scale SIEM: Технический обзор платформы нового поколения

Проблемы традиционныхSIEM-систем, такие как сложность масштабирования и высокая стоимость, часто препятствуют эффективному обнаружению и реагированию на угрозы.New-Scale SIEM (SIEM нового поколения) от Exabeam кардинально меняет подход, предлагая масштабируемую, производительную и гибкую платформу для современной безопасности. Традиционные SIEM-системы сталкиваются с ограничениями, связанными с объемами данных и необходимостью сложной настройки, подробнее об этом можно прочитать в статьеExabeam – SIEM Limitations.

Архитектура New-Scale SIEM: Основа нового подхода к безопасности

АрхитектураNew-Scale SIEM принципиально отличается от традиционных решений. Вместо монолитной архитектуры, где все компоненты тесно связаны и функционируют на ограниченном наборе серверов, Exabeam использует распределенную, горизонтально масштабируемую платформу. Это позволяет системе справляться с огромными объемами данных и сложными аналитическими задачами, обеспечивая при этом высокую доступность и отказоустойчивость. Подробнее об архитектуре New-Scale SIEM можно узнать на сайте Exabeam:Exabeam – New-Scale SIEM.

Ключевым элементом архитектуры является разделение функций сбора, хранения, обработки и анализа данных. Каждый из этих компонентов может масштабироваться независимо, что позволяет оптимизировать ресурсы и адаптироваться к изменяющимся потребностям организации.

Ключевые отличия от традиционных SIEM:

• Масштабируемость:New-Scale SIEM легко масштабируется горизонтально, добавляя вычислительные ресурсы по мере необходимости. Это позволяет обрабатывать экспоненциально растущие объемы данных без снижения производительности. В отличии от традиционных SIEM, где масштабирование часто требует полной перестройки системы.
• Производительность: Использование распределенной архитектуры и оптимизированных алгоритмов обеспечивает высокую скорость обработки и анализа данных.Это позволяет выявлять угрозы в режиме реального времени, а не постфактум.
• Гибкость: Платформа поддерживает различные источники данных и типы анализа, что позволяет адаптировать систему к конкретным потребностям организации.
• Экономичность: Благодаря эффективному использованию ресурсов и гибкой модели лицензирования,New-Scale SIEM позволяет снизить общую стоимость владения системой.

Компоненты архитектуры:

Хотя конкретные детали реализации могут варьироваться в зависимости от развертывания (облако, локальная инфраструктура, гибридная модель), основные компоненты остаются неизменными:

• Data Ingestion Layer (Слой сбора данных): Отвечает за сбор данных из различных источников. Поддерживает широкий спектр источников, включая логи, сетевой трафик, данные конечных точек, облачные сервисы и приложения. Использует различные протоколы и методы сбора, такие как Syslog, API, агенты и коннекторы.
• Data Lake (Озеро данных): Централизованное хранилище для всех собранных данных в исходном формате. Обеспечивает долгосрочное хранение данных для целей расследования и соответствия требованиям регуляторов. Использует масштабируемые и экономически эффективные технологии хранения, такие как Hadoop или облачные хранилища. Подробнее о Data Lake от Exabeam можно прочитатьздесь.
• Processing Engine (Механизм обработки): Отвечает за нормализацию, обогащение и анализ данных. Выполняет сложные аналитические задачи, такие какUEBA (User and Entity Behavior Analytics), корреляция событий и выявление угроз.
• Analytics and Detection Layer (Слой аналитики и обнаружения): Содержит алгоритмы и модели для обнаружения аномалий, подозрительной активности и известных угроз. Используетthreat intelligence для выявления и предотвращения атак.
• SOAR (Security Orchestration, Automation and Response) Engine: Обеспечивает автоматизацию процессов реагирования на инциденты. Позволяет автоматизировать рутинные задачи, такие как блокировка IP-адресов, изоляция хостов и отправка уведомлений. Больше информации о SOAR можно найти на сайте Exabeam:Exabeam – SOAR.
• User Interface (Пользовательский интерфейс): Предоставляет централизованный интерфейс для мониторинга, анализа и управления системой. Обеспечивает визуализацию данных, создание отчетов и управление инцидентами.

Ключевые компоненты и функциональность New-Scale SIEM

New-Scale SIEM предлагает широкий спектр функций и возможностей для обеспечения безопасности организации.

Сбор данных (Log Management)

Сбор данных является основой любойSIEM-системы.New-Scale SIEM поддерживает сбор данных из широкого спектра источников, включая:

• Логи операционных систем: Windows, Linux, macOS
• Логи сетевого оборудования: Маршрутизаторы, коммутаторы, межсетевые экраны
• Логи приложений: Веб-серверы, базы данных, почтовые серверы
• Данные конечных точек: Антивирусы, системы обнаружения вторжений
• Облачные сервисы: AWS, Azure, Google Cloud
• Данные об угрозах (Threat Intelligence): Feed-ы, репутации IP-адресов и доменов

Механизмы сбора данных:

• Syslog: Стандартный протокол для передачи логов.
• API: Интерфейсы программирования приложений для интеграции с различными системами.
• Агенты: Программные агенты, устанавливаемые на конечные точки для сбора данных.
• Коннекторы: Готовые интеграции с популярными приложениями и сервисами.

Нормализация и обогащение данных

Собранные данные, как правило, имеют различный формат и структуру.Нормализация данных – это процесс преобразования данных в единый формат, что облегчает их анализ и корреляцию.Обогащение данных – это добавление к данным дополнительной информации, такой как географическое расположение IP-адреса, репутация домена или информация об уязвимостях.

Процесс нормализации и обогащения включает в себя:

• Парсинг: Извлечение информации из логов.
• Стандартизация: Приведение данных к единому формату.
• Сопоставление: Сопоставление данных с другими источниками информации.
• Геолокация: Определение географического местоположения IP-адресов.
• Определение репутации: Определение репутации IP-адресов и доменов на основе данных об угрозах.
• Идентификация уязвимостей: Сопоставление событий с информацией об известных уязвимостях.

Обработка и анализ данных

После нормализации и обогащения данные готовы к обработке и анализу.Обработка данных включает в себя фильтрацию, агрегацию и другие операции, необходимые для подготовки данных к анализу.Анализ данных включает в себя выявление аномалий, подозрительной активности и известных угроз.

UEBA (User and Entity Behavior Analytics)

UEBA – это технология, которая позволяет анализировать поведение пользователей и сущностей (например, серверов, приложений) для выявления аномалий и подозрительной активности.New-Scale SIEM использует UEBA для выявления инсайдерских угроз, скомпрометированных учетных записей и других видов атак. Подробнее о UEBA в Exabeam можно прочитатьздесь.

UEBA анализирует множество параметров, таких как:

• Время входа в систему: В какое время пользователь обычно входит в систему?
• Местоположение: Откуда пользователь обычно входит в систему?
• Используемые приложения: Какие приложения пользователь обычно использует?
• Доступ к данным: К каким данным пользователь обычно обращается?

Если поведение пользователя отклоняется от его обычного поведения, система генерирует предупреждение.Например, если пользователь внезапно начинает входить в систему в необычное время или из необычного места, это может быть признаком того, что его учетная запись была скомпрометирована.

Корреляция событий

Корреляция событий – это процесс сопоставления событий из разных источников для выявления сложных угроз, которые могут быть незаметны при анализе отдельных событий.New-Scale SIEM использует сложные алгоритмы корреляции для выявления таких угроз.

Например, если система обнаруживает, что пользователь скачивает большой объем данных с сервера, а затем пытается зайти на подозрительный веб-сайт, система может сделать вывод, что пользователь пытается украсть данные и скомпрометировать систему.

Threat Intelligence

Threat Intelligence – это информация об известных угрозах, которая используется для выявления и предотвращения атак.New-Scale SIEM используетthreat intelligence из различных источников, включая:

• Коммерческие feed-ы: Подписки на информацию об угрозах от специализированных компаний.
• Бесплатные feed-ы: Общедоступные источники информации об угрозах.
• Внутренние данные: Информация об угрозах, собранная внутри организации.

Threat Intelligence используется для выявления известных угроз, таких как вредоносное ПО, фишинговые сайты и ботнеты.

Управление инцидентами и автоматизация (SOAR)

Управление инцидентами – это процесс выявления, анализа, сдерживания, ликвидации и восстановления после инцидентов безопасности.SOAR (Security Orchestration, Automation and Response) – это технология, которая позволяет автоматизировать процессы реагирования на инциденты.

New-Scale SIEM предоставляет широкий спектр функций для управления инцидентами и автоматизации, включая:

• Автоматическое выявление инцидентов: Система автоматически выявляет инциденты на основе анализа данных.
• Автоматическая классификация инцидентов: Система автоматически классифицирует инциденты по степени серьезности.
• Автоматическая эскалация инцидентов: Система автоматически эскалирует инциденты ответственным лицам.
• Автоматическое реагирование на инциденты: Система автоматически выполняет действия по реагированию на инциденты, такие как блокировка IP-адресов, изоляция хостов и удаление файлов.

Примеры автоматизированных действий:

• Блокировка IP-адресов: Если система обнаруживает, что IP-адрес пытается атаковать систему, система может автоматически заблокировать этот IP-адрес.
• Изоляция хостов: Если система обнаруживает, что хост скомпрометирован, система может автоматически изолировать этот хост от сети.
• Удаление файлов: Если система обнаруживает, что файл является вредоносным, система может автоматически удалить этот файл.
• Отправка уведомлений: Система может отправить уведомления ответственным лицам о возникновении инцидента.

Например, компания N сократила время на реагирование на инциденты на 60% благодаря автоматизации процессов реагирования с помощьюSOAR. С примерами внедрения Exabeam SOAR можно ознакомиться на страницеExabeam – Customers.

Масштабируемость и производительность

Масштабируемость и производительность являются критически важными дляSIEM-систем, особенно в условиях экспоненциального роста объемов данных.New-Scale SIEM обеспечивает масштабируемость и производительность благодаря своей распределенной архитектуре и оптимизированным алгоритмам.

Платформа использует горизонтальное масштабирование, что позволяет добавлять вычислительные ресурсы по мере необходимости. Это позволяет системе справляться с огромными объемами данных без снижения производительности.

Централизованный мониторинг и отчетность

New-Scale SIEM предоставляет централизованный интерфейс для мониторинга, анализа и управления системой. Интерфейс обеспечивает визуализацию данных, создание отчетов и управление инцидентами.

Пользователи могут создавать собственные панели мониторинга для отображения наиболее важной информации. Система также предоставляет широкий набор готовых отчетов о состоянии безопасности.

Заключение

New-Scale SIEM от Exabeam представляет собойSIEM нового поколения, которое решает основные проблемы традиционных SIEM-систем. Благодаря своей масштабируемой архитектуре, высокой производительности, широкому спектру функций и возможностей,New-Scale SIEM позволяет организациям эффективно обнаруживать и реагировать на угрозы безопасности. Платформа обеспечиваетцентрализованный мониторинг, анализ и управление системой безопасности, что позволяет организациям повысить эффективность защиты своих активов.