Системи керування подіями інформаційної безпеки призначені для
збирання і кореляційної обробки даних про події у інформаційно- телекомунікаційній системі з метою раннього виявлення інцидентів інформаційної безпеки. Системи керування подіями інформаційної безпеки згідно з НД ТЗІ 2.5- 004 реалізують послугу НР-4, оскільки, як правило, не реалізують заходів попередження інцидентів. Окремі системи керування подіями інформаційної безпеки мають інтерфейси, з використанням яких адміністратор може запрограмувати певні дії у відповідь. Системи керування подіями інформаційної безпеки збирають інформацію про події у інформаційно-телекомунікаційній системі з наступних джерел: – журнали аудиту; – дані систем моніторингу; – дані систем виявлення вторгнень; – дані Netflow з мережевих пристроїв та ін. Етапи обробки даних у системі керування подіями інформаційної безпеки включають наступні етапи: – нормалізація; – пріоретизація; – відкидання хибно-позитивних повідомлень; – аналіз і пошук корреляцій між подіями; – формування і видача повідомлень. Для того, щоб ефективно виконувати пошук кореляцій між подіями з різних джерел необхідно виконати їх нормалізацію — описати кожну подію у єдиному наборі атрибутів. Такий набір атрибутів визначено у RFC 4765, який визначає формат обміну даними про виявлення вторгнень (Intrusion Detection Message Exchange Format). На етапах пріоретизації та відкидання хибно-позитивних повідомлень визначаються повідомлення про події, які не мають значення для подальшого аналізу. Для формування загального уявлення про вторгнення виконується аналіз і пошук корреляцій між подіями. Пошук виконується за деякими політиками (наборами правил) і за допомогою статистичних методів. За результатами аналізу формуються повідомлення для адміністратора. Системи керування подіями інформаційної безпеки складаються з наступних основних компонентів: – адаптери; – база даних; – ядро обробки повідомлень; – компоненти відображення результатів. Адаптери призначені для приймання даних від різних джерел та їх нормалізації та представлення у форматі IDMEF. Для кожного джерела, як правило, використовується окремий адаптер. Якщо системи виявлення вторгнень підтримують експорт даних у форматі IDMEF, то адаптер не потрібен. Повідомлення, отримані від джерел, після нормалізації записується у базу даних. Ядро обробки повідомлень виконує аналіз і пошук корреляцій між подіями. Результати відображаються адміністратору.