SIEM-система — сердце любого SOC. Она собирает события безопасности из корпоративной ИТ-инфраструктуры, выявляет инциденты и предоставляет информацию специалистам. От качества и результата этих действий зависит эффективность функционирования SOC — от оперативного реагирования до разработки или модернизации ИБ-политик.
Но помимо базовых функций мониторинга, современные SIEM оборудованы самым разным функционалом. Давайте вернёмся к истокам и вспомним, какие из многочисленных возможностей SIEM действительно требуются в SOC и как удобство их реализации предопределяет эффективность всего подразделения.
Задачи SIEM в SOC
SIEM в SOC решает четыре основные задачи:
Остальной функционал, например выявление уязвимостей, тоже может быть полезен: он помогает закрыть нехватку других СЗИ. Но SOC, как правило, оборудован множеством профильных систем: SGRC, IRP, SOAR, VM и т. д. Они получают данные из SIEM и используют их для решения ИБ-задач. Получается, выбор SIEM для SOC должен основываться не на количестве функций, которые к тому же пересекаются с другими СЗИ, а на качестве и удобстве реализации основного SIEM-функционала. Пошагово пойдём по нему.
Собрать и стандартизировать
SIEM в SOC отвечает за сбор и нормализацию событий безопасности из разных элементов ИТ-инфраструктуры: операционных систем, баз данных, средств защиты, сетевых устройств, «облаков», приложений и т. д.
Для этого система должна подключаться к множеству источников, «понимать» и забирать их логи. То есть поддерживать разные сетевые протоколы, стандарты хранения и передачи данных, а также механизмы выполнения команд на источниках. Например, Syslog, SSH, SNMP Trap, NetFlow и т. д.
«СёрчИнформ SIEM» собирает и нормализует события при помощи предустановленных коннекторов. Всего их три типа. Первый — персональные коннекторы для популярного оборудования, ПО и ИБ-инструментов. Например, к антивирусу Kaspersky, 1С, АПКШ «Континент» и т. д.
Второй — универсальные коннекторы к протоколам EventLog, Syslog, SSH, NetFlow и другим, по которым можно получить данные от большинства других источников.
Для редких случаев, когда, например, нужно получить данные из самописного ПО, можно воспользоваться пользовательским коннектором на основе скриптов или вычитать данные напрямую из БД.
Все коннекторы, кроме пользовательского, подключаются в графическом интерфейсе. Это просто и быстро, а потому экономит силы и время.
Выявить скрытое
Следующая задача SIEM — выявление инцидентов: вирусных эпидемий, попыток брутфорса, компрометаций учётных записей и т. д. Для этого система должна анализировать события и позволять специалистам удобно их коррелировать.
Для выявления инцидентов, которые состоят из единичных событий, в «СёрчИнформ SIEM» есть базовый набор правил корреляции. Они покажут события, на которые стоит обратить внимание в любой инфраструктуре. Например, временное изменение параметров учётной записи, добавление нового пользователя, вход в почтовый ящик сотрудника с зарубежного IP-адреса и т. д. Базовый набор правил можно кастомизировать или быстро создать новые, если не хватило «джентльменского набора».
Для более сложных случаев существуют правила кросс-корреляции. Они позволяют выявлять инциденты, которые состоят из нескольких событий, несвязанных друг с другом на первый взгляд. Например, подключение флешки и старт вирусной эпидемии.
Оба типа правил настраиваются в графическом интерфейсе. Первые — выбором событий из выпадающего списка. Вторые — выбором коннекторов, событий и параметров в графическом конструкторе. Это экономит ресурсы аналитиков SOC на сложное программирование.
Найти причину
Расследование инцидентов в SOC — это выстроенный процесс. Разные линии специалистов действуют по прописанным инструкциям и шаблонам. Задача SIEM — легко интегрироваться в этот процесс и предоставить специалистам необходимые данные в простом формате. Для этого нужна понятная визуализация. Например, дашборд с виджетами в «СёрчИнформ SIEM» даст оперативную сводку по нужным параметрам в выбранном формате.
Также нужны инструменты анализа данных, с которыми будет удобно работать. Например, журналы сработок правил корреляции и кросс-корреляции представят отчёт по всем событиям безопасности в инфраструктуре. А фильтрация по дате и времени возникновения инцидентов, их критичности, количеству и т. д. поможет сгруппировать события по опорным признакам, выявить тенденции и выстроить таймлайн развития атаки. Ещё в «СёрчИнформ SIEM» инциденты можно отобразить на специальной карте. Это упростит поиск центров аномальной активности, проблемных узлов сети и пользователей, которые связаны с большим количеством инцидентов. Так ИБ-команда расставит приоритеты и обнаружит слабые места в инфраструктуре.
Ещё в системе есть инструмент Тask Мanagement. Он работает как трекер задач и помогает организовать командную работу над ИБ-инцидентами, что актуально для координации разных линий SOC. Task Management позволяет создавать задачи и подзадачи, контролировать сроки их исполнения, определять ответственных ИБ-специалистов и фигурантов инцидентов. Прикреплять необходимую для расследования информацию: инциденты и события, документы и описания, подзадачи и т. д.
Поделиться данными
Хорошая SIEM автоматически передаёт данные в SGRC, VM, SOAR, IRP и другие компоненты SOC. Для этого в системе должны быть разные инструменты экспорта: API, утилиты и т. д.
«СёрчИнформ SIEM» поддерживает экспорт инцидентов по расписанию в формате CSV. Он хорошо подходит для обработки другими системами и позволит, например, передать данные в SGRC. Есть отправка данных в формате JSON на указанный URL-адрес при выявлении инцидента. Это позволит интегрироваться с веб-приложениями и даст гибкость в плане отправки данных.
С некоторыми системами «СёрчИнформ SIEM» готов взаимодействовать сразу «из коробки». В частности, система передаёт инциденты в R-Vision IRP для автоматизированного реагирования. А для лёгкого взаимодействия с регулятором по API реализована прямая интеграция с ГосСОПКА. В простом интерфейсе можно подготовить отчёт по заданным регулятором критериям, к которому автоматически подтягивается «фактура» из SIEM.
Наконец, доступна передача данных при помощи внешних инструментов. «СёрчИнформ SIEM» запускает указанное ПО средствами ОС и передаёт ему на вход заданные параметры инцидента.
Заключение
Для эффективной работы SOC SIEM-система должна работать с широким пулом источников, поддерживать разные сетевые протоколы, стандарты хранения и передачи данных. Анализировать и коррелировать разнородные события, предоставлять инструменты расследования, поддерживать автоматизированный экспорт данных в другие системы.
Если работа с SIEM устроена просто и удобно, повышается эффективность SOC. Это «разгружает» ИБ-специалистов и позволяет сосредоточиться на оперативных задачах. В результате возрастает скорость реагирования и расследования инцидентов, даже если «рук» не хватает. Опробуйте простой и эффективный инструмент в составе своей SOC — «СёрчИнформ SIEM» доступна для тестирования в полном функционале на 30 дней.
Реклама. ООО «СЕРЧИНФОРМ», ИНН: 7704306397, Erid: 2Vfnxw7FGdn
.jpg)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.jpg)