Média a my

FortiSIEM® - Zlúčenie korelácie udalostí a manažmentu rizika pre moderné siete

Dnes už aj na Slovensku začínajú spoločnosti vnímať potrebu zvýšenia bezpečnosti v ich podnikovej IT infraštruktúre. Takisto aj výrobcovia sa prispôsobujú trendom ochrany naprieč celému ISO/OSI modelu. Okrem špecializovaných zariadení ako sú IPS/IDS vznikajú zariadenia, ktoré zahŕňajú v sebe celú škálu bezpečnostných funkcionalít ako aplikačný firewall, integrované IPS, antispam riešenie a mnoho ďalších funkcionalít.

Čo je SIEM

Každé zariadenie produkuje určité množstvo informačných správ – logov na diagnostiku problému, ktoré sú ukladané lokálne na zariadenie, alebo je ich možné posielať na externú entitu. Týchto správ môže byť z jednotlivých zariadení od 10 do 1000 za minútu. Prehľadávanie a prehľadnosť týchto správ alebo udalostí môže byť v momente prebiehajúceho útoku dôležitá. FortiSIEM je práve ten správny nástroj na prijímanie a ukladanie týchto logov alebo udalostí. Umožňuje s týmito informáciami ďalej pracovať, správne ich čítať, rozkúskovať,  priraďovať ich do skupín pomocou pravidiel a vyhodnocovať. Dať tomu celému správnu logiku. Následne, na základe pravidiel a nastavení vyhodnotiť bezpečnostný incident a informovať zainteresovaných .

 

Implementácia FortiSIEM systému

Pred implementáciou je dôležité usporiadať si jednotlivé faktory, pretože pokiaľ prevediete iba samotnú inštaláciu, môžete mať len veľmi drahý logovací nástroj. Preto je dôležité už v prvom kroku nastaviť hodnotenie aktív a počet udalostí, ktoré pri bežnom pohľade nemusia mať s IT žiaden súvis, ale pri priblížení ukážu ako všetky tieto veci s ním súvisia.

 

Hodnotenie aktív je významné z hľadiska prehľadnosti a určenia hodnoty dôležitosti, ktoré zariadenia a taktiež ich rozhrania a ktoré aplikácie a procesy budú mať aké hodnoty dôležitosti, následne je potrebné zistiť celkový súčet počtu udalostí, ktoré budú posielané na FortiSIEM nástroj.

Posledným bodom pred zadovážením a implementáciou FortiSIEM  je určiť či celý systém bude distribuovaný alebo len centralizovaný počet a typ konektorov, ktoré daný SIEM nástroj podporuje. Následne je možné pristúpiť k implementácií.

 

Samotná implementácia prebieha viacerými spôsobmi. FortiSIEM má možnosť dynamického oskenovania aktív pomocou predpripravených konektorov a prihlasovacích údajov. Aktíva, ktoré nebudú oskenované alebo nemajú možnosť byť oskenované štandardným spôsobom, by mali byť možné pridať manuálne. Akonáhle sú všetky aktíva pripojené a monitorované je potrebné určiť , či už na strane zdroja informácií - logov alebo na FortiSIEM , čo všetko je relevantná informácia a čo nie je. Posledným a hlavne nikdy nekončiacim úkonom je analýza a písanie pravidiel, za pomoci ktorých nás bude FortiSIEM informovať o potenciálnych bezpečnostných incidentoch. Tieto úkony treba vykonávať pri každom incidente a pri každom pridanom aktíve. Preto je proces bezpečnosti nikdy-nekončiacim procesom .

 

Fortinet je lídrom na globálnom trhu sieťovej bezpečnosti. Veracomp je výhradným distribútorom technológie Fortinet už viac ako deväť rokov. Okrem technológii z oblasti bezpečnosti IT zastrešujeme aj ďalšie okruhy ako: siete a infraštruktúra, dátové centrá, mobilitu a komunikácie a open source. 

 

Autor  článku

Jaroslav Remeň je zakladateľom spoločnosti ReFoMa s.r.o., študoval na Pedagogickej fakulte na Trnavskej univerzity v Trnave, neskôr pôsobil ako pedagóg, po čase sa naklonil IT sfére a začal pracovať v súkromných spoločnostiach ako správca siete. Svoju kariéru rozvíjal na pozícii senior security inžiniera v spoločnostiach ako Hewlett-Packard Company alebo Siemens. Dnes je konateľom spoločnosti ReFoMa s.r.o., ktorá pôsobí v oblasti bezpečnosti počítačových sietí a systémovej integrácie už od roku 2008.

 

Veracomp Vás má rád

A preto si nenechajte ujsť vychytávky,
ktoré pre vás pripravujeme každý mesiac.

Naši partneri o nás