«СёрчИнформ SIEM». Аналитика «из коробки» и проактивный инцидент-менеджмент

BIS Journal №3(50)2023

26 июля, 2023

«СёрчИнформ SIEM». Аналитика «из коробки» и проактивный инцидент-менеджмент

В нестабильной обстановке множатся внешние и внутренние угрозы информационной безопасности, число атак растёт по экспоненте. В ответ всё больше компаний «дозревает» до закупки SIEM, которые выявляют события безопасности в цифровой инфраструктуре. Растущую потребность видим по собственным клиентам: только за прошлый год запрос на «СёрчИнформ SIEM» вырос на 46%.

Обычно заказчики ждут, что система будет уметь:

  • собирать события из различных источников;
  • анализировать события и вычислять инциденты;
  • оповещать ответственных лиц об инцидентах;
  • детализировать инциденты для дальнейшего расследования;
  • в случае необходимости — запускать автоматическую реакцию на инцидент.

Такой комплекс задач требует от SIEM широкой функциональности. А чем шире возможности, тем система, как правило, сложнее в эксплуатации. Это может тормозить заказчиков: не у всех есть компетенции и «руки» для такой работы. Создавая свою SIEM, мы постарались решить эту проблему. 

 

ОСОБЕННОСТИ «СЁРЧИНФОРМ SIEM»

В прошлом году мы провели исследование, в котором выяснили, что для 70% российских организаций работа с SIEM — это сложно. Для 14% опрошенных компаний главной причиной отказа от закупки стали потенциальные трудозатраты на внедрение, настройку и кастомизацию.

Чтобы упростить работу с системой для конечного пользователя, мы сделали «СёрчИнформ SIEM», по сути, «коробочной»: она быстро разворачивается и работает сразу, благодаря сотням готовых правил корреляции. Основные элементы управления и аналитики реализованы в графических интерфейсах, поэтому систему легко и удобно администрировать ИБ- и ИТ-специалистам практически с любым опытом и уровнем подготовки.

Удобство не снижает функциональности. «СёрчИнформ SIEM» в режиме реального времени выявляет сбои оборудования и ПО, целенаправленные атаки, потенциально опасные действия пользователей в корпоративной ИT-инфраструктуре. Решение распознаёт инциденты безопасности в связке событий, которые по отдельности не выглядят опасными, и при необходимости может запускать на них активную реакцию. 

 

УНИВЕРСАЛЬНЫЕ ПРАВИЛА

«СёрчИнформ SIEM» работает более чем с 30 коннекторами, для которых доступны почти 400 преднастроенных правил корреляции. Это базовые функции для понимания того, что происходит в инфраструктуре. Предустановленные правила помогают администратору SIEM уже на этапе внедрения системы определить, где в ИТ-инфраструктуре происходят события, на которые нужно отреагировать. Вкладка с правилами позволяет выявить инциденты, требующие дополнительного расследования, и определить, является ли событие инцидентом. Также «СёрчИнформ SIEM» собирает общую статистику по инцидентам — администратор SIEM не пропустит резкого скачка числа сработок (рис. 1). 

Рисунок 1. Вкладка «Правила» в «СёрчИнформ SIEM»

 

Основные коннекторы «СёрчИнформ SIEM» позволяют контролировать максимальное количество источников данных в ИТ-инфраструктуре компании. Самые критичные из них: Active Directory, почтовые сервера, СУБД, журналы событий безопасности Syslog и др. Например, благодаря контролю Active Directory «СёрчИнформ SIEM» выявляет попытки взлома паролей или учётных записей, которые сотрудники могут использовать параллельно на разных ПК. Если же заказчику не хватает предустановленных коннекторов, то в «СёрчИнформ SIEM» есть пользовательский Custom Connector для донастройки системы и подключения дополнительных устройств.

 

НАСТРОЙКА ПРАВИЛ КРОСС-КОРРЕЛЯЦИИ

SIEM-системы ежедневно обрабатывают миллионы событий из разных источников. По статистике, коллектив из 100 человек способен сгенерировать более 3000 событий Active Directory в день, а одна работающая в штатном режиме VMware — уже порядка 4 млн. Чтобы выделить в потоке действительно значимые инциденты, в SIEM-системах предусмотрена кросс-корреляция — сопоставление событий из разных источников, которые в совокупности говорят об угрозе. Обычно правила кросс-корреляции требуют от пользователя навыков программирования. В «СёрчИнформ SIEM» задачу максимально упростили. При помощи встроенного в систему графического конструктора можно в два клика создавать правила, которые будут выявлять инциденты на основании цепочки событий из разных источников. Дополнительно эти правила уточняют условия, по которым система будет считать событие инцидентом, так что снижается количество ложных сработок (рис. 2).

Рисунок 2. Графический конструктор правил кросс-корреляции

 

РАССЛЕДОВАНИЯ И ОТЧЁТНОСТЬ

В «СёрчИнформ SIEM» встроен таск-менеджер — удобное средство для расследования, реагирования и профилактики инцидентов. В нём можно координировать расследования, не переходя в сторонние инструменты вроде Jira, CRM или Сonfluence. Таск-менеджер позволяет отследить полный жизненный цикл инцидента, объединить в одно расследование несколько событий, назначить ответственных сотрудников ИБ-отдела, а также присвоить статусы хода расследования, добавлять комментарии и подводить итоги. По результатам расследований удобно создавать новые правила кросс-корреляции.

Из таск-менеджера «СёрчИнформ SIEM» можно экспортировать отчёты об инцидентах в НКЦКИ. Это упрощает взаимодействие с регулятором компаниям, которые попадают под действие закона о безопасности КИИ. «СёрчИнформ SIEM» и в целом хорошо отвечает требованиям регуляторов, например, готова к контролю импортозамещённой инфраструктуры — поддерживает множество отечественных источников, ПО и оборудования. Только из последнего: мы интегрировали систему с сетевым шлюзом безопасности VipNet от отечественного производителя «ИнфоТекс», а также подтвердили совместимость с промышленным компьютером ELEUM 02.450.2U.R от «РАДИУС IT».

 

ВИЗУАЛИЗАЦИЯ ИНЦИДЕНТОВ

Чтобы максимально точно оценить границы инцидента и потенциальный ущерб от него, необходимо видеть всю картину произошедшего. Для этого в «СёрчИнформ SIEM» есть вкладка с картой инцидентов, которая интерпретирует структуру сети, ПК и пользователей в привязке к серверам с установленными коннекторами SIEM. Карта позволяет администратору SIEM выявить все инциденты, которые произошли, например, после компрометации учётной записи или ПК (рис. 3).

Рисунок 3. Карта инцидентов в «СёрчИнформ SIEM»

 

Ещё один инструмент аналитики для работы с собранной фактурой — дашборд с виджетами, который показывает самую важную информацию: статистику инцидентов, трафик событий по коннекторам или пользователям, список правил для наиболее критичных коннекторов и т. п. Каждый виджет администратор SIEM может настроить под себя. Визуальное представление удобно, чтобы оптимизировать взаимодействие ИТ- и ИБ-отделов (рис. 4).

Рисунок 4. Дашборд с настраиваемыми виджетами

 

ПОИСК УГРОЗ И АВТОМАТИЧЕСКАЯ РЕАКЦИЯ НА ИНЦИДЕНТ

Для полноценной защиты периметра компании ИТ- и ИБ-отделам важно не пропустить потенциальные уязвимости в ПО и оборудовании и знать всё, что с ним происходит. С этой целью в «СёрчИнформ SIEM» реализован сканер сети: он помогает обнаружить, например, открытые порты или нелегитимное подключение новых устройств. Специалист настраивает периодичность, с которой SIEM будет проводить полную инвентаризацию инфраструктуры. Сканер использует данные из девяти баз уязвимостей, включая базу ФСТЭК России, и выдаёт информацию по актуальным угрозам, связанным с каждым элементом корпоративной сети (рис. 5).

Рисунок 5. Сканер сети в «СёрчИнформ SIEM»

 

«СёрчИнформ SIEM» способна не только выявлять, но и устранять угрозы. В 2023 году мы добавили в неё функциональность, нетипичную для этого класса решений: запуск автоматической реакции на инциденты. В редакторе, который теперь встроен в интерфейс системы, ИБ-специалист может прописать любой сценарий действий, которые SIEM запустит для устранения угрозы. Например, если на одном из ПК в компании происходит шифрование файлов, то «СёрчИнформ SIEM» может запустить скрипт, в котором заранее прописана реакция антивируса: сканирование, удаление файлов или помещение зловреда в песочницу. 

 

ВЫВОД

«СёрчИнформ SIEM» — решение, которое выходит за привычные рамки данного класса систем. Функциональность ПО, с одной стороны, автоматизирует максимум процессов и не требует от пользователя специфических навыков, с другой — имеет разнообразные гибкие настройки для мониторинга и реагирования на инциденты. По сути, «СёрчИнформ SIEM» закрывает основные потребности заказчиков и нивелирует опасения о том, что такой продукт потребует слишком много ресурсов для настройки и эксплуатации.

 

Запросите бесплатный триал «СёрчИнформ SIEM» на сайте разработчика: на 30 дней вы получите ПО без ограничений по пользователям и функциональности:

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

16.09.2024
Уголовный кодекс пополнится дипфейками. В хорошем смысле
16.09.2024
Санкт-Петербург ждёт участников «PKI-Форум Россия 2024»!
16.09.2024
Регулятор запрещает запрещать
13.09.2024
Невский экспресс. Питерские чиновники спускаются ниже радаров с помощью московского ПО
13.09.2024
Кибермошенники делают всё больше работы за жертву
13.09.2024
Fortinet не стала платить взломщику
13.09.2024
Moscow Forensics Day 2024 — кратко
13.09.2024
Инфляционное давление поднимается
12.09.2024
Объединение двух банков снизит затраты на ИТ-решения
12.09.2024
Платёжные данные в обмен на бусы. Хакеры заразили мерч Cisco

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных