
Многочисленные средства защиты в организации порождают огромное количество событий. Разбирать их вручную нереально, а игнорировать недопустимо. Нужен инструмент, который выявит инциденты и отсеет ложные срабатывания. Покажем практическую пользу от управления ИБ-событиями на примере «СёрчИнформ SIEM».
- Введение
- Быстрое подключение источников: как SIEM сразу показывает результат
- Корреляция событий: как SIEM упрощает работу с ИБ-инцидентами
- Выявление комплексных ИБ-угроз с помощью кросс-корреляции в SIEM
- Task Management: как SIEM помогает команде ИБ работать эффективнее
- Выводы
Введение
Для защиты от реальных ИБ-угроз и выполнения требований регуляторов компании используют множество средств защиты информации (СЗИ). По данным Gartner, в 2023 году крупные компании использовали в среднем 43 СЗИ, а некоторые — более 100. Каждое защитное решение требует времени на работу с собственной консолью, настройку ИБ-политик и реагирование на срабатывания. Упростить работу с большим количеством СЗИ и другими элементами ИТ-инфраструктуры, сделать ее удобнее и выявить комплексные инциденты позволяет система класса «управление информацией и событиями в области безопасности» (SIEM).
SIEM собирает события безопасности и показывает состояние инфраструктуры в едином интерфейсе. Позволяет отследить эффективность СЗИ и их связок между собой и с другими элементами ИТ-инфраструктуры. Соединить не связанные на первый взгляд события в комплексные инциденты и упростить работу ИБ-отдела. Рассмотрим, как это работает на примере «СёрчИнформ SIEM».
Подключение источников: как SIEM сразу показывает результат
«СёрчИнформ SIEM» собирает события безопасности из разных источников и приводит их в единый формат при помощи коннекторов. Они позволяют в несколько кликов подключиться к любому элементу инфраструктуры: межсетевому экрану, системе предотвращения утечек (DLP), антивирусу, сетевому оборудованию, базе данных, ПК сотрудника и т. д.
Чтобы начать получать события из межсетевого экрана «Континент 4», достаточно указать три параметра в графическом интерфейсе
Рисунок 1. Подключение источника в интерфейсе SIEM
После подключения источников ИБ-специалист сможет увидеть все, что происходит в корпоративной сети, при помощи дашборда с виджетами. Это настраиваемая интерактивная панель, которая показывает важную информацию о событиях в инфраструктуре. Например, количество удачных и неудачных входов в учетные записи, объем трафика с ПК сотрудников, системные ошибки а так далее.
Рисунок 2. Дашборд с событиями безопасности
Каждый виджет в дашборде можно настроить под конкретное событие, ПК, пользователя, временной промежуток и т. д. Дашборд доступен и в веб-интерфейсе. Это удобно, когда нужно поделиться данными с коллегами или быстро разобраться в ситуации вне рабочего места.
Таким образом, дашборд покажет ИБ-специалисту упорядоченные события безопасности со всей инфраструктуры в понятном графическом интерфейсе. Работать в таком формате удобнее, чем «бегать» по разным консолям и «вручную» сопоставлять данные.
Корреляция событий: как SIEM упрощает работу с ИБ-инцидентами
Сконцентрироваться на самых важных событиях безопасности помогут правила корреляции. Они отбирают наиболее важные события из общего потока. Показывают статус источника и результаты его работы. Например, перегрев сетевого оборудования или вирусную эпидемию.
Преимущество правил корреляции «СёрчИнформ SIEM» — работа из «коробки». Система поставляется с предустановленными правилами для всех коннекторов. SIEM автоматически видит инциденты, на которые стоит обратить внимание в любой инфраструктуре. Например, изменение привилегий или параметров учетной записи.
Правила корреляции структурируют работу ИБ-специалиста и упрощают ее. Показывают в одном окне критически важные события по каждому источнику. Позволяют провести ретроспективный анализ при помощи распределения критически важных событий по датам их возникновения.
Рисунок 3. Журнал инцидентов по выбранному правилу корреляции
ИБ-специалист также может использовать правила корреляции для оценки эффективности СЗИ. Например, SIEM покажет, какое из тестируемых решений лучше. Это можно оценить по количеству срабатываний правил. Например, если SIEM зафиксирует, что до рабочих станций доходит много фишинговых писем, это значит, что почтовый шлюз или песочница работают неэффективно.
Выявление комплексных ИБ-угроз с помощью кросс-корреляции в SIEM
Помимо единичных инцидентов, есть и комплексные. Их сложно или невозможно выявить в рамках одного СЗИ, потому что они состоят из несвязанных друг с другом на первый взгляд событий.
Для обнаружения комплексных инцидентов в «СёрчИнформ SIEM» можно использовать правила кросс-корреляции. Это связки событий безопасности, при обнаружении которых SIEM просигнализирует об опасности.
ИБ-специалист собирает правила кросс-корреляции в графическом интерфейсе, как конструктор. Выбирает несколько коннекторов и связанных с ними критических событий. При желании каждое из условий можно дополнительно отфильтровать по пользователю, компьютеру и т. д. Это снизит количество ложных сработок, когда SIEM ошибочно классифицирует событие.
Рисунок 4. Мастер создания правил кросс-корреляции
Вот небольшой пример готового правила кросс-корреляции. Первое событие — сотрудник авторизовался на чужом компьютере. Второе — сотрудник загрузил ПО, которое антивирус опознал как вредоносное. Если SIEM зафиксирует такую связку событий, система оповестит ИБ-специалиста об инциденте.
Правила кросс-корреляции также позволяют выявить угрозы по косвенным признакам и позволят превентивно локализовать инцидент. SIEM хранит всю информацию о событиях в инфраструктуре. Благодаря этому ИБ-специалист может выявить, что предшествовало критически важным событиям, и создать правило.
Task Management: как SIEM помогает команде ИБ работать эффективнее
В «СёрчИнформ SIEM» встроен инструмент для командной работы — Task Management. Он упрощает совместное расследование и реагирование на инциденты, по функциональности похож на трекер задач.
Рисунок 5. Task Management — инструмент командной работы
Task Management позволяет создавать задачи и подзадачи, определять фигурантов инцидентов и ответственных ИБ-специалистов, и — что не менее важно — контролировать сроки исполнения задач. Прикреплять необходимую для расследования информацию: инциденты из баз коннекторов, документы, описание и т. д.
Также в Task Management задачам можно присваивать типы, метки и приоритеты. В несколько кликов передавать данные в систему R-Vision, создавать и отправлять отчеты в систему ГосСОПКА.
Благодаря этому большая или даже территориально распределенная команда, например, центра мониторинга (SOC), может удобно коммуницировать, вести отчетность и принимать решения в единой консоли.
Выводы
«СёрчИнформ SIEM» позволяет в несколько кликов в графическом интерфейсе подключиться к разным элементам инфраструктуры и узнать их статус. Собрать информацию о событиях безопасности в одном месте, структурировать их и выявить комплексные инциденты. Благодаря этому ИБ-отдел сможет видеть все, что происходит в инфраструктуре, принимать более эффективные решения и тратить меньше времени на сбор и структуризацию данных.
Попробовать функциональность «СёрчИнформ SIEM», структурировать хаос и упростить работу ИБ-специалиста можно бесплатно на 30 дней.