Новое в «СёрчИнформ SIEM»: интеграция с ГосСОПКА, таск-менеджмент и веб-интерфейс

В 2020 году «СёрчИнформ» получил грант Российского фонда развития информационных технологий (РФРИТ) на развитие своей SIEM-системы. За год в программе увеличено количество новых источников данных, расширен функционал расследований, решение стало еще удобней в управлении.

Источники данных

«СёрчИнформ SIEM» теперь поддерживает обмен данными со всеми самыми распространенными типами сетевых устройств.

Под контролем системы может быть любое оборудование (маршрутизаторы, коммутаторы, серверы, принтеры и пр.) и ПО, которое работает по протоколу SNMP(SimpleNetworkManagementProtocol– простой протокол сетевого управления). Благодаря SNMPTrapConnectorсистема получает уведомления о критических событиях от этих источников: например, об отключении порта, изменении сети маршрутизации, переходе к питанию от батареи, сигнале тревоги и пр. Это экономичный формат обмена данными, чтобы не перегружать SIEMсобытиями, не требующими внимания.

FlowConnectorсобирает данные о сетевом трафике в стандартизированном формате NetFlow. С ним система получает информацию об объемах и направлении трафика в сети компании, статистику подключений, сбоев и т.п. Общую картину движения трафика можно выгрузить в отчет.

Появились коннекторы к специфическим источникам. Так, RusGuardConnectorпомогает получать информацию от умной системы контроля доступа: авторизации сотрудников, ошибки считывания пропусков, статистику распознавания лиц, нарушения физического периметра и т.п. Реализован AzureConnector, которые позволяют корректно получать события ИБ от баз данных, которые мигрировали в облако MSAzure. Таким образом, «СёрчИнформ SIEM» теперь сможет проводить комплексный мониторинг безопасности для облачной инфраструктуры.

Сканер уязвимостей

В сканере сети появилась новая функция: поиск уязвимостей для обнаруженных портов. Отчет доступен по клику по названию хоста. Он показывает список уязвимостей, актуальных для данного ПО или устройства, благодаря вычитке vulnerability-баз в реальном времени. Это позволяет оперативно узнавать о потенциальных угрозах, чтобы вовремя их устранить.

Еще более продвинутый сканер уязвимостей можно подключить с помощью RedCheckConnector. Он передает в SIEMинформацию о конкретных проблемах в корпоративной сети, выделяя уровень опасности. Готовый набор правил корреляции позволяет контролировать результаты аудита отдельных типов источников: СУБД, сетевых приложений, рабочих станций, а также следить за конфигурацией оборудования и управлять обновлениями. Для корректной работы сканера требуются дополнительные лицензии Red Check.

Корреляция событий

Для всех новых коннекторов в «СёрчИнформ SIEM» доступны готовые правила корреляции. Набор правил постоянно расширяется и для «классического» набора коннекторов.

Так, в 2021 году расширился список предустановленных правил для LinuxConnector: теперь они лучше работают с отечественными ОС семейства. Для KavEventConnector, который контролирует антивирусы Kaspersky, появилась возможность отображать события сервера администрирования KasperskySecurityCenterс разными уровнями важности («информационные сообщения», «отказ функционирования», «предупреждения», «критические», «прочие события»). Для CiscoConnectorв группу «Cisco. Основные события» добавлено правило, чтобы контролировать, как осуществляются подключения по VPN-каналу через сетевой шлюз CiscoASA.

ИБ-специалисты также могут создавать собственные правила корреляции, а теперь это стало еще проще. В редакторе правил обновился конструктор регулярных выражений: в нем удобнее создавать запросы благодаря готовым элементам формулы, подсказкам и проверочному режиму.

Разные запросы можно объединять в многоуровневые правила: механизм кросс-корреляции теперь доступен для всех 30+ коннекторов «СёрчИнформ SIEM». Сервис кросс-корреляции представлен в виде интерактивного конструктора: чтобы создать сложное правило, не нужно знать языки программирования и возиться с кодом. Обновление еще расширило возможности сервиса: добавился новый логический оператор «НЕ», который научит систему распознавать инцидент, когда нарушились легитимные процессы и не произошло важное событие. Например, если человек не проходил через СКУД, но работает за компьютером, это повод разобраться: это санкционированный удаленный доступ или вторжение. Фактически новый оператор увеличивает спектр примененияправил кросс-корреляции в два раза при использовании двух событий для формирования инцидента, и в шесть раз – при использовании трех.

Простое масштабирование

В «СёрчИнформ SIEM» появилась возможность экономично контролировать распределенные сети – например, в компаниях со множеством филиалов. До сих пор в распределенных сетях применялся сбор данных центральным сервером, куда поступала информация напрямую от устройств и ПО в филиалах. Это могло создавать излишнюю нагрузку на сеть и приводить к потере данных при сборе событий из источников с пассивным сбором. Теперь в системе появился специальные буферизующие агенты, которые собирают и нормализуют данные «на местах» и передают в «головной» SIEMуже в подготовленном виде. Вот, как это работает:

В результате растет производительность и отказоустойчивость системы: с одной стороны, передача готовых данных по одному выделенному каналу экономит ресурсы, с другой – данные от устройств надежно сохраняются локально на буферизирующем агенте в филиале.

Расследования и отчетность

Процесс расследования инцидентов в «СёрчИнформ SIEM» упрощает новый инструмент – таск-менеджер. Он позволяет объединять разные инциденты в одно расследование, назначать ответственных сотрудников службы ИБ, присваивать статусы хода расследования, добавлять комментарии и подводить итоги.

Инструмент полезен, чтобы определять границы инцидента и выявлять цепочки событий, которые объединены одной атакой или сбоем. На основе выводов расследований удобно создавать новые правила кросс-корреляции.

Кроме того, теперь можно комментировать каждый инцидент в отдельности. В комментарии можно добавить любой текст, автоматически в них включится имя автора и время добавления. Доступно автозаполнение. Администратор системы может гибко настроить права доступа к комментированию для разных ИБ-специалистов, которые работают с SIEM. Комментарии будут являться неотъемлемой частью инцидента, и заодно дублироваться в логи.

Результаты расследований, информацию о работе SIEMи аналитику по отдельным источникам выгружаются в кастомизируемые отчеты. Добавилась возможность формировать отчеты по любому правилу, выгружать их по расписанию и отправлять на электронную почту.

А для компаний, которые должны отчитываться о состоянии ИБ перед регулятором, реализована возможность напрямую передать отчеты в НКЦКИ в стандартизированном формате. В SIEMреализован функционал прямого экспорта в ГосСОПКА, который позволяет информировать регулятора не о событиях или промежуточных результатах расследований, а представлять картину атаки/сбоя целиком.

Удобство и безопасность

Систему стало проще развернуть и настроить.

Во-первых, заказчикам теперь проще рассчитать конечную стоимость внедрения программы. Новая схема лицензирования «СёрчИнформ SIEM» опирается на количество узлов, которые будут передавать данные – компаниям не нужно «прикидывать на глаз» пиковые объемы трафика (EPS), легче оценить свои потребности в количестве лицензий.

Во-вторых, при внедрении добавилась возможность «разбить» БД SIEMна мощности нескольких серверов, чтобы повысить производительность. Поддержка кластерной модели работы позволяет системе обрабатывать одновременно больше информации и делать это быстрее. Все настройки кластера осуществляются из одной консоли – это удобнее, чем индивидуально настраивать базу из интерфейса СУБД.

Проверить работоспособность основных коннекторов перед «боевым» запуском можно в тестовом режиме. Например, для коннектора WinEventразработан механизм генерации всех типов тестовых событий, чтобы без усилий провести полную проверку настроек аудита данных на источнике. Особенно это актуально, чтобы убедиться в корректности правил аудита ActiveDirectory.

Чтобы обезопасить систему – ведь она хранит максимум информации о составе и «тонких местах» в инфраструктуре компании – реализованы ограничения при работе администраторов SIEM. Так, переработан механизм авторизации: теперь можно ограничить список узлов, с которых можно подключиться к серверу системы. Если злоумышленникам удастся завладеть данными для авторизации, они не смогут подключиться к SIEMиз-за пределов корпоративного периметра, или с IP, который не задан как доверенный.

А чтобы контролировать, как взаимодействуют с SIEMлегитимные пользователи, все действия юзеров после авторизации в системе подробно логируются. Руководитель службы ИБ может просмотреть, кто, когда и что делал в SIEM, а также задать роли своих сотрудников в системе. Это поможет выявить ошибки или подозрительные действия внутренних пользователей.

Новый интерфейс

В обновленной версии «СёрчИнформ SIEM» стала дружелюбнее к пользователю: внешний вид системы и выдачу данных можно кастомизировать почти без ограничений. Например, можно менять порядок расположения виджетов способом drag-and-drop. А во всех вкладках консоли стало больше фильтров, группировки по любым параметрам, возможности экспорта данных и отправки на печать.

Появилась карта подключений, которая визуализирует, какие пользователи авторизованы на каких устройствах. Граф формируется на основе событий по правилу «Статистика входов в систему» (WinEventConnector) и отображается на отдельной вкладке. Карта подключений позволяет просматривать для каждого компьютера/пользователя:

Все дашборды и графы теперь доступны онлайн в веб-представлении. Аналитическую информацию можно будет просмотреть с любого устройства – видео-стены, телевизора, дополнительного монитора и пр.

• Буферизирующий агент собирает события в филиале, нормализирует их и выявляет среди них инциденты.
• «Чистые» данные из филиала передаются в центральный офис по выделенному каналу.
• Сервер SIEMв центральном офисе получает и хранит «чистые» данные от филиалов с готовой разметкой: что, когда и где произошло.
  • связи с другими объектами сети;
  • тип и статус подключений: интерактивный, сетевой и др.
  • детальную информацию о подключениях за выбранный период времени.

© СёрчИнформ (SearchInform), 2022
© Издание 12NEWS (ИП Маринин А.Л.), 2022