Обзор на «СёрчИнформ SIEM» – как система позволяет решать задачи реальной безопасности и закрывает требования ФЗ

Обзор на СёрчИнформ SIEM  как система позволяет решать задачи реальной безопасности и закрывает требования ФЗ

Только 15% российских компаний – обладатели SIEM-систем. Для средних и малых компаний они были до сих пор дороги и не нужны. Но рост кибератак и ужесточение законов (из последнего – радикальное усиление ФЗ-152) заставляют присмотреться к SIEM и тех, кто раньше о таком ПО не думал.

Расскажем, чем «СёрчИнформ SIEM» может помочь в нынешней ситуации.

Что такое SIEM

Зачем вообще нужны SIEM-системы? Если говорить о базовых группах задач, это инвентаризация, аудит безопасности инфраструктуры и умение находить типовые угрозы. «СёрчИнформ SIEM» выполняет их все и успешно отслеживает риски. Как минимум:

  • Подбор паролей.
  • Изменение конфигураций и настроек.
  • Попытки нелегитимного доступа к сети или ее сегментам.
  • Взломы, DDoS- и другие кибератаки.
  • Вирусные заражения и эпидемии.
  • Сбои и ошибки в работе ПО, перегрев оборудования и т.д.

Как работает «СёрчИнформ SIEM».

  1. Собирает «фактуру»

В SIEM сбором данных от железа и ПО занимаются коннекторы, которые позволяют вычитывать логи из наиболее популярных источников.

В «СёрчИнформ SIEM» 30+ коннекторов, чтобы вычитывать логи из наиболее популярных средств ИБ, прикладного софта и оборудования, а также распространенные протоколы передачи данных: SNMP, NetFlow и т.д. Список постоянно пополняется. В зависимости от того, как устроены источники, сбор данных может происходить по трем сценариям: или через прямое подключение к источнику, или с самостоятельной отправкой данных от источника к серверу, ну, или через агента (если источник поддерживает агентский режим работы). Это обеспечивает гибкость SIEM-системы – ее легко адаптировать под любую инфраструктуру.

Но сколько бы коннекторов не было «под капотом» – заказчикам их может быть недостаточно, надо писать собственные. Не у всех вендоров этот процесс организован удобно.

Как устроено у нас.

В «СёрчИнформ SIEM» можно подключить устройства, для которых нет специальных коннекторов через протоколы event log, syslog и SNMP. Для всех остальных случаев есть CustomConnector, работать с которым можно не зная языков программирования.

  1. Обнаружение проблем – правила и корреляции событий

С подключением каждого нового источника в систему валится огромное количество событий. Опасные помогают выявлять правила. Это заданные в программе описания инцидентов: если событие обладает такими-то характеристиками, скорее всего, у вас проблемы.

«СёрчИнформ SIEM» описывает инциденты очень подробно: одно событие в зависимости от типа включает от 9 до более чем 60 характеристик. Мы изначально настроили нормализацию инцидентов для всех коннекторов под требования безопасности, так что администратору не придется самостоятельно определять важность того или иного поля для события.

Софт поставляется с предустановленными правилами (их более 300). Это корреляции, которые мы прописывали на основе многолетнего опыта работы с заказчиками. Если правил не хватит, на их основе можно создать любое количество новых.

Самостоятельное написание правил может вызвать сложности. Это и вопрос понимания «анатомии» инцидентов, и знание языков программирования. В «СёрчИнформ SIEM» ничего кодить не нужно. Встроенный редактор правил реализован в графическом интерфейсе, где также есть конструктор регулярных выражений.

Простые правила корреляции предназначены для выявления самых распространенных, однозначно угрожающих ситуаций (таких, как вирусное заражение). Но бывают случаи, когда об угрозе может сказать не одно событие, а их сочетание.

Например, создание новой учетной записи Windows – вроде бы рядовое событие, но если от имени этой учетки в течение часа после создания запускается бэкап основной рабочей базы данных – это как минимум странно, как максимум – опасно.

Выявить такие инциденты позволяют кросс-корреляция: инструмент, чтобы находить закономерности между алертами от разных коннекторов.

В «СёрчИнформ SIEM» создать правило кросс-корреляции просто: нужно выбрать нужные значения из списка источников (коннекторов), событий (идентификаторов) и атрибутов. Кроме того, потребуется задать объединяющие условия: например, чтобы сообщения о событиях поступали с одного ПК или от одной учетной записи. И задать временные рамки: события будут считаться взаимосвязанными, если произойдут одно за другим в течение определенного периода.

Даже сложные правила кросс-корреляции у нас можно «накликать мышкой» в графическом интерфейсе.

  1. Расследование

Один из важных нюансов при выборе системы – то, как с собранной фактурой можно работать и насколько это удобно. При разработке «СёрчИнформ SIEM» делали специальный акцент на простоту работы. Расскажем, какие инструменты работы с инцидентами есть в системе.

Дашборд с виджетами

Здесь собрана самая важная информация: статистика инцидентов, трафик событий по коннекторам или пользователям, флаги правил для наиболее критичных коннекторов и т.п. Этот дашборд можно настроить под себя: выбрать отчетный период, частоту обновлений, источник данных, коннекторы/правила и/или пользователей, по которым система отобразит сводку, а также вид графического представления (круговая диаграмма, график, гистограмма и т.п.).

Сканер сети

Отвечает за инвентаризацию инфраструктуры, показывает все подключенные узлы: компьютеры, роутеры, свитчи, принтеры и прочее оборудование. Сканер помогает обнаружить открытые порты и отследить попытки несанкционированного подключения новых устройств.

Сканер уязвимостей

Это отдельный функционал для обнаруженных портов. Отчет доступен по клику по номеру порта. Он показывает список уязвимостей, актуальных для данного ПО или устройства, благодаря данным из vulnerability-баз.

Карта подключений

Она показывает, за какими ПК авторизованы какие пользователи. Плюс к этому карта отражает поведение объектов в IT-инфраструктуре: связи с другими узлами сети, тип и статус подключений – интерактивный, сетевой и др., и их подробный анализ – всех сразу или точечно по пользователям/ПК.

Карта инцидентов

Помогает составить общую картину, где, когда и сколько инцидентов ИБ произошло за заданный период, в «СёрчИнформ SIEM» есть. Она отображает все ПК и пользователей в системе и «подсвечивает» проблемные точки: например, если отфильтровать компьютеры, по которым за день было больше 10 000 событий.

Вкладка «Инциденты»

Там события рассортированы по правилам за выбранный период (сегодня, вчера, неделю назад и т.д.). Для каждого правила отображается число непросмотренных инцидентов, которые требуют реакции, а также их общее количество.

Уведомления, чтобы не пропустить опасность

Специалист, который работает с SIEM, может получать три вида уведомлений об инцидентах: пуши в консоли, email или алерты в Telegram. В них можно быстро сориентироваться: что случилось, где и насколько это серьезно.

Чтобы провести углубленное расследование, в той же вкладке «Инциденты» можно углубиться в любое подозрительное событие. По клику на плитку с правилом открывается таблица инцидентов с базовым описанием, по клику на инцидент – все его подробности.

Инцидент-менеджмент

Он позволяет упростить процесс расследований, создав внутри «СёрчИнформ SIEM» этакий аналог Jira для ИБ-отдела. Таск-менеджер позволяет объединять разные инциденты в одно расследование, назначать ответственных сотрудников службы ИБ, присваивать статусы хода расследования, добавлять комментарии и подводить итоги. Удобно, что «логику» инцидента можно тут же преобразовать в правило кросс-корреляции, а итоги каждого расследования – выгрузить в отчет или отправить на печать.

Передача результатов расследования в ГосСОПКА

Раньше такая необходимость была только у компаний, подпадающих под ФЗ-187. С ужесточением ФЗ-152 круг компаний, которым важен этот функционал SIEM, расширился.

С самого начала «СёрчИнформ» задумывалась как «коробочная» и функциональная система, которую легко развернуть. Это критически важное преимущество сейчас, когда у компаний нет времени на длительные внедрения. Проверить, как в действительности работает описанный функционал, насколько быстро разворачивается система и соответствует потребностям заказчика можно на бесплатном тесте.

СёрчИнформ
Автор: СёрчИнформ
Российская компания, производитель программного обеспечения для защиты от утечек информации, контроля продуктивности сотрудников за ПК и управления событиями информационной безопасности.
Комментарии: