В статье рассматривается подход к построению системы сбора, хранения и обработки информации и событий безопасности на основе средств Elastic Stack. Анализируются задачи мониторинга и управления инцидентами безопасности, исследуются архитектуры систем мониторинга, выявляются требования к ним, и предлагается архитектура системы сбора, хранения и обработки информации и событий безопасности. Описывается разработанный программный прототип системы и представляются результаты экспериментов с разработанным прототипом.
Статья является продолжением описания исследований, посвященных анализу методов корреляции событий безопасности в системах управления информацией и событиями безопасности (SIEM-системах). В данной части рассматриваются методы непосредственной корреляции событий безопасности, применяемых на этапах, описанных в предыдущей статье. Приводится классификация рассматриваемых методов корреляции и результаты анализа их достоинств и недостатков, а также оценивается эффективность их применения на различных этапах процесса корреляции.
Статья посвящена анализу методов корреляции событий безопасности в системах управления информацией и событиями безопасности (SIEM-системах). Процесс корреляции событий безопасности рассматривается в виде многоуровневой иерархии этапов, цель каждого из которых заключается в выполнении определенных операций над обрабатываемыми данными безопасности. На основе результатов проведенного анализа в работе приводится описание каждого этапа процесса корреляции и схемы их взаимодействия.
1 - 3 из 3 результатов