МЕТОД ТА ЗАСІБ МОНІТОРИНГУ БЕЗПЕКИ В КОМП'ЮТЕРНІЙ МЕРЕЖІ ЗАСОБАМИ SIEM
DOI:
https://doi.org/10.31649/1999-9941-2023-58-3-22-32Ключові слова:
моніторинг, SIEM, EDR, NDR, тріаді SIEM-EDR-NDR, процес нормалізації журналівАнотація
Анотація. Дана робота присвячена дослідженню, аналізу та вдосконаленню методів та засобів моніторингу безпеки в комп’ютерних мережах. У цій роботі засоби і методи моніторингу безпеки мережі розробляються на основі агентів системи SIEM (система управління інформацією про моніторинг мережі) з удосконаленням процесу нормування даних від журналів безпеки. Причому, для прискорення процесів реагування на загрози мережевої безпеки комп’ютерної мережі досліджується робота SIEM з точки зору тріади SIEM-EDR-NDR. Дослідження ґрунтуються на досвіді роботи іноземних компаній та вітчизняних банківських мереж.
У дослідженні розглядається взаємодія компонентів SIEM-EDR-NDR, утворюючи SOC-тріаду. SIEM використовується для централізованого аналізу даних, включаючи EDR і NDR, надаючи повну картину безпеки. EDR виявляє та реагує на загрози на кінцевих точках, а NDR доповнює його, розширюючи аналіз SIEM. Така комбінація забезпечує ефективне реагування на кібератаки, зменшуючи "час перебування" до виявлення.
Розглянуто формування завдань компонентів EDR у тріаді SIEM-EDR-NDR. Звернуто увагу на важливість захисту кінцевих пристроїв від всіх етапів атаки та визначено ефективні стратегії, такі як аналіз трафіку, контроль додатків та централізоване управління кібербезпекою. Наголошено на інтеграції EDR з існуючими засобами безпеки для створення комплексної системи.
У контексті SIEM висвітлено етапи обробки даних, починаючи від збору журналів і нормалізації до класифікації подій і кореляції. Підкреслено роль кореляції у формуванні інцидентів та проведенні розслідувань. Запропоновано удосконалену схему нормалізації з розширеною розгорткою агентів та ключовими етапами обробки даних в межах SIEM-системи.
Робота розглядає вдосконалення обробки журналів подій у SIEM для ефективного моніторингу мережевої безпеки та оперативного усунення загроз. Досягнута мета сприяє прискоренню процесів реагування на загрози завдяки інтеграції агентів SIEM в середовище, що дозволяє упорядковувати та класифікувати потоки інформації для оперативного усунення загроз..
Посилання
References
Kiberbezpeka biznesu v umovakh nestabilʹnosti [Elektronnyy resurs] // PwC Ukrayina. – 2022. – Rezhym dostupu do resursu: https://www.pwc.com/ua/uk/publications/2022/cybersecurity-uncertainty-state.html
Pro Natsionalʹnyy koordynatsiynyy tsentr kiberbezpeky [Elektronnyy resurs] // Verkhovna Rada Ukrayiny. – 2016. – Rezhym dostupu do resursu: https://zakon.rada.gov.ua/laws/show/242/2016#Text
Pro CERT-UA [Elektronnyy resurs] // Derzhavna sluzhba spetsialʹnoho zvʺyazku ta zakhystu informatsiyi Ukrayiny. – 2023. – Rezhym dostupu do resursu: https://cert.gov.ua
Viysʹkova kiberbezpeka [Elektronnyy resurs] // Ministerstvo oborony Ukrayiny. – 2023. – Rezhym dostupu do resursu: https://www.mil.gov.ua/ukbs
UKAZ PREZYDENTA UKRAYINY №447/2021 [Elektronnyy resurs] // Pro rishennya Rady natsionalʹnoyi bezpeky i oborony Ukrayiny vid 14 travnya 2021 roku "Pro Stratehiyu kiberbezpeky Ukrayiny". – 2021. – Rezhym dostupu do resursu: https://www.president.gov.ua/documents/4472021-40013
What is the SOC visibility triad? [Elektronnyy resurs] // SOC visibility triad Rezhym dostupu do resursu: https://www.nomios.be/en/resources/what-is-the-soc-visibility-triad/
Pobudova zakhyshchenykh merezh na bazi obladnannya kompaniyi Cisco. // Zakharchenko S.M., Troyanovsʹka T. I., Boyko O.V. Navchalʹnyy posibnyk. Vinnytsya : VNTU, 2017. – 133 s.
Miller D. Security Information and Event Management (SIEM) - Implementation Guide / David R. Miller. CRC Press, 2020.
Hrebenyuk A. M. Osnovy upravlinnya informatsiynoyu bezpekoyu [El. resurs] / A. M. Hrebenyuk, L. V. Rybalʹchenko. – 2020. – Rezhym dostupu: https://er.dduvs.in.ua/bitstream/123456789/5717/1/%D0%9F%D0%9E%D0%A1I%D0%91%D0%9D%D0%98%D0%9A%20%D0%9E%D0%A3I%D0%91%20.pdf
Pitis Andrei. SIEM: Trends and Best Practices for Operations and Development / Andrei Pitis, Apress: 2020.
Top SIEM Use Cases for Correlation and SIEM Alerts Best Practices [Elektronnyy resurs] // DNSstuff. – 2020. – Rezhym dostupu do resursu: https://www.dnsstuff.com/common-siem-alerts.
Computer Networking and Cybersecurity: A Guide to Understanding Communications Systems, Internet Connections, and Network Security Along with Protection from Hacking and Cyber Security Threats, 2020 – 242p.
Korobeynikova T.I. Systemnyy monitorynh merezhevoyi bezpeky v triadi SIEM-EDR-NDR / Korobeynikova T.I., Fedorchenko V. V. // International scientific journal «Grail of Science» – 2023. – № 27 (May, 2023). – S. 354–360. ISSN: 2710–3056. ISBN 979-8-88955-792-0.
Korobeynikova T.I. Cystemnyy monitorynh merezhevoyi bezpeky v triadi SIEM-EDR-NDR / Korobeynikova T.I., Fedorchenko V. V. // International periodical scientific journal «SWorldJournal» – 2023. – № 19 (part 1) (May, 2023). – S. 33–39. ISSN: 2663-5712. DOI: 10.30888/2663-5712.2023-19-01-029.
Savytsʹka L.A., Korobeynikova T.I. Udoskonalenyy metod rozrobky ARI pidvyshchenoyi shvydkodiyi Informatsiyni tekhnolohiyi ta komp`yuterna inzheneriya 2021: - №1 (50). - S. 31–35
Savytsʹka L. A. Prohramnyy modulʹ poperednʹoho diahnostuvannya patsiyentiv na osnovi neyronnoyi merezhi Kokhonena [Tekst] / L. A. Savytsʹka, N. V. Dobrovolʹsʹka, V. O. Kondratyuk // Informatsiyni tekhnolohiyi ta komp`yuterna inzheneriya. – 2023. – № 1. – S. 66-74.
##submission.downloads##
-
PDF
Завантажень: 67
