O`zbekiston respublikasi axborot texnologiyalari va komunikatsiyalarini rivojlantirish vazirligi muhammad Al-Xorazmiy nomidagi Toshkent axborot texnologiyalari universiteti Axborot xavfsizligini ta’minlash kafedrasi



Yüklə 44,46 Kb.
səhifə4/4
tarix23.06.2022
ölçüsü44,46 Kb.
#89982
1   2   3   4
Eljahon

SIEM tizimlarining tahlili
SIEM (Security Information and Event Management) – axborot tizimlarini boshqaruvchi, tarmoq qurilmalari, axborot xavfsizligi vositalari, IT xizmatlari, tizim va ilovalar infratuzilmasidan real vaqt rejimidagi xavfsizlik hodisalarini tahlil qiluvchi hamda axborot xavfsizligi hodisalarini aniqlashga yordam beruvchi yechimlar. SIEMlar provayderlar tomonidan apparat qurilmalari, dasturiy ta'minot yoki xizmatlar sifatida taqdim etiladi va hodisalar, ogohlantirishlar, hisobotlarni yig'ish va qayta ishlash va axborot xavfsizligi buzilishini vizualizatsiya qilish uchun ishlatiladi.
Shuni ta'kidlash kerakki, SIEM tizimlari hodisalarni kuzatish va ularga javob berish uchun mo'ljallangan, ammo sizni tahdidlardan himoya qilishga yoki salbiy hodisalarning oldini olishga imkon bermaydi. Shu munosabat bilan SIEMlar quyidagi vazifalarni hal qilish uchun ishlatiladi:
ma'lumotlarni birlashtirish, turli manbalardan axborot xavfsizligi hodisalarini yig'ish (tarmoq qurilmalari va IT xizmatlari, xavfsizlik tizimlari, operatsion tizimlar, ma'lumotlar bazalari, biznes ilovalari);
xavfsizlik insidentlarini saqlash retrospektiv tahlil qilish va xavfsizlik intsidentlariga sabab bo'lgan harakatlar zanjirini aniqlash uchun turli manbalardan olingan xavfsizlik hodisalarini saqlash;
xavfsizlik hodisalarini o'zaro bog'lash va qayta ishlash turli manbalardan audit ma'lumotlarini solishtirish va mazmunli ma'lumotlarni aniqlash uchun turli usullardan foydalanish;
ekspert tahlili uchun vositalarni taqdim etish turli parametrlar bo'yicha qidirish va hodisalar o'rtasidagi bog'liqlik modellarini yaratish qobiliyatiga ega bo'lgan hodisalarni ekspert tahlili va xavfsizlik hodisalarini tahlil qilish uchun vositalarni taqdim etish;
hodisalarni kontekst bo'yicha to’ldirish AT hodisalarida ta'sirlangan ma'lumotlarning ma'lum biznes-ilovalarga, tashkilot xodimlariga va jarayonlarga tegishliligi, ularning biznes muhimligi yoki xavfsizlik tizimlari va zaiflik skanerlari ma'lumotlari asosida tahdidlarga duchor bo'lishi to'g'risidagi ma'lumotlar bilan hodisalarni kontekstli to’ldirish;
avtomatik xavfsizlik ma'muri xabarnomasi loglar tizimi bilan integratsiyalashuv orqali SIEM interfeysi orqali shuningdek, elektron pochta, SMS va boshqalar orqali xavfsizlik ma'murini avtomatik ravishda xabardor qilish.
Turli tarmoqlarning yirik korxonalari SIEM yechimlari iste'molchilarining asosiy toifasi hisoblanadi. SIEM sizga turli xil hodisalar orasida xavfsizlik buzilishlarini aniqlash va aniqlangan muammolarga tezda javob berish imkonini beradi. Bundan tashqari, SIEM tizimlari muvofiqlik auditida ishtirok etadi. So'nggi yillardagi SIEM bozorining etakchilari quyida ko'rib chiqiladi.
SIEM tizimlarining ishlash prinsipi
Nazariy jihatdan, SIEM tizimlarini ishlash prinsipi oddiy: tizim ma'lumot to'playdi, uni tezda tahlil qiladi (va ogohlantirish xabarini yaratadi), ma'lumotlar bazalariga qo'shadi, oldingi kuzatuvlar asosida xatti-harakatlarni tahlil qiladi (va ogohlantirish xabarini yaratadi).
Amalda esa quyidagi tegishli komponentlar yordamida amalga oshiriladi:

  • Agentlar (turli manbalardan ma'lumotlarni yig'ish);

  • Kollektor serverlari (agentlardan olingan ma'lumotlarning to'planishi);

  • Ma'lumotlar bazasi serveri (ma'lumotlarni saqlash);

  • Korrelyatsiya serveri (axborot tahlili).

Deyarli har qanday ma'lumot SIEM tizimlari uchun kirish ma'lumoti sifatida xizmat qilishi mumkin. Asosiysi, uni to'g'ri taqdim etish. Yuqorida aytib o'tilganidek, ma'lumotlarni to'plash maxsus agentlar yordamida amalga oshirilishi mumkin, bu dastur lokal tarzda loglar jurnallarini yig'adi va iloji bo'lsa, ularni serverga uzatadi. Muayyan ma'lumotlar manbasini "o'qish" uchun agent ma'lum bir log jurnali yoki tizimini tushunish uchun kollektorlardan - kutubxonalardan foydalanadi. Kollektorlar muhim rol o'ynaydi, chunki turli manbalar bir hodisani boshqacha nomlashi mumkin. Misol uchun, bitta ishlab chiqaruvchining xavfsizlik devori logni “deny” etishi mumkin, boshqasi “discard” etishi, uchinchi “drop” qilishi mumkin, garchi voqea bir xil bo'lsa. Kollektorlar bu voqealarning barchasini umumiy maxrajga olib kelishga yordam beradi.


XULOSA

Mazkur bitiruv malakaviy ishida SIEM tizimi asosida axborot xavfsizligi insidentlarini boshqarish bosqichlarini ishlab chiqish asosiy maqsad qilib olingan bo‘lib, ishning bajarilishida quyidagi natijalar olindi:

  • axborot xavfsizligi insidentlari va ularning turlari o‘rganilib chiqildi;

  • axborot xavfsizligini insidentlarini boshqarishning normativ bazalarini tahlil qilindi;

  • axborot xavfsizligini insidentlarini nazorat qilish va boshqarish usullarini ko’rib chiqildi;

  • xorijiy va milliy SIEM tizimlari va xizmatlarini o’rganildi;

  • SIEM tizimi asosida axborot xavfsizligi insidentlarini boshqarish tizimini qurish bosqichlari ishlab chiqildi .

AX umumiy strategiyasining asosiy qismi sifatida tashkilot AX insidentlarini boshqarishga strukturalangan va aniq rejalashtirilgan yondashuvni ta’minlash maqsadida boshqaruv vositalari va taomillarni joriy etishi zarur. Tashkilotning nuqtai nazaridan, asosiy maqsad – AX insidentlariga yо‘l qо‘ymaslik yoki insidentlar tufayli о‘z faoliyatiga yetkazilishi mumkin bо‘lgan bevosita va bilvosita zararni imkon qadar kamaytirish uchun AX insidentlarining ta’sirini tо‘xtatib turish. Axborot resurslariga yetkaziladigan zarar faoliyatga salbiy ta’sir qilishi mumkin, shunday ekan operasion va biznes-jarayonlar tо‘g‘risida tushuncha AXni boshqarishning muayyan maqsadlarini aniqlashga katta ta’sir qilishi lozim. Shuning uchun insidentlarni aniqlashda SIEM tizimlarini qo’llash hozirgi kundagi samarali usullardan hisoblanadi.

FOYDALANILGAN ADABIYOTLAR RO'YXATI

  1. O‘zbekiston Respublikasi Prezidentining farmoni. 2023 — 2026-yillarga mo‘ljallangan O‘zbekiston Respublikasining taraqqiyot strategiyasi to‘g‘risida. 2022 y.

  2. Зефиров С.Л., Щербакова А.Ю., Управление инцидентами кибербезопасности: уч.пособие / Пенза: Изд-во ПГУ, 2012.

  3. Н.Г.Милославская, М.Ю.Сенаторов, А.И.Толстой, Управление инцидентами информационной безопасности и непрерывностью бизнеса, Горячая линия – Телеком, Москва, 2015.

  4. ISO/IEC 27001:2005 «Information technology. Security techniques. Information security management systems. Requirements».

  5. CMU/SEI-2004-TR-015 «Defining incident management processes for CISRT».

  6. O‘z DSt ISO/IEC 27035:2015 «Методы обеспечения безопасности. Управление инцидентами информационной безопасности»

  7. Зефиров С.Л. Менеджмент инцидентов информационной безопасности: учебное пособие. – Пенза: Изд-во ПГУ, 2008.

  8. Нестеров С.А. Основы информационной безопасности: уч.пособие / СПб.: Лань, 2017.

  9. Жукова М.Н. Управление информационной безопасностью. Ч.2. Управление инцидентами информационной безопасности: уч.пособие / Красноярск: Сиб.гос.аэрокосмич. ун-т, 2012.

  10. International Standard ISO/IEC 27035-2:2016(E) «Information technology — Security techniques — Information security incident management —Part 2: Guidelines to plan and prepare for incident response»

  11. ISO/IEC 27037:2012 «Information technology. Security techniques. Guidelines for identification, collection and/or acquisition and preservation of digital evidence»

  12. Paul Cichonski, Tom Millar, Tom Grance, Karen Scanfone, NIST. Computer Security Incident Handling Guide/Recommendations of the National Institute of Standards and Technology/ Special Publication 800-61/Revision 2, National Institute of Standards and Technology (NIST), 2012.

  13. CERT Coordination Center www.cert.org

  14. Steps to Incident Handling www.giac.org/resources/ whitepaper/network/17.php




Yüklə 44,46 Kb.

Dostları ilə paylaş:
1   2   3   4



Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©genderi.org 2024
rəhbərliyinə müraciət
    Ana səhifə
Psixologiya