01/07/2021
Мониторинг Netflow, как ценный источник данных для SIEM-систем
SIEM - это основная система безопасности, используемая в большинстве организаций.
Система класса SIEM - это ключевая аналитическая система для выявления и анализа угроз безопасности в организации. Система согласовывает журналы из различных источников данных (операционные системы, базы данных, сетевые устройства, приложения или системы безопасности) для обнаружения потенциальных угроз и нарушений нормального функционирования безопасности. Видимость угроз в системе зависит не только от качества журналов источников данных, которые подвергаются мониторингу, но также от принципа согласования. Корреляция - это исключительно последовательность определенных событий, которые сигнализируют о возникновении конкретного нарушения безопасности.
Таким образом, при сборе данных из различных источников и помещении их в одно место, важно не забывать о разработке межсистемных корреляций, т.е. корреляциях между журналами, которые появляются в разных системах, но обладают одним или несколькими общими атрибутами (например, IP-адресом). Подробнее с решением можно ознакомиться по ссылке https://komsvenergy.ru/solution/network_flow_monitoring
monitoring, , monitoring, , , source,