Как настроить SIEM «под себя». Простая кастомизация по шагам

Как настроить SIEM «под себя». Простая кастомизация по шагам

Любой проект внедрения SIEM индивидуальный, даже у компании с типовой инфраструктурой найдутся свои особенности, которые нужно учесть. Часто для кастомизации требуется помощь вендора или интегратора, потому что системы приходится буквально «писать под заказчика». Это удорожает и удлиняет проект. Как этого избежать? Выбрать систему, в которой есть удобные инструменты для кастомизации, не требующие специальных знаний, вмешательства вендора и труда программистов.

На примере «СёрчИнформ SIEM» расскажу, как ИБ-специалист может адаптировать систему самостоятельно. 

Как подключить нетиповые источники

В SIEM сбором данных от источников в инфраструктуре занимаются коннекторы. Они вычитывают логи от средств ИБ, а также прикладного софта и оборудования.

К типовому «железу» и ПО в SIEM обычно есть готовые коннекторы. В «СёрчИнформ SIEM» их больше 40. Если их не хватает, на помощь приходят универсальные коннекторы на основе event log, syslog, NetFlow, SSH, SNMP. Эти протоколы подходят для большинства источников, но не всегда дают достаточно детализации: не передают всех нужных данных или, наоборот, «заваливают» SIEM лишней информацией. Наконец, есть самописные источники, которые не поддерживают перечисленные стандарты.

Для таких случаев в «СёрчИнформ SIEM» есть два инструмента.

CustomConnector позволяет подсоединить к SIEM любой источник с помощью скриптов на Windows PowerShell. Написать команду на PowerShell без усилий сможет рядовой системный администратор, то есть не понадобится помощь программистов. Вся работа со скриптом ведётся в интерфейсе SIEM, другие инструменты не нужны. 

«СёрчИнформ SIEM» поставляется уже с готовыми образцами скриптов. Например, в комплекте есть шаблоны для работы с Kerio: выгрузка отчётов о входах, ошибках аутентификации, вторжениях в систему и т. п. Их можно персонализировать под свои задачи или адаптировать для другого оборудования и ПО.

DatabaseConnector подключается напрямую к произвольным базам данных, куда некоторые источники могут записывать логи вместо классических журналов. Но БД не обязательно должна быть с логами, подсоединить к SIEM можно любую. Также DatabaseConnector позволяет импортировать данные из БД выборочно. Например, когда нужно вычитать из баз антивируса только индикаторы компрометации или другую специфическую информацию. 

Коннектор не требует написания скриптов: все настройки можно «накликать» в консоли SIEM. Достаточно задать тип СУБД и сервер, где она расположена, выбрать БД и что из неё нужно импортировать: вплоть до конкретных таблиц, столбцов в них или данных в ячейках.

Как скоррелировать произвольные события 

Чтобы выявить инциденты в потоке событий, SIEM опираются на правила корреляции —алгоритмы, которые обнаруживают угрозу по совокупности внешне рядовых признаков. В нашей системе предустановлены десятки правил для каждого источника, всего больше 400. Следующий уровень — сопоставлять события из нескольких разных источников. Это механизм кросс-корреляции. 

Каждый источник передаёт события по-своему. Поэтому обычно написание правил корреляции и кросс-корреляции требует знания одного или нескольких языков программирования. К тому же понадобится доступ к коду SIEM. В «СёрчИнформ SIEM» этого не нужно: всё настраивается в интерактивном конструкторе через основную рабочую консоль.

Правило задаётся в три действия:

1. Выбираем нужные источники и события из них. Комбинировать можно любые события из любых источников, также доступна фильтрация:

• по пользователю и его роли; 
• по устройству;
• по IP-адресу и т. д.

2. Указываем объединяющие условия. Например, чтобы сообщения о событиях поступали с одного ПК или от одной учётной записи. Работают логические операторы:

• «И», когда инцидентом считается обязательное совпадение событий;
• «НЕ», то есть инцидентом будет случай, когда после определённого события не происходит другое (которое в нормальной ситуации должно произойти).

3. Задаём временные рамки: события будут считаться взаимосвязанными, если произойдут одно за другим в течение определённого периода.

Мастер создания правил кросс-корреляции в «СёрчИнформ SIEM»

Сервис работает по принципу «A + B = alert» (или «A – B = alert»). Правила можно комбинировать между собой. Таким образом, ИБ-специалист может прописать почти любой сценарий предполагаемого инцидента и настроить автоматическое обнаружение сложных атак. 

Как нарастить нестандартный функционал

Основная задача SIEM — мониторить инфраструктуру и находить инциденты. Но часто заказчику требуется пойти дальше: реагировать на угрозы, расследовать и прогнозировать их, и желательно в одном окне. 

Вендоры отвечают на этот запрос по-разному, многие пытаются реализовать в SIEM максимум функционала смежных систем ИБ. Но потребности компаний неодинаковы. Поэтому мы оставляем «СёрчИнформ SIEM» в классической комплектации, а дополнительные возможности заказчики могут включить опционально.

Например, функционал реагирования у нас реализован через внешние приложения. SIEM их запускает и инструктирует, как поступить с угрозой. Автоматическая реакция включается при настройке правила корреляции, достаточно указать, какие данные об инциденте передавать в стороннее ПО. Например, антивирусу вместе с параметрами проверки нужно отдать список IP-адресов и имена ПК из поражённого сегмента сети. Тогда если SIEM зафиксирует заражение, то сможет запустить в антивирусе любое из возможных действий: удаление, сканирование или помещение зловреда в песочницу.

Для прогнозирования инцидентов у нас есть встроенный сканер уязвимостей. Но в работе он использует данные из внешних БДУ — сразу из девяти, включая базу ФСТЭК. Дополнительно можно подключить системы класса Vulnerability Management в качестве внешнего источника.

Расследования реализованы при помощи инструмента Task Management. Он создан для командной работы над инцидентами, ИБ-отдел может фиксировать ход дела самостоятельно или включить интеграцию с ГосСОПКА и IRP. Тогда SIEM поможет классифицировать инциденты по стандартам регулятора, «упакует» результаты в отчёт установленной формы и сразу направит его по адресу.

Кроме того, «СёрчИнформ SIEM» получает данные от всех ключевых ИБ-систем, от антивирусов до XDR, IDS, NGFW, различных TI-инструментов и т. д. В итоге любую нужную функцию можно подключить как коннектор, и не доплачивать за невостребованные «фичи».

Вывод

Невозможно найти SIEM, которая бы идеально подошла всем сразу «из коробки». Поэтому надо быть готовым к кастомизации и выбирать для внедрения максимально гибкую систему. Такая SIEM должна:

• поддерживать источники, которые не передают данные стандартным способом;
• качественно фильтровать информацию от источников, чтобы обнаруживать нетиповые события ИБ;
• предоставлять удобные инструменты создания правил корреляции и кросс-корреляции событий;
• легко интегрироваться со сторонними ИБ-системами, способными расширить её возможности.

Тогда система удачно встроится в любую инфраструктуру и не потребует дополнительных вложений ни на старте, ни в процессе эксплуатации, когда у заказчика изменятся инфраструктура или задачи.

«СёрчИнформ SIEM» легко адаптируется под индивидуальные потребности компаний, при этом готова к работе с первого запуска и не перегружена функционалом под нехарактерные задачи. Эти возможности заказчик может нарастить в ней сам с помощью удобных инструментов кастомизации — без сторонней помощи и доплат. Попробовать, как это работает, можно бесплатно в течение 30 дней.

Реклама. ООО «СЕРЧИНФОРМ», ИНН: 7704306397, Erid: 2Vfnxw2Q3EY