МЕТОД ТА ЗАСІБ МОНІТОРИНГУ БЕЗПЕКИ В КОМП'ЮТЕРНІЙ МЕРЕЖІ ЗАСОБАМИ SIEM

Автор(и)

  • Людмила Савицька Вінницький національний технічний університет, Вінниця
  • Тетяна Коробейнікова Національний університет «Львівська політехніка»
  • Олександр Волос Вінницький національний технічний університет, Вінниця
  • Микола Тарновський Вінницький національний технічний університет, Вінниця

DOI:

https://doi.org/10.31649/1999-9941-2023-58-3-22-32

Ключові слова:

моніторинг, SIEM, EDR, NDR, тріаді SIEM-EDR-NDR, процес нормалізації журналів

Анотація

Анотація. Дана робота присвячена дослідженню, аналізу та вдосконаленню методів та засобів моніторингу безпеки в комп’ютерних мережах. У цій роботі засоби і методи моніторингу безпеки мережі розробляються на основі агентів системи SIEM (система управління інформацією про моніторинг мережі) з удосконаленням процесу нормування даних від журналів безпеки. Причому, для прискорення процесів реагування на загрози мережевої безпеки комп’ютерної мережі досліджується робота SIEM з точки зору тріади SIEM-EDR-NDR. Дослідження ґрунтуються на досвіді роботи іноземних компаній та вітчизняних банківських мереж.

У дослідженні розглядається взаємодія компонентів SIEM-EDR-NDR, утворюючи SOC-тріаду. SIEM використовується для централізованого аналізу даних, включаючи EDR і NDR, надаючи повну картину безпеки. EDR виявляє та реагує на загрози на кінцевих точках, а NDR доповнює його, розширюючи аналіз SIEM. Така комбінація забезпечує ефективне реагування на кібератаки, зменшуючи "час перебування" до виявлення.

Розглянуто формування завдань компонентів EDR у тріаді SIEM-EDR-NDR. Звернуто увагу на важливість захисту кінцевих пристроїв від всіх етапів атаки та визначено ефективні стратегії, такі як аналіз трафіку, контроль додатків та централізоване управління кібербезпекою. Наголошено на інтеграції EDR з існуючими засобами безпеки для створення комплексної системи.

У контексті SIEM висвітлено етапи обробки даних, починаючи від збору журналів і нормалізації до класифікації подій і кореляції. Підкреслено роль кореляції у формуванні інцидентів та проведенні розслідувань. Запропоновано удосконалену схему нормалізації з розширеною розгорткою агентів та ключовими етапами обробки даних в межах SIEM-системи.

Робота розглядає вдосконалення обробки журналів подій у SIEM для ефективного моніторингу мережевої безпеки та оперативного усунення загроз. Досягнута мета сприяє прискоренню процесів реагування на загрози завдяки інтеграції агентів SIEM в середовище, що дозволяє упорядковувати та класифікувати потоки інформації для оперативного усунення загроз..

Біографії авторів

Людмила Савицька , Вінницький національний технічний університет, Вінниця

к. т. н., доцент кафедри обчислювальної техніки

Тетяна Коробейнікова , Національний університет «Львівська політехніка»

к.т.н., доцент кафедри безпеки інформаційних технологій

Олександр Волос , Вінницький національний технічний університет, Вінниця

магістр кафедри обчислювальної техніки

Микола Тарновський , Вінницький національний технічний університет, Вінниця

к. т. н., доцент кафедри обчислювальної техніки

Посилання

References

Kiberbezpeka biznesu v umovakh nestabilʹnosti [Elektronnyy resurs] // PwC Ukrayina. – 2022. – Rezhym dostupu do resursu: https://www.pwc.com/ua/uk/publications/2022/cybersecurity-uncertainty-state.html

Pro Natsionalʹnyy koordynatsiynyy tsentr kiberbezpeky [Elektronnyy resurs] // Verkhovna Rada Ukrayiny. – 2016. – Rezhym dostupu do resursu: https://zakon.rada.gov.ua/laws/show/242/2016#Text

Pro CERT-UA [Elektronnyy resurs] // Derzhavna sluzhba spetsialʹnoho zvʺyazku ta zakhystu informatsiyi Ukrayiny. – 2023. – Rezhym dostupu do resursu: https://cert.gov.ua

Viysʹkova kiberbezpeka [Elektronnyy resurs] // Ministerstvo oborony Ukrayiny. – 2023. – Rezhym dostupu do resursu: https://www.mil.gov.ua/ukbs

UKAZ PREZYDENTA UKRAYINY №447/2021 [Elektronnyy resurs] // Pro rishennya Rady natsionalʹnoyi bezpeky i oborony Ukrayiny vid 14 travnya 2021 roku "Pro Stratehiyu kiberbezpeky Ukrayiny". – 2021. – Rezhym dostupu do resursu: https://www.president.gov.ua/documents/4472021-40013

What is the SOC visibility triad? [Elektronnyy resurs] // SOC visibility triad Rezhym dostupu do resursu: https://www.nomios.be/en/resources/what-is-the-soc-visibility-triad/

Pobudova zakhyshchenykh merezh na bazi obladnannya kompaniyi Cisco. // Zakharchenko S.M., Troyanovsʹka T. I., Boyko O.V. Navchalʹnyy posibnyk. Vinnytsya : VNTU, 2017. – 133 s.

Miller D. Security Information and Event Management (SIEM) - Implementation Guide / David R. Miller. CRC Press, 2020.

Hrebenyuk A. M. Osnovy upravlinnya informatsiynoyu bezpekoyu [El. resurs] / A. M. Hrebenyuk, L. V. Rybalʹchenko. – 2020. – Rezhym dostupu: https://er.dduvs.in.ua/bitstream/123456789/5717/1/%D0%9F%D0%9E%D0%A1I%D0%91%D0%9D%D0%98%D0%9A%20%D0%9E%D0%A3I%D0%91%20.pdf

Pitis Andrei. SIEM: Trends and Best Practices for Operations and Development / Andrei Pitis, Apress: 2020.

Top SIEM Use Cases for Correlation and SIEM Alerts Best Practices [Elektronnyy resurs] // DNSstuff. – 2020. – Rezhym dostupu do resursu: https://www.dnsstuff.com/common-siem-alerts.

Computer Networking and Cybersecurity: A Guide to Understanding Communications Systems, Internet Connections, and Network Security Along with Protection from Hacking and Cyber Security Threats, 2020 – 242p.

Korobeynikova T.I. Systemnyy monitorynh merezhevoyi bezpeky v triadi SIEM-EDR-NDR / Korobeynikova T.I., Fedorchenko V. V. // International scientific journal «Grail of Science» – 2023. – № 27 (May, 2023). – S. 354–360. ISSN: 2710–3056. ISBN 979-8-88955-792-0.

Korobeynikova T.I. Cystemnyy monitorynh merezhevoyi bezpeky v triadi SIEM-EDR-NDR / Korobeynikova T.I., Fedorchenko V. V. // International periodical scientific journal «SWorldJournal» – 2023. – № 19 (part 1) (May, 2023). – S. 33–39. ISSN: 2663-5712. DOI: 10.30888/2663-5712.2023-19-01-029.

Savytsʹka L.A., Korobeynikova T.I. Udoskonalenyy metod rozrobky ARI pidvyshchenoyi shvydkodiyi Informatsiyni tekhnolohiyi ta komp`yuterna inzheneriya 2021: - №1 (50). - S. 31–35

Savytsʹka L. A. Prohramnyy modulʹ poperednʹoho diahnostuvannya patsiyentiv na osnovi neyronnoyi merezhi Kokhonena [Tekst] / L. A. Savytsʹka, N. V. Dobrovolʹsʹka, V. O. Kondratyuk // Informatsiyni tekhnolohiyi ta komp`yuterna inzheneriya. – 2023. – № 1. – S. 66-74.

##submission.downloads##

Переглядів анотації: 121

Опубліковано

2023-12-29

Як цитувати

[1]
Л. . Савицька, Т. . Коробейнікова, О. . Волос, і М. . Тарновський, «МЕТОД ТА ЗАСІБ МОНІТОРИНГУ БЕЗПЕКИ В КОМП’ЮТЕРНІЙ МЕРЕЖІ ЗАСОБАМИ SIEM», ІТКІ, вип. 58, вип. 3, с. 22–32, Груд 2023.

Номер

Розділ

Інформаційні технології та теорія кодування

Метрики

Завантаження

Дані завантаження ще не доступні.

Статті цього автора (авторів), які найбільше читають