Моделирование работы SIEM-системы, функционирующей на базе свободно распространяемого ПО

Введение 3
1 Теоретическая часть 5
1.1 Архитектура SIEM системы 7
1.2 Функционирование SIEM-системы. 9
1.3 Корреляция в SIEM системах 14
1.4 Принцип работы 15
1.5 Важные критерии при выборе SIEM системы 17
1.6 Оптимизация потока событий 18
1.6.3 Обнаружение шаблонов в событиях 21
1.6.4 Механизм принятия решений 22
1.7 Обзор и сравнение SIEM решений 25
1.7.1 Elastic stack (ELK stack) 27
1.7.2 AlienVault 30
1.7.3 MozDef (Mozilla Defense Platform) 32
1.7.4 Wazuh 35
Выводы по главе 41
2 Практическая часть 42
2.1 Порядок выполнения работы 42
2.2 Описание системы OSSIM 42
2.3 Проектирование SIEM системы OSSIM 48
2.4 Развертывание OSSIM 49
2.5 Установка сервера OSSIM 50
2.5 Веб интерфейс системы 55
2.7 Регистрация OTX 63
2.8 Добавление и сканирование активов 65
2.9 Сканирования хоста на уязвимости 67
Выводы по главе 70
Заключение 71
Список литературы 72
Приложение 73

Весь текст будет доступен после покупки

Современный мир информационных технологий сталкивается с беспрецедентным ростом киберугроз, угрожающих доступности, целостности и конфиденциальности данных. Хорошо организованные и оснащенные хакерские группировки представляют серьезную угрозу для бизнеса и общества в целом. Статистика информационной безопасности, представленная крупными компаниями, наглядно демонстрирует масштабы проблемы. Специалисты по информационной безопасности подчеркивают необходимость создания комплексного подхода к реагированию на инциденты безопасности в виде единого централизованного решения. Системы мониторинга событий информационной безопасности (SIEM) играют ключевую роль в обеспечении защиты инфраструктуры. С увеличением числа событий и источников данных о безопасности увеличивается сложность отслеживания общих трендов и угроз. Традиционные системы управления событиями часто не взаимодействуют между собой, что ограничивает возможности объединения информации о угрозах, уязвимостях, нарушителях и инцидентах. Даже множество систем обнаружения вторжений не могут быть эффективными без скоординированного ответа на угрозы. В данной дипломной работе рассматриватеся построение SIEM системы OSSIM на основе операционной системы Debian Linux. Данная система обеспечит централизованное управление событиями безопасности, анализ информации о безопасности, а также управление инцидентами. Это позволит эффективнее реагировать на угрозы ИБ и ИТ, обеспечивая надлежащий уровень защищенности сети.

Весь текст будет доступен после покупки

1 Теоретическая часть

В современном мире кибербезопасность является одним из важнейших аспектов функционирования любой организации. Постоянно растущая сложность информационных систем, а также совершенствование методов кибератак делают необходимым использование эффективных инструментов для защиты информации.
SIEM (Security Information and Event Management) - это комплексный инструмент, который позволяет контролировать и анализировать события, связанные с безопасностью вашей сети и приложений. Он собирает данные из различных источников, таких как сетевые устройства, приложения и журналы, и анализирует их в режиме реального времени. SIEM – объединение двух понятий , таких как: SIM(Security Information Management ) – управление информационной безопасностью и SEM(Security Event Management) – управление событиями безопасности. SIEM состоит из различных компонентов, таких как приложения, устройства и сервисы, которые работают вместе для обеспечения комплексного решения по управлению событиями безопасности.
Подобные системы решают ряд актуальных задач:
1. Централизованное хранение и анализ событий:
- Объединение журналов событий из различных источников (операционные системы, сетевые устройства, приложения, системы защиты информации) в единую базу данных.
- Обеспечение соответствия требованиям стандартов информационной безопасности, которые предполагают сбор и анализ событий.
- Возможность реконструировать инциденты, даже если они произошли в прошлом, и журналы событий были удалены или недоступны.
2. Инструменты для анализа и расследования инцидентов:
- Предоставление мощных инструментов для поиска и анализа событий, позволяющих создавать подробные отчеты с необходимыми фильтрами.
- Возможность генерировать ежедневные отчеты о инцидентах, анализировать работоспособность системы и т.д.
3. Корреляция и обработка событий по правилам:
- Автоматическая обработка событий с использованием правил, например, выявление подозрительных действий, таких как многократные неудачные попытки входа в систему.

Весь текст будет доступен после покупки

1. Википедия. «SIEM» https://ru.wikipedia.org/wiki/SIEM
2. Олеся Шелестова «Что такое SIEM?», http://www.securitylab.ru/4300777.php
3. Канев А.Н. Мониторинг событий и обнаружение инцидентов безопасности с использованием SIEM – систем. Международный
студенческий научный вестник. – 2015. – № 3;
4. Дмитрий Хамакев «SIEM: ответы на часто задаваемые вопросы»,
https://habrahabr.ru/post/172389/
5. Максим Гарусев. «Системы корреляции событий: революция или эволюция?», http://www.setevoi.ru/cgi-bin/text.pl/magazines/2003/7/30
6. Артем Медведев «самый безопасный SOC»,
http://www.jetinfo.ru/stati/samyj-bezopasnyj-soc/#1
7. Официальный сайт компании HP. «ArcSight SIEM»
http://www8.hp.com/ru/ru/software-solutions/siem-security-informationevent- management/index.html
8. Официальный сайт Positive Technologies. «MaxPatrol SIEM», http://www.ptsecurity.ru/products/mpsiem/
9. Официальный сайт «ООО ИТБ». «Security Capsule SIEM»,
https://www.itb.spb.ru/3_2_2.php

Весь текст будет доступен после покупки