Приветствую тебя, уважаемый
читатель!
Данный пост я хочу посвятить
набирающей большую популярность теме управления информационной безопасностью в
организации и выявлению инцидентов ИБ. Для решения данной задачи придуман класс
решений под названием - SIEM. Они позволяют решать большое количество разных
задач, но нам будут интересны следующие:
- получение большого количества разнородных событий от различных сенсоров (IDS/IPS, системные журналы, СУБД, антивирусные системы, средства анализа защищенности и т.д.);
- анализ и сопоставление событий от разных сенсоров между собой;
- удобное отображение информации о состоянии защищенности объектов мониторинга;
- генерация оповещений и регистрация инцидентов ИБ.
Различных SIEM-систем достаточно много
(вот тут приведён достаточно большой список - http://www.anti-malware.ru/analytics/Technology_Analysis/Overview_SECURITY_systems_global_and_Russian_market),
но нас будет интересовать система Splunk. Этот пост первый из цикла, посвященного данной системе и
особенностям работы с ней.
Если коротко – Splunk это система для сбора и хранения всевозможных логов и журналов. При определённом умении Splunk можно превратить в достаточно мощное средство для выявления инцидентов ИБ, этим и займёмся.
Если коротко – Splunk это система для сбора и хранения всевозможных логов и журналов. При определённом умении Splunk можно превратить в достаточно мощное средство для выявления инцидентов ИБ, этим и займёмся.