Дослідження шляхів та вироблення рекомендацій щодо вибору та застосування SIEM-системи в корпоративній інформаційній систем

Abstract

Метою дипломної роботи є дослідження та аналіз систем управління інформаційною безпекою та подій інформаційної безпеки, тобто систем SIEM. Об’єктом дипломної роботи є SIEM - системи управління інформаційною безпекою та події інформаційної безпеки. Методи дослідження: проведено аналіз методів захисту інформації в компанії з використанням сучасних систем SIEM. Актуальність роботи полягає в тому, що сучасні механізми збору та аналізу журналів не є повністю ефективними, через що зловмисники можуть тривалий час залишатися непоміченими у внутрішній мережі. Результатами проведеної роботи є висновок про те, що інформація надходить з різних джерел - таких як системи DLP, IDS, маршрутизатори, брандмауери, сервери і т. д. Крім того, бувають ситуації, коли на перший погляд нешкідливі події, отримані з різних джерел, разом несуть загрозу. Скажімо, коли лист із конфіденційними даними компанії надсилається особі, яка має на це право, але на адресу, що виходить за межі звичного кола адрес, на які він надсилає. Система DLP може не вловити це, але SIEM, використовуючи накопичену статистику, вже зафіксує інцидент на основі цього.The purpose of the thesis is to study and analyze information security management systems and information security events, i.e. SIEM systems. The object of the research of the thesis is SIEM - information security management systems and information security events. Research methods: an analysis of information security methods in the company using modern SIEM systems. The relevance of the work lies in the fact that modern mechanisms for collecting and analyzing logs are not fully effective, which is why attackers can go unnoticed in the internal network for a long time. The results of this work show that information comes from various sources, such as DLP systems, IDS, routers, firewalls, servers, etc. In addition, there are situations where seemingly harmless events from different sources combine to pose a threat. For example, when an email with confidential company data is sent to a person who is authorized to receive it, but to an address that is outside the usual range of addresses to which it is sent. The DLP system may not catch this, but the SIEM, using the accumulated statistics, will already record an incident based on this.