Операційна аналітика як інструмент моніторингу даних та управління подіями систем забезпечення кібербезпеки

Операційна аналітика як інструмент моніторингу даних та управління подіями систем забезпечення кібербезпеки

В умовах зростання попиту на цифровізацію процесів збору, передачі, обробки і зберігання даних у всіх сферах життєдіяльності особи, суспільства та держави виникла гостра необхідність в побудові інфраструктури мереж передачі інформації, що можуть забезпечити захищене з’єднання між центрами обробки д...

Full description

Saved in:
Bibliographic Details
Published in:Доповіді НАН України
Date:2021
Main Authors: Качинський, А.Б., Стремецька, М.С.
Format: Article
Language:Ukrainian
Published: Видавничий дім "Академперіодика" НАН України 2021
Subjects:
Інформатика та кібернетика
Online Access:https://nasplib.isofts.kiev.ua/handle/123456789/180385
Tags: Add Tag
No Tags, Be the first to tag this record!
Journal Title:Digital Library of Periodicals of National Academy of Sciences of Ukraine
Cite this:Операційна аналітика як інструмент моніторингу даних та управління подіями систем забезпечення кібербезпеки / А.Б. Качинський, М.С. Стремецька // Доповіді Національної академії наук України. — 2021. — № 1. — С. 9-16. — Бібліогр.: 7 назв. — укр.

Institution

Digital Library of Periodicals of National Academy of Sciences of Ukraine
id nasplib_isofts_kiev_ua-123456789-180385
record_format dspace
spelling Качинський, А.Б.
Стремецька, М.С.
2021-09-20T15:59:20Z
2021-09-20T15:59:20Z
2021
Операційна аналітика як інструмент моніторингу даних та управління подіями систем забезпечення кібербезпеки / А.Б. Качинський, М.С. Стремецька // Доповіді Національної академії наук України. — 2021. — № 1. — С. 9-16. — Бібліогр.: 7 назв. — укр.
1025-6415
DOI: doi.org/10.15407/dopovidi2021.01.009
https://nasplib.isofts.kiev.ua/handle/123456789/180385
004.047
В умовах зростання попиту на цифровізацію процесів збору, передачі, обробки і зберігання даних у всіх сферах життєдіяльності особи, суспільства та держави виникла гостра необхідність в побудові інфраструктури мереж передачі інформації, що можуть забезпечити захищене з’єднання між центрами обробки даних та кінцевими користувачами. Ці мережі повинні мати високу відмовостійкість, забезпечувати швидку та ефективну обробку інформаційних запитів, особливо якщо це стосується критичної інфраструктури. В статті запропонована оригінальна структурно-функціональна схема управління даними для SIEM-систем, що враховує прямі та зворотні зв’язки фізичного, математичного й аналітичного рівнів, заснована на теорії страт М. Месаровича. Побудовано модель багаторівневої системи моніторингу даних та управління подіями безпеки, що дозволяє реалізувати системний підхід до підтримки стану захищеності складних систем, а також забезпечення механізмів для оперативного реагування на потенційні інциденти кібербезпеки в режимі реального часу.
With growing demand for the digitalization of data collection, transmission, processing and storage processes in all life spheres of individual, society, and state, there is an urgent need to construct an infrastructure of information transmission networks which can provide a secure connection between endpoints and data centers. These networks must have high availability and provide the fast and efficient processing of information requests, especially in case of critical infrastructure networks. A structural functional scheme of data management for SIEM systems which includes straight and reverse relations between physical, mathematical and analytical levels is proposed, based on the stratum theory by M. Messarovich. A model of multilevel system for the data monito ring and cyber security event management is built in order to provide a systematic approach to maintain the safety state of complex systems and to ensure mechanisms for the operative real-time cyber security incident response.
uk
Видавничий дім "Академперіодика" НАН України
Доповіді НАН України
Інформатика та кібернетика
Операційна аналітика як інструмент моніторингу даних та управління подіями систем забезпечення кібербезпеки
Operational analytics as a data monitoring and event management tool of the cyber security management systems
Article
published earlier
institution Digital Library of Periodicals of National Academy of Sciences of Ukraine
collection DSpace DC
title Операційна аналітика як інструмент моніторингу даних та управління подіями систем забезпечення кібербезпеки
spellingShingle Операційна аналітика як інструмент моніторингу даних та управління подіями систем забезпечення кібербезпеки
Качинський, А.Б.
Стремецька, М.С.
Інформатика та кібернетика
title_short Операційна аналітика як інструмент моніторингу даних та управління подіями систем забезпечення кібербезпеки
title_full Операційна аналітика як інструмент моніторингу даних та управління подіями систем забезпечення кібербезпеки
title_fullStr Операційна аналітика як інструмент моніторингу даних та управління подіями систем забезпечення кібербезпеки
title_full_unstemmed Операційна аналітика як інструмент моніторингу даних та управління подіями систем забезпечення кібербезпеки
title_sort операційна аналітика як інструмент моніторингу даних та управління подіями систем забезпечення кібербезпеки
author Качинський, А.Б.
Стремецька, М.С.
author_facet Качинський, А.Б.
Стремецька, М.С.
topic Інформатика та кібернетика
topic_facet Інформатика та кібернетика
publishDate 2021
language Ukrainian
container_title Доповіді НАН України
publisher Видавничий дім "Академперіодика" НАН України
format Article
title_alt Operational analytics as a data monitoring and event management tool of the cyber security management systems
description В умовах зростання попиту на цифровізацію процесів збору, передачі, обробки і зберігання даних у всіх сферах життєдіяльності особи, суспільства та держави виникла гостра необхідність в побудові інфраструктури мереж передачі інформації, що можуть забезпечити захищене з’єднання між центрами обробки даних та кінцевими користувачами. Ці мережі повинні мати високу відмовостійкість, забезпечувати швидку та ефективну обробку інформаційних запитів, особливо якщо це стосується критичної інфраструктури. В статті запропонована оригінальна структурно-функціональна схема управління даними для SIEM-систем, що враховує прямі та зворотні зв’язки фізичного, математичного й аналітичного рівнів, заснована на теорії страт М. Месаровича. Побудовано модель багаторівневої системи моніторингу даних та управління подіями безпеки, що дозволяє реалізувати системний підхід до підтримки стану захищеності складних систем, а також забезпечення механізмів для оперативного реагування на потенційні інциденти кібербезпеки в режимі реального часу. With growing demand for the digitalization of data collection, transmission, processing and storage processes in all life spheres of individual, society, and state, there is an urgent need to construct an infrastructure of information transmission networks which can provide a secure connection between endpoints and data centers. These networks must have high availability and provide the fast and efficient processing of information requests, especially in case of critical infrastructure networks. A structural functional scheme of data management for SIEM systems which includes straight and reverse relations between physical, mathematical and analytical levels is proposed, based on the stratum theory by M. Messarovich. A model of multilevel system for the data monito ring and cyber security event management is built in order to provide a systematic approach to maintain the safety state of complex systems and to ensure mechanisms for the operative real-time cyber security incident response.
issn 1025-6415
url https://nasplib.isofts.kiev.ua/handle/123456789/180385
citation_txt Операційна аналітика як інструмент моніторингу даних та управління подіями систем забезпечення кібербезпеки / А.Б. Качинський, М.С. Стремецька // Доповіді Національної академії наук України. — 2021. — № 1. — С. 9-16. — Бібліогр.: 7 назв. — укр.
work_keys_str_mv AT kačinsʹkiiab operacíinaanalítikaâkínstrumentmonítoringudanihtaupravlínnâpodíâmisistemzabezpečennâkíberbezpeki
AT stremecʹkams operacíinaanalítikaâkínstrumentmonítoringudanihtaupravlínnâpodíâmisistemzabezpečennâkíberbezpeki
AT kačinsʹkiiab operationalanalyticsasadatamonitoringandeventmanagementtoolofthecybersecuritymanagementsystems
AT stremecʹkams operationalanalyticsasadatamonitoringandeventmanagementtoolofthecybersecuritymanagementsystems
first_indexed 2025-11-26T01:45:37Z
last_indexed 2025-11-26T01:45:37Z
_version_ 1850606054410289152
fulltext 9 ОПОВІДІ НАЦІОНАЛЬНОЇ АКАДЕМІЇ НАУК УКРАЇНИ ІНФОРМАТИКА ТА КІБЕРНЕТИКА INFORMATICS AND CYBERNETICS ISSN 1025-6415. Допов. Нац. акад. наук Укр. 2021. № 1: 9—16 Ц и т у в а н н я: Качинський А.Б., Стремецька М.С. Операційна аналітика як інструмент моніторингу да- них та управління подіями систем забезпечення кібербезпеки. Допов. Нац. акад. наук Укр. 2021. № 1. С. 9—16. https://doi.org/10.15407/dopovidi2021.01.009 Безпека складних багаторівневих ієрархічних систем, у тому числі таких як національна сис тема оплати комунальних послуг [1], визначається як здатність систем мінімізувати ризики для основних об’єктів захисту не тільки в умовах виникнення та існування загроз, але й у разі їх реалізації, зберігаючи при цьому свою структуру незмінною [2, ст. 489]. Ключовою умовою функціонування таких мереж є постійна та всеохоплююча підтримка стану захищеності, а також забезпечення механізмів для оперативного реагування на по- тенційні інциденти кібербезпеки в режимі реального часу. https://doi.org/10.15407/dopovidi2021.01.009 УДК 004.047 А.Б. Качинський 1, М.С. Стремецька 2 1 Інститут телекомунікацій і глобального інформаційного простору НАН України, Київ 2 Фізико-технічний інститут НТУ України “Київський політехнічний інститут ім. Ігоря Сікорського” E-mail: akachynsky@gmail.com, mira.stremetska@gmail.com Операційна аналітика як інструмент моніторингу даних та управління подіями систем забезпечення кібербезпеки Представлено членом-кореспондентом НАН України О. М. Трофимчуком В умовах зростання попиту на цифровізацію процесів збору, передачі, обробки і зберігання даних у всіх сфе рах життєдіяльності особи, суспільства та держави виникла гостра необхідність в побудові інфра- структури мереж передачі інформації, що можуть забезпечити захищене з’єднання між центрами оброб- ки даних та кінцевими користувачами. Ці мережі повинні мати високу відмовостійкість, забезпечувати швидку та ефективну обробку інформаційних запитів, особливо якщо це стосується критичної інфра- струк ту ри. В статті запропонована оригінальна структурно-функціональна схема управління даними для SIEM-систем, що враховує прямі та зворотні зв’язки фізичного, математичного й аналітичного рівнів, за- снована на теорії страт М. Месаровича. Побудовано модель багаторівневої системи моніторингу даних та управління подіями безпеки, що дозволяє реалізувати системний підхід до підтримки стану захище- ності складних систем, а також забезпечення механізмів для оперативного реагування на потенційні ін- циденти кібербезпеки в режимі реального часу. Ключові слова: Security Information and Event Management (SIEM), Threat Intelligence Platform (TIP), уп равління подіями кібербезпеки, моніторинг даних, теорія страт. 10 ISSN 1025-6415. Dopov. Nac. akad. nauk Ukr. 2021. № 1 А.Б. Качинський, М.С. Стремецька Першочерговою виступає задача моніторингу інформації, що стосується подій бе з- пеки комп’ютерних мереж та систем, зібраної за допомогою різноманітних сенсорів. Всі вони генерують різні види даних, а також створені фахівцями для різних цілей. Тому кожен лише частково відображає стан захищеності об’єктів мережі. Відомості щодо подій безпеки розподіляються по величезній кількості мережевого трафіку та системних журналів, тому ефективний аналіз стану захищеності мережі пот ре- бує швидкої обробки великих об’ємів даних. Переважна кількість мережевого трафіку не містить ніякої потенційної інформації про аномальну поведінку, що регулярно повторюється, на тлі чого реально корисну інфор- мацію має вкрай незначна її кількість. Таким чином, збір необхідного обсягу інформації для відтворення рідкісних подій безпеки є критичним технічним зусиллям. Розробка адекватної структури обробки даних мережевого трафіку вимагає розуміння того, яким чином різні сенсори здійснюють збір даних, як вони доповнюють, дублюють і взаємодіють один з одним, а також розуміння принципів ефективного зберігання даних, що забезпечують їх ефективний аналіз. Наведені вище факти вказують на те, що система моніторингу даних та управління подіями безпеки (СМДУПБ) складається з сукупності взаємодіючих ієрархічно впоряд- кованих елементів з наданим правом ухвалення рішень, що описується з позиції теорії систем [3, 4]. Метою цієї роботи є визначення структурно-функціональних особливостей формалі- зації моделі багаторівневого управління кібербезпекою складних систем з ієрархічною структурою на основі теоретико-множинного підходу. Для моделі обробки даних мережевого трафіку такою багаторівневою структурою може бути страта. Стратифікована система або стратифікований опис — це сімейство моделей, кожна з яких описує поведінку системи з погляду різних рівнів абстрагування. На кожній страті в ієрархії структур існує свій власний набір змінних, що дозволяють значною мірою обмежити дослідження лише однією стратою [5, с. 56, 103—106]. Узагальнена структурна схема системи моніторингу даних та управління подіями без- пеки є ієрархічною структурою, що пропонується для подальшого розгляду, зображена на рис. 1, тут кожна зі страт має свої характерні особливості, свій набір змінних, законів і прин- ципів. Тому головним завданням є розробка низки математичних моделей, кожна з яких описувала би поведінку СМДУПБ з погляду різних рівнів абстрагування: фізичного, мате- матичного й аналітичного. Відправним пунктом для стратифікованого опису технологічного стеку системи мо- ніторингу даних та управління подіями безпеки S : →X Y є припущення про те, що мно- жина зовнішніх стимулів X і множина відгуків Y представляються у вигляді декартових добутків, а саме вважаються заданими два сімейства множин: , 1 3, , 1 3,i iX i Y i i∈    , таких що 1 3 1 3... i ...X X X Y Y Y= × × = × × (1) Це припущення означає можливість розбиття відгуків і вхідних стимулів на компо- ненти. Якщо множини X і Yможуть бути представлені у вигляді (1), то кожна пара ( , ),i iX Y 1 3,i i∈  , приписується певній страті. 11ISSN 1025-6415. Допов. Нац. акад. наук Укр. 2021. № 1 Операційна аналітика як інструмент моніторингу даних та управління подіями систем... Формалізуючи задану модель, визначаємо: 0 1[ , ,..., ] i i i i i nX X X X= — вектор вхідних стимулів підсистеми i-го ієрархічного рівня; 0 1[ , , ..., ] i i i i i nY Y Y Y= — вектор вихідних відгуків підсистеми i-го ієрархічного рівня. Побудуємо за правилами теоретико-множинного підходу розбиття множини Ŝ струк- турно-функціональних елементів, блоків, зв’язків та змінних системи S на упорядкова ну сукупність 1 2 3, ,S S S S= á ñ . Процедура формалізованого розбиття множини Ŝ повинна задовольняти наступним трьом умовам: ∀ ∈ : ;ˆi iS S S SÍ (2) ∀ ∈ ≠ → ∩ =∅, :i j i j i jS S S S S S S ; (3) ∈ = ˆ i i S S S S . (4) Введемо додаткову умову (5), що задає порядок взаємодії стимулів і відгуків стра ти фі- кованої за умовами (2)—(4) багаторівневої системи S типу “вхід—вихід”: ( , )i i iX Y S∀ ∈ . (5) Таким чином i-а страта системи S — це підсистема, що представлена як набір відо б- ражень ∈ , 1 3,iS i i : 1) × →3 3 3 3:S X W Y ; 2) × × →2 2 2 2 2:S X C W Y ; 3) × →1 1 1 1:S X C Y . Сімейство визначених таким чином підсистем iS називається стратифікацією сис- теми S , якщо існує два сімейства відображень +→ ( 1):i i ih Y W , <1 3i та c i : Y i → C i–1, < 1 3i , ∈i , X3 X2 X1 Y3 C2 W3 C1 W2 Y2 Y1 • Збір, обробка та аналіз даних розвідки загроз засобами ТІР; • Моніторінг вхідних даних та управління подіями безпеки інструментами SIEM; • Візуальна аналітика, формування звітів. • Збір, нормалізація, парсинг і зберігання даних; • Вибір математичних моделей, розробка метрик та кореляційних правил. • Вимірювання фізичних параметрів засобами датчиків, сенсорів, контролерів; • Надання доступу до вхідних даних прикладним системам. Рівень аналітики (машинного навчання) Математичний рівень Фізичний рівень Рис. 1. Ієрархія страт системи моніторингу даних та управління подіями безпеки 12 ISSN 1025-6415. Dopov. Nac. akad. nauk Ukr. 2021. № 1 А.Б. Качинський, М.С. Стремецька такі, що для кожного елемента x з X і = ( )y S x : 1) =3 3 3 2 2 ),( ( )y S x h y ; 2) 2 2 2 3 3 1 1( ( ), ( )),y S x c y h y= ; 3) 1 1 1 2 2 ),( ( )y S x c y= . Множина iY складається з відгуків і-ої страти: iC і iW представляють собою мно жи- ну стимулів, що надходять зі страт, дотичних до і-ої страти згори і знизу відповідно. Відображення ih і ic називаються інформаційною функцією і розподільною функцією і-ої страти відповідно. Вони зв’язують страти разом, утворюючи систему S . 1. Страти. Рівні опису та абстрагування. Стратифікуємо розглянуту вище багаторів- не ву ієрархічну систему з точки зору організації системи моніторингу даних та аналізу по- дій безпеки (див. рис. 1). Перші два рівні відповідають за збір, нормалізацію, парсинг та зберігання даних з ме- реж, систем безпеки, хостів та надання доступу до цих даних визначеним інструментам мо- ніторингу та звітності. Фізичний рівень включає моніторинг мережевої інфраструктури, а саме моніторинг: — зовнішніх факторів (температура, електроживлення і т. д.); — портів (поточний стан, доступність); — стану процесорів; — пам’яті; — інших параметрів в залежності від особливостей мережевого обладнання. Математичний рівень включає моніторинг прикладних систем, телеметрії комп’ютерних мереж та систем безпеки, серед яких — міжмережеві екрани; — комутатори, маршрутизатори, безпровідні точки доступу; — VPN шлюзи; — системи IPS/IDS; — системи управління IAM/IAD/PAM; — системи захисту від DDOS; — системи аналізу мережевого трафіку; — системи захисту від шкідливого ПЗ; — веб-проксі/шлюзи; — поштові проксі/шлюзи; — системні журнали (логи) серверів, операційних систем та прикладних сервісів; — Active Directory; — пісочниці (Sandboxes) та ін. Третій рівень відповідає за аналітику даних, сформованих на основі двох попередніх рівнів та включає наступні компоненти вхідних даних. Дані аналітики безпеки: — дані розвідки загроз (Threat Intelligence, TI); — дані розвідки вразливостей (Vulnerability Intelligence, VI). 13ISSN 1025-6415. Допов. Нац. акад. наук Укр. 2021. № 1 Операційна аналітика як інструмент моніторингу даних та управління подіями систем... Індикатори компрометації (Indicators of Compromise, IOCs): сигнатури вірусів; IP-aдреси; MD-5 хеші файлів шкідливого ПЗ; URL-адреси або доменні імена серверів контролю та управління ботнет—мережами. Стандарти і політики безпеки. 2. Стратифікований опис системи. Базовим терміном для пояснення ролі фізичної страти виступає датчик як елемент контролюючого пристрою системи, що виконує безпо- середнє вимірювання значень параметрів системи та інтерпретує отриману інформацію в зручний для передачі сигнал. Відомо, що датчик (сенсор, від англ. sensor) — це поняття в системах управління, пер- винний перетворювач, елемент вимірювального, сигнального, регулюючого або управляю- чого пристрою системи, що перетворює контрольовану величину в зручний для викорис- тання сигнал. Датчики перетворюють контрольовану величину (температуру, напругу, час- тоту процесора тощо в сигнал (електричний, оптичний тощо), зручний для вимірювання, передачі, перетворення, зберігання і реєстрації інформації про стан об’єкта вимірювань [6]. Услід за Коллінсом [7], під категорією “сенсор” ми розуміємо будь-що: тобто від дзер- калювання трафіку до системного журналу міжмережевого екрану, — того, що фіксує дані про фільтрацію мережевого трафіку та може бути використаним для оцінки як інформа- ційної, так і кібернетичної безпеки. Мережа таких датчиків: як апаратних (на фізичному рівні), так і програмних (на мате- матичному рівні), дозволяє сформувати вектори вхідних даних 1 2,x x множини зовнішніх стимулів X для фізичної 1S та математичної 2S страти системи S відповідно. Нехай 1 1 1 1 1 1 0 1 2[ , , ], , nx x x x x= … — вектор вхідних параметрів підсистеми 1S , 20 1 2 2 2 2 2 2[ , , ], , nx x x x x= … — вектор вхідних параметрів підсистеми 2S , тоді 10 1 1 1 1 1 2 1[ , , ], , ny y y y y= … — вектор вихідних параметрів підсистеми 1S , а 20 1 2 2 2 2 2 2[ , , ], , ny y y y y= … — вектор вихідних параметрів підсис- теми 2S . Фізичний рівень. Розглянемо архітектуру фізичного рівня ієрархії (рис. 2). На фізичному рівні ієрархії мережа апаратних датчиків виконує вимірювання фізич- них параметрів системи 1 1 1 1 1 1 0 1 2[ , , ], , nx x x x x= … . Розглянемо детальніше вектор вхідних па- раметрів першої страти: 1 0x — стан процесора (завантаженість, температура, споживання електроенергії тощо); 1 1x — стан пам’яті (заповненість, швидкість зчитування/запису тощо); 1 2x — поточній стан портів, їх доступність (0 або 1); 1 3x — стан іншого мережевого обладнання. Рис. 2. Стратифікований опис фізичного рівня ієрархії 14 ISSN 1025-6415. Dopov. Nac. akad. nauk Ukr. 2021. № 1 А.Б. Качинський, М.С. Стремецька На основі цих даних з урахуванням керуючого впливу розподільної функції другого рівня ієрархії 2 2( )c y отримуємо вихідні значення 1y : 1 1 1 2 2 ),( ( )y S x c y= . Інформаційна функція 1 1( )h y передає значення вихідних параметрів підсистеми 1S , впливаючи на значення вихідних параметрів підсистеми 2S . Математичний рівень. Розглянемо архітектуру математичного рівня ієрархії (рис. 3). На математичному рівні ієрархії мережа прикладних сенсорів виконує вимірювання па- раметрів прикладних системи 20 1 2 2 2 2 2 2[ , , ], , nx x x x x= … . Загалом може існувати багато різних джерел даних для цього рівня, кожен із яких пара- метризується заздалегідь визначеним чином (кожному потоку відповідає хост, джерело та тип джерела як, наприклад, для Splunk ES), а також індексується місце, куди надсилаються дані з кожного такого джерела (наприклад, індексер для Splunk ES). Всі ці значення допо- магають визначити походження тих чи інших даних при потраплянні до SIEM-системи, проте необхідно виділити серед них такі: 2 0x — дані щодо подій безпеки та системні журнали (для прикладу, можуть передава- тись у вигляді Syslog трафіку); 2 1x — телеметрія мережевих пристроїв (типово передається за стандартом NetFlow); 2 2x — захоплення мережевих пакетів (PCAP файли). На основі цих даних з урахуванням керуючого впливу розподільної функції третього рівня ієрархії 3 3( )c y та інформаційної функції першого рівня ієрархії 1 1( )h y отримуємо вихідні значення 2y : 2 2 2 3 3 1 1( ( ), ( )),y S x c y h y= . Інформаційна функція 2 2( )h y передає значення вихідних параметрів підсистеми 2S , впливаючи на значення вихідних параметрів підсистеми 3S . Рівень аналітики. Розглянемо архітектуру рівня аналітики (рис. 4). На рівні аналітики виконується збір, обробка та аналіз даних розвідки загроз засобами платформи розвідки загроз (TIP), а також проводиться моніторинг та аналітична обробка вхідних даних фізичного та математичного рівня з залученням даних розвідки вразливос- тей (SIEM), індикаторів компрометації та політик безпеки 30 1 3 3 3 3 2 3[ , , ], , nx x x x x= … , що по- стійно оновлюються. Важливо, щоб усі джерела TI, VI, IOCs були достовірними, актуальними і належним чином підтримували процес автоматичного прийняття рішень щодо стану безпеки засобами Рис. 3. Стратифікований опис математичного рівня ієрархії 15ISSN 1025-6415. Допов. Нац. акад. наук Укр. 2021. № 1 Операційна аналітика як інструмент моніторингу даних та управління подіями систем... SIEM на основі заздалегідь визначених метрик та кореляційних правил. Саме тому регуляр- не надходження та оновлення наступних даних є критично важливими для ефективної ро- боти системи моніторингу даних та управління подіями безпеки: 2 0x — дані аналітики безпеки (TI, VI); 2 1x — індикатори компрометації (IOCs); 2 2x — стандарти та політики безпеки. На основі цих даних з урахуванням керуючого впливу інформаційної функції другого рівня ієрархії 2 2( )h y отримуємо вихідні значення 3y : 3 3 3 2 2, ( ))(y S x h y= . Розподільна функція 3 3( )c y передає значення вихідних параметрів підсистеми 3S , впливаючи на значення вихідних параметрів підсистеми 2S . Висновки. Теоретико-множинний підхід для визначення структурно-функціональних особливостей побудови моделі багаторівневої системи моніторингу даних та управління по- діями безпеки є продуктивним як з погляду вибору оптимальних стратегій збору даних, так і узагальненої стратифікації організаційних і технологічних рівнів управління системами забезпечення безпеки. Модель обробки мережевого трафіку удосконалюється за допомогою розбиття мно- жини структурно-функціональних елементів, блоків, підсистем і зв’язків між ними на упо- рядковану сукупність підмножин, стратифікованих за фізичними, математичними та ана- літичними ознаками, що дозволяє встановити порядок взаємодії впливів і відгуків у багато- рівневих системах моніторингу даних та управління подіями безпеки. Структурно-функціональна схема управління даними для SIEM-систем, що враховує прямі і зворотні зв’язки фізичного, математичного й аналітичного рівнів наразі є найбільш формалізованим і універсальним підходом математичного моделювання систем управлін- ня подібного типу. Перспективи подальшого розвитку і застосування запропонованої багаторівневої мо- делі системи моніторингу даних та управління подіями безпеки полягають у можливостях прозорої формалізації цільових функцій та здійснення структурно-параметричної опти- мізації систем забезпечення кібербезпеки. Рис.4. Стратифікований опис рівня аналітики 16 ISSN 1025-6415. Dopov. Nac. akad. nauk Ukr. 2021. № 1 А.Б. Качинський, М.С. Стремецька ЦИТОВАНА ЛІТЕРАТУРА 1. Стремецька М. Оцінка пріоритетів механізмів кіберзахисту національної системи оплати комунальних послуг за допомогою методу аналізу ієрархій. Захист інформації. 2019. 21, № 2. С. 129—137. http://doi. org/10.18372/2410-7840.21.13704 2. Качинський А. Б. Безпека складних систем. Київ: Юстон, 2017. 498 с. 3. Волкова В. Н., Денисов А. А. Теория систем. Учеб. пособие. Москва: Высшая школа, 2006. 511 с. 4. Капур К., Ламберсон Л. Надежность и проектирование систем. Москва: Мир, 1980. 608 c. 5. Месарович М., Мако Д., Такахара И. Теория иерархических многоуров невых систем. Москва: Мир, 1973. 344 с. 6. Датчики: справочное пособие. Шарапов В.М., Полищук Е.С. (ред.). Москва: Техносфера, 2012. 624 с. 7. Collins M. Network security through data analysis. O’Reilly Media, Inc., 2014. 327 p. Надійшло до редакції 14.12.2020 REFERENCES 1. Stremetska, M. (2019). Priorities Evaluation of Cyber Defense Mechanisms of National Utilities Payment System Through the Use of the Analytic Hierarchy Process. Ukr. Inform. Security Research Journal, 21, No. 2, pp. 129-137 (in Ukrainian). http://doi.org/10.18372/2410-7840.21.13704 2. Kachynskyi, A. B. (2017). Bezpeka skladnykh system. Kyiv: Yuston. [in Ukrainian] 3. Volkova, V. N., & Denisov, A. A. (2006). Teoriya sistem. Moscow: Vysshaya shkola. (in Russian). 4. Kapur, K., & Lamberson, L. (1980). Nadezhnost’ i proektirovanie sistem. Moscow: Mir. (in Russian). 5. Messarovich, M., Mako, D., & Takahara, I. (1973). Theory of hierarchical multilevel systems. Moscow: Mir. (in Russian). 6. Sharapov, V. M., Polishchuk, E. S., Koshevoy, N. D., Ishanin, G. G., Minaev, I. G., & Sovlukov, A. S. (2012). Datchiki: spravochnoe posobie. Moscow: Tekhnosfera. (in Russian). 7. Collins, M. (2014). Network security through data analysis. CA, USA: O’Reilly Media, Inc. Received 14.12.2020 A.B. Kachynskyi 2, M.S. Stremetska 1 1 Institute of Telecommunications and Global Information Space of the NAS of Ukraine, Kyiv 2 Institute of Physics and Technology NTU of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute” E-mail: akachynsky@gmail.com, mira.stremetska@gmail.com OPERATIONAL ANALYTICS AS A DATA MONITORING AND EVENT MANAGEMENT TOOL OF THE CYBER SECURITY MANAGEMENT SYSTEMS With growing demand for the digitalization of data collection, transmission, processing and storage processes in all life spheres of individual, society, and state, there is an urgent need to construct an infrastructure of infor- mation transmission networks which can provide a secure connection between endpoints and data centers. These networks must have high availability and provide the fast and efficient processing of information requests, espe- cially in case of critical infrastructure networks. A structural functional scheme of data management for SIEM systems which includes straight and reverse relations between physical, mathematical and analytical levels is proposed, based on the stratum theory by M. Messarovich. A model of multilevel system for the data monito ring and cyber security event management is built in order to provide a systematic approach to maintain the safety state of complex systems and to ensure mechanisms for the operative real-time cyber security incident response. Keywords: Security Information and Event Management (SIEM), Threat Intelligence Platform (TIP), cyber se cu- rity event management, data monitoring, stratum theory.

Similar Items