Как показывает себя SIEM-система KUMA от Kaspersky на практике

Как показывает себя SIEM-система KUMA от Kaspersky на практике

Kaspersky Unified Monitoring and Analysis Platform (KUMA) — система класса «управление информацией и событиями по безопасности» (Security Information and Event Management, SIEM) от «Лаборатории Касперского». Представляет собой единую консоль мониторинга, анализа и реагирования на киберугрозы в рамках экосистемы. Расскажем о преимуществах KUMA на практических примерах.

 

 

 

 

 

  1. Введение
  2. Преимущества SIEM
  3. Описание SIEM-системы KUMA от «Лаборатории Касперского»
    1. 3.1. Коллекторы
    2. 3.2. Корреляторы
    3. 3.3. Хранилище
    4. 3.4. Ядро
  4. Возможности интеграции SIEM-системы KUMA
  5. Практическое применение KUMA специалистами SOC Wone IT
    1. 5.1. Нормализацией событий по аутентификации пользователя
    2. 5.2. Кейс по поиску нежелательного ПО в инфраструктуре
  6. Выводы

Введение

«Лаборатория Касперского» представила собственное SIEM-решение, которое позволяет в настоящем времени отслеживать аномалии и осуществлять управление событиями. Благодаря этому повышается продуктивность работы специалистов по информационной безопасности (ИБ) и снижаются риски взломов.

KUMA способна интегрироваться с решениями других вендоров. Это позволяет аккумулировать данные из различных источников, делая мониторинг более эффективным и ускоряя реагирование на инциденты. Далее подробнее рассмотрим возможности системы KUMA и её основных компонентов, а затем на практическом примере покажем специфику работы этого решения.

Преимущества SIEM

Сложность угроз кибербезопасности и объёмы данных, которые необходимо анализировать для их выявления, растут с каждым годом. Анализировать всё это вручную силами аналитиков даже в небольшой инфраструктуре невозможно физически. На помощь специалистам по информационной безопасности приходят решения класса SIEM. Они в автоматическом режиме собирают и хранят данные от множества различных источников (сетевых устройств, средств безопасности, операционных систем, приложений, баз данных и так далее), а также ищут там аномалии.

Основным преимуществом SIEM-систем является их способность самостоятельно собирать и соотносить между собой события связанные с информационной безопасностью. Эта способность позволяет идентифицировать угрозы и аномалии, которые невозможно было бы заметить при анализе единичных событий. Так, например, SIEM может детектировать множественные неудачные попытки входа в систему на разных устройствах с помощью одной учётной записи и оповестить специалиста о возможной угрозе.

Кроме того, благодаря возможности аккумулировать в одной консоли события от разных средств защиты информации специалистам больше не нужно постоянно проверять десятки окон с разрозненными интерфейсами в попытках не пропустить важное событие или оповещение. Это экономит время и силы персонала, позволяя ему сосредоточиться на действительно существенных задачах.

Эта функциональность SIEM-систем и их способность осуществлять управление событиями сделали их ключевыми элементами корпоративной информационной безопасности.

Описание SIEM-системы KUMA от «Лаборатории Касперского» 

Kaspersky Unified Monitoring and Analysis Platform, или KUMA, создана для мониторинга и анализа событий из широкого спектра систем. Её основные задачи — централизация управления инцидентами, обеспечение возможности своевременно обнаруживать угрозы и быстро реагировать на них в режиме реального времени.

Архитектурно KUMA состоит из нескольких ключевых компонентов. В их числе — коллекторы, корреляторы, хранилище и ядро. Рассмотрим подробнее каждый из них.

Коллекторы

Коллекторы собирают данные от всевозможных источников — пользовательских машин, серверов, сетевых устройств и т. д. Они получают, нормализовывают (приводят к унифицированному виду, удобному для обработки другими компонентами) и фильтруют события для их подготовки к дальнейшему анализу. 

Получение событий может быть реализовано по-разному, в зависимости от целевой системы. Какие-то источники могут сами посылать события в сторону коллектора, а тому останется только слушать трафик на указанном порту, какие-то хранят их у себя и требуют подключаться к ним по сети. Свои события системы также хранят в совершенно разных форматах — JSON, XML, SYSLOG, CSV. 

Попытки привести вендоров к общему формату были, но не увенчались успехом. Поэтому приходится под каждый формат логов создавать собственные нормализаторы. К счастью, для большинства самых распространённых систем эти нормализаторы уже написаны специалистами «Лаборатории Касперского», а для редких или самописных систем в KUMA есть механизм создания собственных нормализаторов. 

Здесь же может быть реализовано обогащение нормализованных событий, то есть добавление данных, которых не было в исходном событии, но которые помогут в дальнейшем их анализе. По желанию выполняется агрегация — объединение множества однотипных событий. После обработки коллектор направляет нормализованные, агрегированные и обогащённые события в коррелятор для дальнейшей обработки, а также в хранилище для возможности их ручного исследования аналитиками при необходимости.

Корреляторы

Корреляторы получают нормализованные события от коллекторов и на основании заранее подготовленных правил ищут подозрительные последовательности событий в рамках одного устройства или в масштабе нескольких систем. «Лаборатория Касперского» поставляет «из коробки» вместе с продуктом широкий набор правил корреляции, которые можно использовать сразу после установки системы. 

Для более зрелых ИБ-команд, которым необходимо обеспечивать защиту специфичных систем, есть возможность и самостоятельно создавать собственные правила, реализовывающие особую логику. На этапе корреляции также можно дополнительно обогатить события для удобства аналитика и для их дальнейшего соотнесения между собой.

Хранилище

Хранилище отвечает за долгосрочное хранение нормализованных и соотнесённых событий. Это необходимо для последующего анализа и расследования инцидентов, для полной реконструкции произошедшего даже спустя продолжительное время. Главная задача, возлагаемая на хранилища, — обеспечить быстроту доступа к данным, надёжность их хранения и эффективное использование дискового пространства. 

Для этого в KUMA используется кластер ClickHouse. Его гибкая структура позволяет максимально индивидуализировать инсталляцию под нужды компании. Можно дублировать данные и разносить их территориально для надёжности хранения, можно использовать механизм «холодных» и «горячих» хранилищ для переноса устаревших событий на более медленное «железо» в целях минимизации затрат.

Ядро

Ядро KUMA обеспечивает взаимодействие остальных компонентов и предоставляет аналитикам интерфейс для взаимодействия с системой. Администратор с помощью веб-интерфейса может менять конфигурацию системы, разворачивать дополнительные компоненты и менять существующие, управлять пользователями, настраивать интеграции с другими системами. Аналитику здесь доступны полностью подстраиваемые под любые нужды панели мониторинга, а также информация об инцидентах и алёртах для расследования и реагирования в режиме реального времени.

Все компоненты SIEM KUMA взаимодействуют между собой с использованием защищённых транспортных протоколов. Платформа поддерживает балансировку нагрузки и отказоустойчивость, что повышает надёжность её работы.

Возможности интеграции SIEM-системы KUMA

Помимо внутренней функциональности по работе с событиями, KUMA поддерживает интеграцию с другими системами в инфраструктуре, тем самым повышая общую безопасность организации.

Например, интеграция с Kaspersky Security Center позволит импортировать информацию о собранных им активах и реагировать на инциденты путём запуска задач KSC и переноса активов между группами администрирования. Продукт Kaspersky Endpoint Detection and Response сможет передавать в KUMA телеметрию от защищаемых хостов и созданные им алёрты, позволит более эффективно реагировать средствами EDR-агентов на хостах. 

Подключение к LDAP даст KUMA возможность обогащать события информацией из Active Directory, а также блокировать пользователей, которые совершают подозрительные действия, или перемещать их между группами. Интеграция с Kaspersky Automated Security Awareness Platform, о которой вы можете прочитать в нашей статье, предоставит аналитику информацию о том, какие курсы пользователь уже прошёл на платформе, и даст возможность назначить ему более углублённое изучение правил соблюдения информационной безопасности, если это необходимо.

Помимо указанных выше примеров, есть ещё много вариантов интеграции с решениями разных вендоров. Результатом может быть как повышение уровня информационной безопасности в организации, так и улучшение и облегчение работы аналитиков.

Практическое применение KUMA специалистами SOC Wone IT 

Теперь, когда мы рассмотрели архитектуру и возможности KUMA, давайте перейдём к примеру из практики наших аналитиков. На конкретном случае мы покажем, как все эти технологии и процессы, описанные выше, применяются для выявления реальных угроз информационной безопасности и реагирования на них.

Нормализацией событий по аутентификации пользователя

В практике SOC всё чаще встречается работа над дополнением предоставляемого вендором контента. В ходе пилотного проекта специалисты Wone IT столкнулись с недостаточной нормализацией событий по аутентификации пользователя. В частности, недоставало нормализации и агрегации событий по подключениям через VPN, источником которых служил FortiGate. Для демонстрации возможностей системы KUMA был разработан дополнительный нормализатор, учитывающий специфику событий от VPN, благодаря которому впоследствии была выявлена угроза сетевой безопасности заказчика.

Когда речь заходит о сетевой безопасности, первое, о чём вспоминает специалист по ИБ, — это NTA, которые смежны по функциональности с SIEM. Системы дополняют друг друга: NTA выступает в качестве источника данных о сетевой безопасности, SIEM отвечает за приём, агрегацию и корреляцию поступающих логов. При этом системы не взаимозаменяемы, они являются двумя элементами безопасности, которые при интеграции позволяют команде ИБ вовремя выявлять угрозы в ходе эмпирического анализа.

В рамках пилотного проекта было реализовано стандартное подключение FortiGate (частью функциональности которого является NAT) к KUMA для анализа сетевого трафика. Как уже говорилось ранее, силами специалистов SOC для источника был разработан дополнительный нормализатор, обеспечивающий полноту информации о VPN-подключениях, и настроена агрегация. 

Благодаря комплексу этих мероприятий аналитики SOC получили более полную информацию об установлении соединения и аутентификации пользователей в соответствии с настроенными на источнике политиками передачи данных и обнаружили аномалию, не подпадающую под правила FortiGate. При регулярном анализе поступающих событий и реагировании на алёрты были выявлены растянутые во времени попытки брутфорса со внешних адресов, нацеленные на инфраструктуру заказчика. Количество неудачных попыток установления соединения в короткое время было недостаточным для срабатывания механизмов защиты FortiGate. 

В то же время механизмами KUMA фиксировались растянутые во времени неудачные попытки подключения к порту 500 с пула внешних адресов. Опираясь на статистику полученных событий, аналитики SOC сформировали инцидент об угрозе сетевой безопасности, и при взаимодействии с заказчиком угрозу удалось нейтрализовать штатными средствами.

Помимо регулярного анализа поступающих событий, механизмы KUMA помогают облегчить процесс активного поиска угроз. В ходе пилотного проекта аналитиками SOC был реализован поиск потенциальных угроз безопасности, находящихся внутри инфраструктуры. Для демонстрации возможностей системы KUMA и усиления уровня защищённости инфраструктуры заказчика аналитики сформировали список программного обеспечения, включающий в себя исполняемые файлы торрент-клиентов, игровое ПО, сниферы и кейлогеры. 

Кейс по поиску нежелательного ПО в инфраструктуре

Проработка гипотезы о нахождении в инфраструктуре нежелательного ПО заключалась в поиске запуска исполняемого файла на хосте. В связи со срочностью проведения работ поиск производился вручную с помощью построения SQL-запроса и экспорта данных для оперативного уведомления заказчика. 

При проведении проактивного поиска угроз (Threat Hunting) аналитиками SOC были обнаружены исполняемые файлы торрент-клиентов; также возникло подозрение на применение программы для запуска игр со встроенным BitTorrent-клиентом и самоуправляемым средством сбора файлов — «hydra.exe». Данные из открытых источников характеризуют исполняемый файл Hydra как ПО для сетевого взлома и автоматического сбора паролей.  

На основе событий, поступающих в KUMA, аналитики произвели оперативное расследование: время запуска, активный пользователь на хосте и его перемещение в инфраструктуре, путь к исполняемому файлу. Анализ собранной информации позволил определить, что применение «hydra.exe» на хосте было легитимным, так как одноимённый EXE-файл использовался для автоматизации работы с мессенджерами, что впоследствии было подтверждено заказчиком.

Этот кейс показал необходимость дальнейшего отслеживания потенциально опасного или нелегитимного ПО. Для оперативного реагирования командой SOC создаются списки и правила корреляции, которые в следующих проектах будут загружены в KUMA для формирования алёртов. 

Выводы

SIEM-система KUMA от «Лаборатории Касперского» — эффективный инструмент отслеживания потенциально опасных событий. Она позволяет осуществлять централизованное управление и оперативно реагировать на угрозы конфиденциальности и целостности информационной системы. 

KUMA интегрируется с решениями сторонних вендоров. Благодаря этому не только повышается общий уровень информационной безопасности, но и облегчается работа аналитиков.

3 сентября в 11:00 (Мск) состоится бесплатный вебинар «KUMA 3.2: пример работы линий реагирования SOC и инженерной команды». Специалисты Wone IT поделятся собственными кейсами по работе с обновленной версией KUMA 3.2. Для участия необходима регистрация.

Авторы: 

Потапнёв Даниил Романович, инженер по информационной безопасности Wone IT

Муртазина Юлия Радиковна, аналитик SOC L2

Реклама, ООО "ВАН АЙ ТИ ТРЕЙД", ИНН 5044057860

ERID: 2Vfnxve6XQU

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru