Интеграция с SIEM-системами
Технология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений, и позволяет реагировать на них до наступления существенного ущерба
Зачем это нужно?
SIEM (Security Information and Event Management) – это системы управления информацией о безопасности и событиями безопасности.
Их предназначение:
— обнаружить;
— локализовать;
— устранить угрозу информационной безопасности до того, как они нанесут ущерб компании.
В основе алгоритмов работы подобных систем лежит онлайн-мониторинг событий и анализ нетипичного поведения компонентов информационных систем.
Для этого SIEM-система должна уметь:
Как правило, компонентами SIEM-систем являются:
При интеграции с биллингом SIEM-система наиболее полной будет на самом начальном этапе обработки первичных данных, то есть на этапе работы агентов сбора информации.
При этом уровень коллектора максимально важен с точки зрения приведения собранной информации от разных источников к общему знаменателю, т.к. различные источники данных могут одному и тому же событию, с точки зрения безопасности, давать разные наименования и трактовки.
Интеграция биллинга и SIEM-системы – задача, успех которой зависит исключительно от правильного взаимодействия обеих сторон.
Модуль взаимодействия
АСР Platex® имеет свою классификацию событий, регистрируемых во внутренних журналах. Эти журналы позволяют делать выгрузку в промежуточные форматы для их дальнейшей обработки:
Практически к любому журналу событий есть доступ через REST API.
Например, есть задача в части интеграции АСР Platex® с SIEM-системой MaxPatrol по обнаружению попыток несанкционированного доступа к персональным данным абонента или тарифам оператора.
Задача может быть решена как через предоставление администратору MaxPatrol необходимого REST API, по которому SIEM-агенты будут самостоятельно забирать данные из внутренних логов, так и через настройку администратором биллинга автоматической выгрузки в промежуточный согласованный формат.
Все зависит от того, какая модель интеграции будет выбрана и какая из систем будет мастером, а какая помощником в данном взаимодействии.
В интеграции главное предварительно согласовать перечень событий и сопоставить их внутреннюю классификацию в АСР Platex® с классификацией коллекторов MaxPatrol.