Как писать правила корреляции в SIEM-системе без навыков программирования

Как писать правила корреляции в SIEM-системе без навыков программирования

Как показывает практика, настройка SIEM-системы – нетривиальная работа, иногда требующая от пользователя специализированных навыков. Например, в области программирования. В июле Positive Technologies обновила систему выявления инцидентов MaxPatrol SIEM. Новая версия продукта позволяет создавать правила корреляции с помощью конструктора, собирать собственные отчеты, проводить ретроспективный анализ и отслеживать безопасность в распределенных инфраструктурах. Специалисты Positive Technologies рассказали Anti-Malware.ru об изменениях и дополнениях в продукте, а также о том, насколько они облегчат жизнь эксплуатантов SIEM-системы.

 

  1. Введение
  2. Конструктор правил корреляции
  3. Выявляем атаку из прошлого
  4. Мониторинг ИБ в крупных иерархических структурах
  5. Конструктор отчетов
  6. Выводы

 

Введение

Программное обеспечение SIEM (Security Information and Event Management, управление информацией и событиями в области безопасности) – сложная система, собирающая воедино множество разнородных данных. Конфигурирование такого решения и работа с ним могут быть сложны, особенно если эти задачи возложены на сотрудника, который не специализируется на аналитике и мониторинге событий ИБ. В подобной ситуации есть риск, что продукт не сможет реализовать свой потенциал и дать заказчику нужный эффект.

В июле вышла новая версия системы выявления инцидентов MaxPatrol SIEM. В этой статье мы хотим подробно рассказать обо всех ключевых изменениях продукта и продемонстрировать, как они облегчают жизнь пользователя системы.

 

Конструктор правил корреляции

Правила корреляции, поставляемые вместе с SIEM-системами, часто бывают устаревшими или неподходящими для специфики деятельности компании. В результате пользователям приходится самим переписывать правила или привлекать специалистов со стороны. Мы попытались решить эту проблему. Теперь в MaxPatrol SIEM не обязательно осваивать специальный язык программирования, чтобы написать собственные правила корреляции: их можно создать в несколько кликов в удобном конструкторе.

Пошагово создание нового правила выглядит так:

  1. Конкретизируете цель корреляции (например, «выполнение процесса на удаленном компьютере с использованием интерфейса WMI»).
  2. Выбираете события ИБ и условия для них.
  3. Настраиваете последовательность событий.
  4. Задаете интервал времени, в течение которого события должны произойти.
  5. Нажимаете кнопку, чтобы установить новое правило.

Чтобы не заставлять пользователей писать код, в котором указаны условия для событий ИБ, мы реализовали макросы. С их помощью можно быстро подставить часто применяемые или сложные для самостоятельного написания фрагменты программного кода. Мы регулярно пополняем состав предустановленных макросов для максимального покрытия возможных сценариев возникновения инцидента. При этом пользователи могут расширять набор собственными фрагментами кода.

 

Рисунок 1. Выбор макроса из предустановленного набора

 Выбор макроса из предустановленного набора

 

Кроме того, в условиях для событий ИБ можно анализировать поля событий и запрашивать данные из табличных списков — например, из списка пользователей с привилегиями администратора.

Прежде чем сохранить правило, пользователь может просмотреть полный его код и проверить заполненность полей. Пропущенные поля, обязательные для заполнения, подсветятся красным.

 

Рисунок 2. Предварительный просмотр кода правила

 Предварительный просмотр кода правила

 

Рисунок 3. Подсветка пропущенного поля при нажатии на кнопку «Валидация»

 Подсветка пропущенного поля при нажатии на кнопку «Валидация»

 

При формировании правила целесообразно задать важность его срабатывания, присвоить ему категорию и решить, необходимо ли создавать инцидент; тип и категорию инцидента MaxPatrol SIEM назначит автоматически.

 

Выявляем атаку из прошлого

В MaxPatrol SIEM появилась возможность проводить ретроспективный анализ полученных ранее событий на наличие в них индикаторов компрометации. Таким образом пользователи смогут обнаружить атаку, которая произошла в прошлом, и предотвратить ее дальнейшее развитие.

В числе источников информации об индикаторах компрометации продукт поддерживает данные от «Лаборатории Касперского», Group-IB и собственные — от Positive Technologies. Это значит, что если у пользователя есть подписка на поставку индикаторов «Лаборатории Касперского» или Group-IB, он может задействовать данные этих вендоров для ретроспективного анализа в MaxPatrol SIEM. Индикаторы компрометации Positive Technologies поставляются бесплатно всем пользователям продукта. Список поддерживаемых источников будет постепенно расширяться.

Чтобы ретроспективный анализ заработал, важно после обновления версии продукта создать задачу на проверку событий ИБ, указав периодичность ее запуска и глубину проверки. Теперь, как только в базу индикаторов компрометации, входящую в состав MaxPatrol SIEM, поступят новые данные, система автоматически запустит ретроспективный анализ событий ИБ, собранных в прошлом.

 

Мониторинг ИБ в крупных иерархических структурах

В огромной распределенной инфраструктуре тот офис, который хуже всех защищен, может стать лазейкой для злоумышленников. В практике расследований экспертного центра безопасности Positive Technologies (PT Expert Security Center) было немало случаев, когда головной офис пострадавшей компании, обратившейся за помощью, был защищен не хуже башни Саурона (чистый периметр без уязвимостей и лишних сервисов, песочницы, NGFW), а в региональных подразделениях ситуация в плане ИБ оказывалась плачевной (словарные пароли, недостаточная защита от восстановления учетных записей, неготовность сотрудников к фишингу и т.п.). При этом все офисы находились в одном домене, без жесткой сегментации между сетями. Атакующие взламывали менее защищенный офис, «дампили» привилегированные учетные записи — и спокойно заходили в головное подразделение.

С новой версией пользователи могут организовать несколько развернутых инсталляций MaxPatrol SIEM в иерархию и передавать данные о событиях ИБ с нижних уровней на вышестоящие. Информация передается в режиме реального времени. Это поможет отслеживать состояние ИБ во всей организации и выявлять распределенные атаки на инфраструктуру отдельного подразделения или всего предприятия в целом.

Как это работает: с помощью панели инструментов администратор системы создает площадки, обозначающие ваши подразделения и офисы. Для каждой площадки нужно указать название (например, «Воронежский филиал»), адрес SIEM-сервера и расположение в иерархии. Затем для настройки передачи данных необходимо задать правила репликации: выбрать источник и получателя информации о событиях ИБ и настроить фильтрацию событий, которые будут реплицироваться. Готово: о ваших событиях ИБ знают в головной организации. Под одной учетной записью можно заходить на площадки разных филиалов, что упрощает администрирование.

 

Рисунок 4. Создание площадки с развернутой конфигурацией MaxPatrol SIEM, выстраивание иерархии (слева) и настройка передачи данных (справа)

 Создание площадки с развернутой конфигурацией MaxPatrol SIEM, выстраивание иерархии (слева) и настройка передачи данных (справа)

 

Конструктор отчетов

В новой версии MaxPatrol SIEM появилась возможность сформировать собственный отчет с данными об активах, событиях и инцидентах. Информация подгружается в виде виджетов с данными за выбранный интервал времени. В библиотеке доступны стандартные виджеты, но можно сделать и свои собственные.

 

Рисунок 5. Отчет из виджетов о событиях и о потоке событий

 Отчет из виджетов о событиях и о потоке событий

 

Чтобы оформлять отчет было удобно, мы создали интерфейс, похожий на Microsoft Word: можно выбрать шрифт, его размер, цвет, пронумеровать страницы, добавить отступы, разрывы и т.п. Можно добавить логотип в колонтитул и таким образом оформить отчет в корпоративном стиле.

Есть функциональность для выпуска созданных отчетов с заданной частотой, выбора пользователя, на чей электронный адрес они будут приходить. Кроме того, сохраняется история отчетов, которая позволяет узнавать их тематику и время формирования, а также скачивать для ознакомления.

 

Рисунок 6. Окно с панелью для выбора частоты выпуска отчета и сотрудника, который его получит

 Окно с панелью для выбора частоты выпуска отчета и сотрудника, который его получит

 

И кое-что еще

Мы реализовали множество изменений, чтобы сделать работу удобнее и ускорить выполнение некоторых типовых задач. Например, теперь пользователи могут:

  • проводить массовые операции над активами (удаление, перенос);
  • создавать более информативные виджеты для панели инструментов: в дополнение к диаграмме (круговой, столбчатой) и линейному графику появился табличный виджет, а еще малые группы данных можно объединять в группу «Другое», добавлять гистограммы сравнения и накопления, применять логарифмическую шкалу;
  • создавать новые задачи сбора событий и сканирования активов путем копирования уже существующих (это позволило сократить время внедрения MaxPatrol SIEM в крупную инфраструктуру почти в два раза);
  • сравнить состояния актива в два разных момента или просмотреть все последовательные изменения между ними. Это пригодится при расследовании инцидентов, поможет проанализировать, почему изменился уровень защищенности (теперь для этого нужно меньше инструментов). Результаты сравнения можно экспортировать в XML-файл и изучить позже.

Попробовать новые функции можно в рамках бесплатного «пилота». Для этого достаточно заполнить короткую форму на сайте и выбрать источники событий ИБ для подключения к MaxPatrol SIEM. В зависимости от размера инфраструктуры и количества источников пилотный проект занимает в среднем один-два месяца.

Авторы:

  • Роман Сергеев, аналитик Positive Technologies
  • Наталия Казанькова, менеджер по продуктовому маркетингу, Positive Technologies
Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru