Статья является продолжением описания исследований, посвященных анализу методов корреляции событий безопасности в системах управления информацией и событиями безопасности (SIEM-системах). В данной части рассматриваются методы непосредственной корреляции событий безопасности, применяемых на этапах, описанных в предыдущей статье. Приводится классификация рассматриваемых методов корреляции и результаты анализа их достоинств и недостатков, а также оценивается эффективность их применения на различных этапах процесса корреляции.
Статья посвящена анализу методов корреляции событий безопасности в системах управления информацией и событиями безопасности (SIEM-системах). Процесс корреляции событий безопасности рассматривается в виде многоуровневой иерархии этапов, цель каждого из которых заключается в выполнении определенных операций над обрабатываемыми данными безопасности. На основе результатов проведенного анализа в работе приводится описание каждого этапа процесса корреляции и схемы их взаимодействия.
В статье предложены математические модели визуализации данных в SIEM-системах. Модели визуализации служат для формализации трех основных этапов процесса визуализации. На первом этапе предлагаются модели, с помощью которых происходит унификация сведений об объектах компьютерной сети, имеющих разнородные структуры и различные источники. На втором этапе на базе построенных моделей формируется многомерная матрица связей. На третьем этапе предлагается унифицированный подход к визуализации различных аспектов безопасности компьютерной сети на основе построенной матрицы.
В статье рассматривается подход к построению системы сбора, хранения и обработки информации и событий безопасности на основе средств Elastic Stack. Анализируются задачи мониторинга и управления инцидентами безопасности, исследуются архитектуры систем мониторинга, выявляются требования к ним, и предлагается архитектура системы сбора, хранения и обработки информации и событий безопасности. Описывается разработанный программный прототип системы и представляются результаты экспериментов с разработанным прототипом.
В статье приводится анализ наиболее известных и развитых в настоящее время систем хранения данных в части их использования для построения репозитория перспективных систем мониторинга и управления безопасностью информации (SIEM–систем). Анализу подвергаются реляционные СУБД, XML–базы данных и хранилища триплетов. Предложена и прокомментирована реляционная схема данных, интегрирующая аналитические модули SIEM–системы. Приведена классификация и характеристика известных средств построения и использования XML–баз данных. Среди хранилищ триплетов сделан выбор в пользу системы Virtuoso, обеспечивающей гибридный подход к построению репозитория в перспективных SIEM–системах, который был апробирован на решении задач моделирования атак и анализа защищенности.
1 - 5 из 5 результатов