Система корелювання подій та управління ІТ інцидентами на об’єктах критичної інфраструктури

Abstract

Було проведено аналіз сучасних підходів до управління ІТ-інцидентами на об'єктах критичної інфраструктури (КІ) з метою виявлення їх переваг та недоліків. Аналіз підходів до виявлення аномалій у хмарному середовищі показав, що кожен метод виявлення має свої переваги та краще працює для певних наборів даних, але жоден не є універсальним і не може виявити всі сто відсотків шкідливих програм. Аналіз сучасних типів баз даних, що використовуються в SIEM-системах, показав, що кожен з їх типів залишається актуальним у своїй галузі, де зв'язки між даними визначаються специфічною структурою СУБД, а використання однієї бази даних для всіх цих завдань не відповідає вимогам архітектури та безпеки. An analysis of modern approaches to IT incident management on critical infrastructure (CI) facilities was conducted to identify their advantages and disadvantages. The analysis of approaches to anomaly detection in the cloud environment found that each detection method has its advantages and works better for certain data sets, but none is universal and cannot detect all one hundred percent of malicious programs. An analysis of modern types of databases used in SIEM systems showed that each of their types remains relevant in its own field, where the relationships between data are determined by the specific structure of the DBMS, and using one database for all these tasks does not meet the requirements of architecture and security.