Метод та засіб моніторингу безпеки в комп'ютерній мережі засобами SIEM

Людмила Савицька; Тетяна Коробейнікова; Олександр Волос; Микола Тарновський; Людмила Савицька; Тетяна Коробейнікова; Олександр Волос; Микола Тарновський

https://doi.org/10.31649/1999-9941-2023-58-3-22-32

Взято з Т.20, №3, 2023

Отримано 17.07.2023, Доопрацьовано 20.10.2023, Прийнято 24.11.2023

Метод та засіб моніторингу безпеки в комп'ютерній мережі засобами SIEM

Людмила Савицька, Тетяна Коробейнікова, Олександр Волос, Микола Тарновський

Дана робота присвячена дослідженню, аналізу та вдосконаленню методів та засобів моніторингу безпеки в комп’ютерних мережах. У цій роботі засоби і методи моніторингу безпеки мережі розробляються на основі агентів системи SIEM (система управління інформацією про моніторинг мережі) з удосконаленням процесу нормування даних від журналів безпеки. Причому, для прискорення процесів реагування на загрози мережевої безпеки комп’ютерної мережі досліджується робота SIEM з точки зору тріади SIEM-EDR-NDR. Дослідження ґрунтуються на досвіді роботи іноземних компаній та вітчизняних банківських мереж.

У дослідженні розглядається взаємодія компонентів SIEM-EDR-NDR, утворюючи SOC-тріаду. SIEM використовується для централізованого аналізу даних, включаючи EDR і NDR, надаючи повну картину безпеки. EDR виявляє та реагує на загрози на кінцевих точках, а NDR доповнює його, розширюючи аналіз SIEM. Така комбінація забезпечує ефективне реагування на кібератаки, зменшуючи "час перебування" до виявлення.

Розглянуто формування завдань компонентів EDR у тріаді SIEM-EDR-NDR. Звернуто увагу на важливість захисту кінцевих пристроїв від всіх етапів атаки та визначено ефективні стратегії, такі як аналіз трафіку, контроль додатків та централізоване управління кібербезпекою. Наголошено на інтеграції EDR з існуючими засобами безпеки для створення комплексної системи.

У контексті SIEM висвітлено етапи обробки даних, починаючи від збору журналів і нормалізації до класифікації подій і кореляції. Підкреслено роль кореляції у формуванні інцидентів та проведенні розслідувань. Запропоновано удосконалену схему нормалізації з розширеною розгорткою агентів та ключовими етапами обробки даних в межах SIEM-системи.

Робота розглядає вдосконалення обробки журналів подій у SIEM для ефективного моніторингу мережевої безпеки та оперативного усунення загроз. Досягнута мета сприяє прискоренню процесів реагування на загрози завдяки інтеграції агентів SIEM в середовище, що дозволяє упорядковувати та класифікувати потоки інформації для оперативного усунення загроз

моніторинг, SIEM, EDR, NDR, тріаді SIEM-EDR-NDR, процес нормалізації журналів

22-32

Savytska, L., Korobeynikova, T, Volos, O., & Tarnovskyi, M. (2023). Method and means of security monitoring in a computer network by SIEM means. Information Technologies and Computer Engineering, 20(3), 22-32. https://doi.org/10.31649/1999-9941-2023-58-3-22-32

Використані джерела

[1] Cyber security of business in conditions of instability. (2022). Retrieved from https://www.pwc.com/ua/uk/publications/2022/cybersecurity-uncertainty-state.html.

[2] Decree of the President of Ukraine No. 242/2016 “On the National Cyber Security Coordination Center”. (2016, June). Retrieved from https://zakon.rada.gov.ua/laws/show/242/2016#Text.

[3] Computer emergency response team of Ukraine CERT-UA. (n.d.). Retrieved from https://cert.gov.ua.

[4] Military cyber security. (n.d.). Retrieved from https://www.mil.gov.ua/ukbs.

[5] Decree of the President of Ukraine No. 447/2021 “On the Decision of the National Security and Defense Council of Ukraine Dated May 14, 2021 “On the Cybersecurity Strategy of Ukraine”. (2021, August). Retrieved from https://www.president.gov.ua/documents/4472021-40013.

[6] What is the SOC visibility triad? (n.d.). Retrieved from https://www.nomios.be/en/resources/what-is-the-soc-visibility-triad.

[7] Zakharchenko. S.M., Troyanovska. T.I.,& Boyko. O.V. (2017). Construction of protected networks based on company equipment Cisco. Vinnytsia: VNTU.

[8] Miller. D. (2020). Security information and event management (SIEM). Boca Raton: CRC Press.

[9] Grebenyuk. A.M., & Rybalchenko. L.V. (2020). Fundamentals of information security management. Dnipro: Dnipro State University Internal Affairs.

[10] Pitis, A. (2020). SIEM: Trends and best practices for operations and development. New York: Apress.

[11] Top SIEM Use cases for correlation and SIEM alerts best practices. (2020). Retrieved from https://www.dnsstuff.com/common-siem-alerts.

[12] Kiser, Q. (2020). Computer networking and cybersecurity: A guide to understanding communications systems, internet connections, and network security along with protection from hacking and cyber security threats. Jakarta: PRIMASTA.

[13] Korobeynikova, T.I., & Fedorchenko V.V. (2023). System monitoring of network security in the SIEM-EDR-NDR triad. International Scientific Journal “Grail of Science”, 27, 354-360.

[14] Korobeynikova, T.I., & Fedorchenko, V.V. (2023). System monitoring of network security in the SIEM-EDR-NDR triad. ScientificWorldJournal. 19(1), 33-39. doi: 10.30888/2663-5712.2023-19-01029.

[15] Savytska, L.A., & Korobeynikova, T.I. (2021). An improved method of developing high-speed ARI. Information Technologies and Computer Engineering, 1(50), 31-35.

[16] Savytska, L.A., Dobrovolska, V.O., & Kondratyuk, N.V. (2023). Software module for preliminary diagnosis of patients based on the Kohonen neural network. Information Technologies and Computer Engineering, 1, 66-74.