Щодо можливостей реалізації сумісного функціонування LMS- і SIEM-менеджменту на основі FREE OPEN SOURCE інструментів

Abstract

Стаття присвячена вирішенню проблеми кібербезпеки корпоративної ІТінфраструктури за допомогою використання концепції операційних центрів безпеки. Для сучасних SOC (Security Operations Center) основна технологія моніторингу виявлення загроз і реагування базується на системах SIEM (Security Information and Event Management), які об’єднують інформацію про події від усіх інструментів безпеки і мають багато спільного з системами LMS (Log Management System). У цілому системи LMS і SIEM орієнтовані на різні задачі, але мають спільну інформаційну базу у вигляді даних журналів і частково перетинаються у можливостях виконання функцій моніторингу безпеки. Стаття наводить огляд наявних free open source інструментів реалізації функцій сучасних SIEM у прив’язці до типових процесів SOC і сумісного функціонування з LMS. У статті розглядаються функції і типові процеси SOC. Належна інструментальна основа реалізації процесів представлена еволюційною схемою розвитку SIEM, запропонованою фірмою Gartner. Відсутність безоплатної повнофункціональної платформи SIEM в існуючих і очікуваних пропозиціях лідерів сучасного ринку відповідного програмного забезпечення (за магічним квадрантом Gartner-2024) обґрунтовує обмеженість можливостей вирішення поставленої задачі використанням наявних окремих інструментів — їх адаптації, поступового розвитку й інтеграції в рамках єдиної платформи. Проведено огляд доступних джерел щодо наявних free open source інструментів реалізації базових функцій SIEM і платформ IRP, SOA, TIP, UEBA, які, на думку авторів, насамперед заслуговують на увагу в контексті поставленої задачі. Відзначається, що на фоні величезної кількості платних інструментів доля безоплатних достатньо велика, і в кожній номінації схеми Gartner є відповідні пропозиції. Для першого етапу створення повнофункціональної SIEM пропонується рішення інтеграції ELK-OSSIM із подальшим поступовим розвитком і інтеграцією компонентів SOA–SOAR. Таке рішення має на першому етапі забезпечити виконання функцій оцінки вразливостей, виявлення вторгнень, кореляції подій, поведінковий моніторинг, розвідку загроз, довгостроковий інтелектуальний аналіз та ін.