Kas ir SIEM — drošības informācijas un notikumu pārvaldība?
SIEM (Security Information and Event Management) ir kiberdrošības tehnoloģija, kas apvieno drošības informācijas pārvaldību (SIM) un drošības notikumu pārvaldību (SEM) vienā platformā. SIEM sistēma apkopo, normalizē un analizē žurnālus (logus) no visas organizācijas IT infrastruktūras, meklējot aizdomīgas darbības un potenciālus kiberdraudus.
SIEM ir drošības operāciju centra (SOC) mugurkauls — bez SIEM SOC analītiķi nevarētu efektīvi apstrādāt miljoniem drošības notikumu, kas ikdienā rodas jebkurā vidēja lieluma organizācijā. SIEM pārveido neapstrādātu žurnālu plūsmu par prioritizētiem brīdinājumiem, kas prasa cilvēka uzmanību.
Šajā rakstā detalizēti apskatīsim SIEM darbības principus, galvenās funkcijas, populārākās platformas un to, kā Latvijas uzņēmumi var gūt labumu no SIEM ieviešanas.
Kā darbojas SIEM sistēma
SIEM sistēmas darbība balstās uz vairākiem secīgiem procesiem, kas kopā nodrošina visaptverošu drošības notikumu pārvaldību.
Pirmais posms ir datu vākšana — SIEM apkopo žurnālus no praktiski visiem IT infrastruktūras elementiem: ugunsmūriem, serveriem, darbstacijām, mākoņpakalpojumiem, antivīrusu risinājumiem, Active Directory, VPN, e-pasta serveriem, datubāzēm un lietojumprogrammām. Datu vākšana notiek gan aģentu (agents) palīdzībā, kas instalēti uz ierīcēm, gan bez aģentiem — izmantojot Syslog, Windows Event Forwarding vai API integrācijas.
Otrais posms ir normalizēšana — žurnāli no dažādiem avotiem ir atšķirīgos formātos, un SIEM tos pārveido vienotā struktūrā, lai būtu iespējama salīdzināšana un korelācija. Trešais posms ir korelācija — SIEM piemēro noteikumus (rules) un algoritmus, lai identificētu aizdomīgus notikumu modeļus. Piemēram, vairāki neveiksmīgi pieteikšanās mēģinājumi no dažādām valstīm īsā laika periodā var norādīt uz brute force uzbrukumu.
Ceturtais posms ir brīdināšana — kad tiek konstatēta aizdomīga darbība, SIEM ģenerē brīdinājumu (alert) ar prioritātes līmeni. Piektais posms ir vizualizācija un atskaites — SIEM nodrošina dashboardus un ziņojumus, kas ļauj sekot līdzi drošības stāvoklim reāllaikā un sagatavot atbilstības atskaites.
SIEM galvenās funkcijas un iespējas
Mūsdienu SIEM platformas piedāvā plašu funkcionalitātes klāstu, kas pārsniedz vienkāršu žurnālu vākšanu. Notikumu korelācija ir SIEM centrālā funkcija — sistēma analizē notikumus no dažādiem avotiem kontekstā un identificē saistības, kas norāda uz potenciālu draudu. Piemēram, pieteikšanās no neparastas atrašanās vietas, kam seko liela apjoma datu lejupielāde un jauna administratora konta izveide — katra darbība atsevišķi var būt leģitīma, bet kopā tās veido aizdomīgu modeli.
Draudu izlūkošanas integrācija ļauj SIEM salīdzināt novērotās IP adreses, domēnus un failu hešus ar zināmu draudu indikatoru (IoC) datubāzēm. Tas ļauj identificēt sakarus ar zināmām uzbrucēju grupām vai kampaņām.
Lietotāju un entitāšu uzvedības analīze (UEBA — User and Entity Behavior Analytics) izmanto mašīnmācīšanos, lai izveidotu normālas uzvedības profilus katram lietotājam un sistēmai. Novirzes no normas automātiski tiek atzīmētas kā aizdomīgas.
Forenziskā izmeklēšana ir vēl viena būtiska SIEM funkcija — kad incidents ir noticis, SIEM nodrošina pilnu notikumu vēsturi, kas ļauj rekonstruēt uzbrukuma gaitu, noteikt ietekmes apjomu un identificēt kompromitētās sistēmas.
Atbilstības atskaites automatizē regulatīvo prasību izpildes dokumentēšanu — SIEM var ģenerēt atskaites NIS2, GDPR, PCI DSS un citiem standartiem nepieciešamajā formātā.
Populārākās SIEM platformas
SIEM tirgū pastāv vairāki spēlētāji ar atšķirīgiem pozicionējumiem. Microsoft Sentinel ir mākoņa SIEM platforma, kas ir dabiski integrēta ar Microsoft 365 un Azure ekosistēmu. Tā izmanto mākslīgo intelektu brīdinājumu prioritizēšanai un ir populāra izvēle organizācijām, kas jau plaši izmanto Microsoft produktus.
Splunk Enterprise Security ir viena no visilgāk tirgū esošajām SIEM platformām, kas pazīstama ar jaudīgu meklēšanas un analīzes dzinēju. Splunk piedāvā gan lokālu, gan mākoņa izvietojumu un ir populāra lielo uzņēmumu vidū.
Elastic Security (bāzēta uz Elasticsearch) piedāvā atvērtā koda pamatu ar komerciālām papildiespējām. Tās priekšrocība ir elastīga arhitektūra un spēcīga meklēšanas funkcionalitāte.
Wazuh ir pilnībā atvērtā koda SIEM un XDR platforma, kas ir populāra mazāku organizāciju un pakalpojumu sniedzēju vidū. Tā piedāvā plašu funkcionalitāti bez licences maksām, lai gan prasa tehniskās zināšanas ieviešanai un uzturēšanai.
IBM QRadar, LogRhythm un Sumo Logic ir citas ievērojamas platformas ar specifiskām priekšrocībām dažādos scenārijos. Izvēle ir atkarīga no organizācijas lieluma, esošās infrastruktūras, budžeta un komandas prasmēm.
securIT SOC izmanto vairākas SIEM platformas, pielāgojot izvēli katra klienta specifiskajām vajadzībām un infrastruktūrai.
SIEM loma SOC darbībā
SIEM un SOC ir nesaraujami saistīti — SIEM ir tehnoloģiskais pamats, uz kura balstās SOC darbība. Bez SIEM SOC analītiķiem manuāli būtu jāpārskata žurnāli no desmitiem vai simtiem avotu, kas būtu praktiski neiespējami.
SOC analītiķu darba cikls sākas ar SIEM brīdinājumiem. L1 (pirmā līmeņa) analītiķi apstrādā sākotnējos brīdinājumus — filtrē viltus pozitīvos, veic pamata izmeklēšanu un eskalē sarežģītākus gadījumus. L2 analītiķi veic padziļinātu izmeklēšanu, izmantojot SIEM korelācijas un forenziskās iespējas. L3 analītiķi un draudu mednieki (threat hunters) proaktīvi meklē SIEM datos slēptus draudus, kas nav aktivizējuši brīdinājumus.
SIEM efektivitāte SOC kontekstā ir atkarīga no korelācijas noteikumu kvalitātes. Pārāk sensitīvi noteikumi rada brīdinājumu plūdus (alert fatigue), kas degradē analītiķu efektivitāti. Pārāk toleranti noteikumi var palaist garām reālus draudus. Korelācijas noteikumu nepārtraukta pielāgošana ir kritisks SOC uzdevums.
SOAR (Security Orchestration, Automation and Response) platformas papildina SIEM, automatizējot standarta reaģēšanas darbības — piemēram, automātiski bloķējot aizdomīgu IP adresi vai izolējot kompromitētu ierīci. Tas ļauj SOC komandai fokusēties uz sarežģītākiem incidentiem.
Integrācija ar EDR, NDR un citām drošības platformām nodrošina SIEM plašāku kontekstu un uzlabo draudu noteikšanas precizitāti.
Kāpēc svarīgi Latvijas uzņēmumiem
Latvijas uzņēmumiem SIEM ieviešana ir aktuāla gan no regulatīvā, gan no praktiskā viedokļa. NIS2 direktīva un NKDL pieprasa incidentu atklāšanas un ziņošanas spējas — SIEM ir tehnoloģiskais pamats, kas to nodrošina. Bez SIEM organizācija praktiski nav spējīga savlaicīgi atklāt kiberincidentus un izpildīt 24 stundu ziņošanas termiņu.
CERT.LV statistika apliecina, ka kiberuzbrukumi Latvijā kļūst arvien sofisticētāki — vienkāršs antivīruss un ugunsmūris vairs nepietiek. SIEM nodrošina redzamību visā infrastruktūrā un ļauj identificēt sarežģītus uzbrukumus, kas izmanto vairākus vektorus.
Daudziem Latvijas uzņēmumiem pilnvērtīgas SIEM platformas ieviešana un uzturēšana ar saviem resursiem ir pārāk sarežģīta un dārga. SIEM prasa nepārtrauktu uzturēšanu — noteikumu pielāgošanu, žurnālu avotu pievienošanu, veiktspējas optimizēšanu. Tāpēc managed SIEM vai SOC-as-a-Service modelis ir bieži praktiskāks risinājums.
securIT piedāvā gan SIEM ieviešanas konsultācijas, gan pilnu Managed SOC pakalpojumu, kas ietver SIEM platformu, analītiķu komandu un nepārtrauktu uzraudzību. Mūsu risinājumi sākas no €20 par iekārtu mēnesī, padarot profesionālu drošības uzraudzību pieejamu arī vidēja lieluma uzņēmumiem.
Biežāk uzdotie jautājumi
Kāda ir atšķirība starp SIEM un SOC?
SIEM ir tehnoloģiska platforma — programmatūra, kas apkopo un analizē drošības žurnālus no visas infrastruktūras. SOC ir komanda, procesi un tehnoloģijas kopums, kas izmanto SIEM (un citus rīkus) nepārtrauktai drošības uzraudzībai un incidentu reaģēšanai. SIEM ir instruments, SOC ir pakalpojums. Bez kvalificētas komandas SIEM brīdinājumi paliek neapstrādāti un bezjēdzīgi.
Vai mazam uzņēmumam ir nepieciešams SIEM?
Arī nelieli uzņēmumi gūst labumu no SIEM — it īpaši, ja tie apstrādā sensitīvus datus vai pakļaujas regulatīvām prasībām. Taču SIEM ieviešana un uzturēšana prasa resursus, ko maziem uzņēmumiem bieži trūkst. Optimālais risinājums ir managed SIEM vai SOC-as-a-Service, kur pakalpojuma sniedzējs nodrošina platformu un analītiķus, un uzņēmums maksā prognozējamu ikmēneša maksu.
Cik daudz žurnālu datu SIEM apstrādā?
Žurnālu apjoms ir atkarīgs no organizācijas lieluma un infrastruktūras. Vidēja lieluma uzņēmums ar 200–500 ierīcēm var ģenerēt 5–20 GB žurnālu dienā. Lielas organizācijas — simtiem gigabaitu vai pat terabaitus. SIEM platformu licencēšana bieži ir balstīta uz žurnālu apjomu (GB/dienā vai notikumi/sekundē), kas ietekmē kopējās izmaksas.
Cik ilgs laiks nepieciešams SIEM ieviešanai?
Pamata SIEM ieviešana var aizņemt 4–8 nedēļas, kas ietver platformas instalēšanu, galveno žurnālu avotu pievienošanu un pamata korelācijas noteikumu konfigurēšanu. Pilnvērtīga ieviešana ar visu avotu integrāciju, pielāgotu noteikumu izstrādi un komandas apmācību parasti aizņem 3–6 mēnešus. Svarīgi saprast, ka SIEM nav vienreizējs projekts — tas prasa nepārtrauktu pielāgošanu.
Vai SIEM var darboties mākonī?
Jā — mūsdienu SIEM platformas piedāvā gan mākoņa, gan lokālu, gan hibrīdu izvietojumu. Microsoft Sentinel ir pilnībā mākoņa risinājums, Splunk un Elastic piedāvā abus variantus. Mākoņa SIEM priekšrocības ir elastīga mērogošana, mazākas sākotnējās investīcijas un vienkāršāka uzturēšana. Lokālais izvietojums var būt nepieciešams organizācijām ar stingrām datu rezidences prasībām.