Обзор MaxPatrol SIEM


Обзор MaxPatrol SIEM

Компания Positive Technologies в этом году представила рынку свою систему мониторинга и корреляции событий безопасности — MaxPatrol SIEM 2.0. В данном обзоре мы познакомимся с архитектурой, особенностями и функциями этой новой российской SIEM-системы.

Сертификат AM Test Lab

Номер сертификата: 177

Дата выдачи: 14.11.2016

Срок действия: 14.11.2021

Реестр сертифицированных продуктов »

 

 

1. Введение

2. Функциональные возможности

3. Архитектура и системные требования

4. Работа с продуктом

4.1 Управление компьютерами

4.2 Сбор событий

4.3 Работа с инцидентами

4.4 Мониторинг

5. Выводы

 

 

Введение

Проблема мониторинга инцидентов информационной безопасности, сбора и обработки большого числа событий от разных программных продуктов и средств защиты информации известна каждому ИБ-специалисту. В современных системах защиты используется множество разнообразных средств, каждое из которых генерирует сотни и тысячи событий ежеминутно. Кроме того, события от общесистемного ПО и операционных систем также содержат критически важную информацию. Ручная обработка событий безопасности не под силу даже самым большим отделам ИБ, а когда специалистов, обеспечивающих мониторинг и контроль системы защиты, всего несколько — задача становится и вовсе невыполнимой.

Для решения проблемы мониторинга и отслеживания инцидентов был создан класс решений, который называется SIEM — система мониторинга и выявления событий информационной безопасности. Решения данного класса предлагает целый ряд производителей — и мировые игроки рынка ИБ, и нишевые вендоры со специализированными продуктами. Российская компания Positive Technologies — один из лидеров европейского рынка систем анализа защищенности и соответствия стандартов — предложила собственное решение для управления событиями, включив его в линейку продуктов MaxPatrol. MaxPatrol SIEM — продукт, тесно интегрированный с другими решениями компании Positive Technologies, поддерживающий работу с большинством современных средств защиты, сетевых устройств и операционных систем. Вывод продукта на рынок состоялся менее двух лет назад — весной 2015 года, и всего спустя год компания отчиталась об охвате 10% рынка SIEM-решений. По данным Positive Technologies, эта доля продолжает расти, демонстрируя на сегодняшний день двукратный рост. Рассмотрим решение подробнее.

 

Функциональные возможности

MaxPatrol SIEM версии 2.0 позволяет организовать полный цикл работы с событиями безопасности и включает в себя следующие этапы:

  1. Сбор событий от разных внешних источников. В стандартный комплект поставки  MaxPatrol SIEM входит поддержка следующих форматов и протоколов:
  • Syslog — пассивный сбор событий по протоколу Syslog;
  • Windows Event Log — активный сбор событий Windows Event log;
  • Windows File log — активный сбор событий из файлов Microsoft Windows;
  • Windows WMI log — активный сбор событий Windows Event log через WMI;
  • NetFlow — пассивный сбор событий по протоколу NetFlow;
  • ODBC Log — активный cбор событий из таблиц СУБД;
  • SSH File Log — активный сбор событий из файлов по протоколу SSH;
  • CheckPoint LEA — сбор информации от устройств Check Point по протоколу OPSEC;
  • SNMP Traps — пассивный сбор данных по протоколу SNMP.

При сборе информации из файлов поддерживается разбор простых текстовых файлов, форматов JSON, TABULAR и Windows EventLog.

Несмотря на относительно небольшой, по сравнению с конкурентами, набор готовых коннекторов к целевым системам «из коробки», специалисты Positive Technologies при проведении пилотных проектов и внедрений готовы реализовать поддержку любых источников данных, используемых заказчиком, в рамках технической поддержки.

  1. Нормализация событий для приведения их к общему стандарту и подготовке к дальнейшей обработке.

Каждое событие безопасности проходит через специальную формулу нормализации и преобразовывается в структурированный объект. У объектов событий есть обязательные параметры — дата/время, идентификатор, актив (объект), к которому относится событие, тип действия и статус. Дополнительные параметры заполняются в зависимости от типа и параметров самого события. Формулы нормализации можно редактировать, поэтому поддержка новых типов и форматов событий, пока не реализованных в продукте, может быть быстро добавлена заказчиком самостоятельно либо вендором в рамках технической поддержки.

  1. Фильтрация событий — удаление лишних событий, не относящихся к безопасности.
  2. Агрегация — удаление и объединение повторяющихся событий для сокращения объема хранения.
  3. Корреляция — анализ взаимосвязей между различными событиями по заданным правилам и автоматическое создание инцидентов при срабатывании правил. Подробнее возможности по корреляции будут описаны далее.
  4. Хранение — ведение архива событий и срезов состояний наблюдаемых систем для проведения глубокого анализа и расследования возможных инцидентов безопасности.

Корреляция событий безопасности — основная функция SIEM-систем, то, из-за чего их и применяют заказчики. С помощью правил корреляции в огромном объеме событий, генерируемых разными средствами защиты и системами, происходит автоматический поиск возможных инцидентов безопасности. Корреляция позволяет минимизировать работу администраторов безопасности по работе с журналами и сосредоточиться только на важных событиях. Поиск корреляций осуществляется методом взаимосвязи событий по заранее заданным правилам. В составе продукта присутствует большая база правил для поиска инцидентов и предусмотрена возможность обновления правил и их редактирование непосредственно в интерфейсе продукта. Каждое правило корреляции включает в себя условия для поиска событий, параметры глубины поиска, список исключений и сценарий действий при срабатывании правила. В сценарии правила может быть, например, прописано создание инцидента безопасности или уведомление отдельного сотрудника о событии.

Работа с инцидентами безопасности в MaxPatrol SIEM построена как процесс, включающий в себя автоматическое создание инцидентов при срабатывании правил корреляции, с возможностью назначения ответственных сотрудников для обработки инцидента и поддержкой разных этапов и стадий расследования.

Особенностью MaxPatrol SIEM является работа с инфраструктурой и активами — компьютерами и оборудованием в локальной сети.  MaxPatrol SIEM автоматически собирает информацию об ИТ-инфраструктуре, строит схему (топологию) сети, анализирует версии операционных систем и установленное программное обеспечение, проводит сканирование портов и служб, включает в себя другие функции сканера безопасности. Данная возможность позволяет не только лучше анализировать возникающие инциденты и оценивать их с привязкой к схеме сети и конкретным компьютерам, но и снизить число ложных срабатываний за счет сопоставления событий с текущими параметрами хостов. Например, при обнаружении признаков атаки на отдельный компьютер можно сопоставить сетевые порты, через которые пытается получить доступ злоумышленник, со списком реально открытых портов и работающих сетевых служб.

 

Архитектура и системные требования

 MaxPatrol SIEM — многокомпонентный продукт, который состоит из следующих модулей:

  • Core — основной компонент, осуществляющий централизованное управление всеми компонентами системы и хранение конфигурации активов — данных о компьютерах и устройствах в сети. Именно в нем реализована логика продукта по работе с инцидентами, с уязвимостями (при работе системы анализа защищенности), в нем же предоставляется доступ для администраторов SIEM через веб-сервер.
  • Server — второй серверный компонент, осуществляющий централизованное хранение, агрегацию, фильтрацию, нормализацию и корреляцию событий и данных о сетевом трафике.
  • Agent — многомодульная платформа для сканирования сети и сбора различной информации, включает в себя следующие модули:
    • Scanner — компонент сетевого сканера для активного сбора информации о сети, поиска компьютеров и оборудования, проведения сканирования с целью поиска уязвимостей, открытых сетевых портов и действующих сетевых служб.
    • Log Collector — модуль сбора событий безопасности от внешних продуктов через различные протоколы взаимодействия.

Системные требования компонентов MaxPatrol SIEM напрямую зависят от требуемой производительности, которая рассчитывается в количестве событий, собираемых и обрабатываемых за одну секунду. Данное число — события в секунду — обозначается как EPS (events per second).

 

Таблица 1. Системные требования для компонента Core

 До 6.000 EPSДо 10.000 EPSДо 15.000 EPS
Процессор2 ГГц, 6 ядер2,5 ГГц, 6 ядер3,0 ГГц, 8 ядер
Оперативная память32 Гб48 Гб64 Гб
Жесткий диск2х600 Гб, SAS, от 10.000 об/мин, RAID1

 

Таблица 2. Системные требования для компонента Server

 До 6.000 EPSДо 10.000 EPSДо 15.000 EPS
Процессор2,4 ГГц, 12 ядер2,6 ГГц, 14 ядер3,0 ГГц, 16 ядер
Оперативная память48 Гб64 Гб64 Гб
Жесткий диск2х600 Гб, SAS, от 10.000 об/мин, RAID1 + дополнительное хранилище для событий, объем рассчитывается отдельно

 

Таблица 3. Системные требования для компонента Agent

 ScannerLog Collector
Процессор2,5 ГГц, 4 ядра2,5 ГГц, 4 ядра
Оперативная память8 Гб16 Гб
Жесткий диск1 Тб, SATA, от 7.200 об/мин1 Тб, SATA, от 10.000 об/мин

 

Для всех компонентов MaxPatrol SIEM рекомендуется использовать сетевые подключения на скорости от 1 Гбит/сек.

Компоненты поддерживают работу в следующих операционных системах:

  • Microsoft Windows Server 2008 R2 SP1;
  • Microsoft Windows Server 2012/2012 R2;
  • GNU/Linux Debian 8.0 и выше.

Для доступа к компонентам системы рекомендуется использовать браузеры Google Chrome 49 (и выше), Mozilla Firefox 45 (и выше) или Internet Explorer 11 (и выше).

 

Работа с продуктом

Вся работа с MaxPatrol SIEM осуществляется через веб-интерфейс, подключение выполняется к компоненту Core. Доступ к панели управления осуществляется на ролевой основе — для каждого пользователя задается своя роль, а полномочия в рамках ролей могут быть отредактированы. Также доступ для отдельных администраторов можно ограничить по группам узлов сети — активам, разрешив управление только компьютерами в своей зоне ответственности.

Управление компьютерами

Управление компьютерами в MaxPatrol SIEM осуществляется в разделе «Активы». Рабочий экран данной страницы разделен на три области — в левой части представлены группы компьютеров, далее отображается непосредственно список компьютеров в выбранной группе, и основную рабочую область занимает экран с различной информацией об активе.

 

Рисунок 1. Информация об активах (компьютерах и сетевом оборудовании) в MaxPatrol  SIEM

Информация об активах (компьютерах и сетевом оборудовании) в MaxPatrol  SIEM

 

По каждому элементу сети отображается информация о системе (версия ОС, BIOS, процессоры, материнская плата, жесткие диски, сетевые интерфейсы), список уязвимостей и история срезов состояний во времени. С помощью временного графика можно переключаться к информации о состоянии актива в любой период времени и смотреть диаграмму появления и устранения уязвимостей в перспективе.

 

Рисунок 2. Схема конфигурации сети в MaxPatrol SIEM

Схема конфигурации сети в MaxPatrol SIEM

 

Дополнительно в MaxPatrol SIEM представлена схема сети с отображением маршрутов коммутации сетевых узлов. Данные для графа связей построены на основе сканирования хостов сети, анализа лог журналов целевых систем, сетевого трафика, полученного от модуля Network Traffic.

 

Рисунок 3. Настройка групп активов в MaxPatrol SIEM

Настройка групп активов в MaxPatrol SIEM

 

Поиск и добавление новых активов происходит автоматически при сканировании сети и анализе сетевого трафика. Изначально все новые активы попадают во встроенную группу Unmanaged hosts. Активы можно распределять по произвольным группам, структурируя устройства в сети. Один актив может входить в несколько групп для возможности выделения групп по операционным системам, местоположению и т. д. Группы могут наполняться вручную администратором или автоматически на основе предопределенных правил, включающих в себя любые параметры узла — IP-адреса, версии операционных систем и т. д.

По каждому активу и группам активов настраиваются контекстные метрики CVSS (Common Vulnerability Scoring System) — данные о критичности станции и ее параметры, такие как требование к доступности, плотность целей, вероятность нанесения косвенного ущерба и другие. Данные параметры используются в правилах корреляции для определения степени критичности различных инцидентов.

Сбор событий

Настройка сбора данных включает в себя четыре основных группы — данные об учетных записях, настройка профилей сбора данных, управление задачами и правилами корреляции.

 

Рисунок 4. Параметры профиля в MaxPatrol SIEM

Параметры профиля в MaxPatrol SIEM

 

Профили сбора данных — список параметров и правил для осуществления доступа к удаленному узлу и выбора событий с этих узлов. В продукте есть множество предустановленных профилей сбора, при этом администраторы могут редактировать эти правила и создавать свои. Специалисты Positive Technologies также оказывают помощь в разработке и настройке правил сбора в рамках пилотных проектов и технической поддержки по существующим внедрениям.

 

Рисунок 5. Создание задачи на сбор данных в MaxPatrol SIEM

Создание задачи на сбор данных в MaxPatrol SIEM

 

Рисунок 6. Список задач на сбор данных в MaxPatrol SIEM

Список задач на сбор данных в MaxPatrol SIEM

 

Задача на сбор данных включает в себя выбор активов для сбора и параметров выбора профиля сбора, используемой учетной записи, транспорта и расписания запуска задачи.

 

Рисунок 7. Правила корреляции в MaxPatrol SIEM

Правила корреляции в MaxPatrol SIEM

 

Правила корреляции также настраиваются в разделе сбора данных. Они задаются с помощью встроенного языка запросов. Как и с профилями сбора, с продуктом идет набор предустановленных правил, дополнительные правила корреляции можно разработать самостоятельно или призвать на помощь компанию-интегратора.

 

Рисунок 8. Список событий в MaxPatrol SIEM

Список событий в MaxPatrol SIEM

 

Собранные события отображаются в разделе «События», для общего списка можно применять различные правила фильтрации — выбирать отображение событий только для отдельных групп активов и применять дополнительные ограничения строке поиска. Созданные пользователем запросы можно сохранять как готовые фильтры и в дальнейшем применять в один клик.

При выборе события в правой части экрана отображаются структурированные данные о нем — источник, действие, идентификаторы, объекты и т. д. Кроме того, отображается и оригинальный полный текст события, таким образом в базе данных MaxPatrol SIEM хранятся два типа данных по каждому элементу — оригинальный текст и структурированные данные.

По набору событий поддерживается возможность выгрузки отчета в формате PDF.

Работа с инцидентами

Инциденты в MaxPatrol SIEM создаются одним из двух способов — вручную из интерфейса просмотра списка событий или автоматически на основе специальных правил.

 

Рисунок 9. Список инцидентов в MaxPatrol SIEM

Список инцидентов в MaxPatrol SIEM

 

Работа с инцидентами похожа на работу с событиями — так же присутствует фильтрация по группам активов и произвольные фильтры. При выборе инцидента отображается его описание и основные характеристики. Подробная информация открывается при двойном нажатии.

Дополнительно в настройках продукта присутствует управление уведомлениями — при появлении новых инцидентов в определенных группах активов ответственные администраторы безопасности могут получить сообщение по электронной почте. Также уведомления могут отправляться по расписанию и сообщать о новых инцидентах за заданный промежуток времени.

 

Рисунок 10. Подробная информация об одном инциденте в MaxPatrol SIEM

Подробная информация об одном инциденте в MaxPatrol SIEM

 

К инцидентам привязываются задачи — рабочие элементы для расследования инцидентов администраторами. Для задачи задается ее тип, крайний срок выполнения, выбор ответственного сотрудника и описание.

 

Рисунок 11. Создание задачи в рамках инцидента в MaxPatrol SIEM

Создание задачи в рамках инцидента в MaxPatrol SIEM

 

Рисунок 12. Список инцидентов в MaxPatrol SIEM

Список инцидентов в MaxPatrol SIEM

 

Практически для всех элементов системы MaxPatrol SIEM доступны функции отображения статистики, построения графиков и генерации отчетов. Отчеты снабжаются подробным описанием, графиками и различной информацией об узлах сети, инцидентах, задачах и событиях.

 

Рисунок 13. Пример отчета по уязвимым узлам сети в MaxPatrol SIEM

Пример отчета по уязвимым узлам сети в MaxPatrol SIEM

 

Рисунок 14. Отчет по инцидентам за промежуток времени в MaxPatrol SIEM

Отчет по инцидентам за промежуток времени в MaxPatrol SIEM

Мониторинг

Раздел «Мониторинг SIEM» содержит ряд графиков для отслеживания состояния системы сбора событий. Графики отражают число полученных и обработанных событий от разных источников. Отдельно можно вывести информацию о количестве исходных событий и сравнить эти данные с числом нормализованных и отфильтрованных событий.

 

Рисунок 15. Мониторинг получения событий в MaxPatrol SIEM

Мониторинг получения событий в MaxPatrol SIEM

 

Для выводимых графиков предусмотрены различные настройки и фильтрации — по узлам сети и группам активов, по заданиям сбора, типам событий и другие.

 

Выводы

Обработка событий безопасности с рабочих мест, серверов, сетевого оборудования и других узлов локальной сети — сложная задача, которая не может быть выполнена без автоматизации. Система мониторинга и корреляции событий информационной безопасности MaxPatrol SIEM версии 2.0 позволяет ИБ-администраторам взять под контроль функционирование всех защищаемых активов.

Продукт способен собирать события безопасности с устройств разных производителей и компьютеров, работающих под управлением большого числа операционных систем. Существенным плюсом MaxPatrol SIEM является возможность нормализации событий — разбора событий в журналах аудита и его представление в виде структурированного списка. Такой подход упрощает работу с событиями безопасности и значительно ускоряет поиск по событиям. С помощью управляемых правил корреляции и автоматического выявления инцидентов безопасности данный продукт обеспечивает высокую скорость реагирования на потенциальные проблемы в системе защиты. А со встроенной системой управления задачами расследования инцидентов и действия ИБ-персонала всегда упорядочены и систематизированы.

MaxPatrol SIEM можно использовать в инфраструктурах любого размера — хорошая производительность компонентов продукта и возможность его масштабирования позволяют подстроиться под любое количество узлов в сети и оптимально использовать аппаратные ресурсы для развертывания системы. Дополнительным плюсом для больших инфраструктур является поддержка ролевого доступа администраторов безопасности, с помощью которой можно обеспечить доступ к отдельным функциям продукта и контролируемым узлам для офицеров безопасности различных уровней.

Планы Positive Technologies на MaxPatrol SIEM амбициозны, развитие продукта ведется быстрыми темпами, в ближайшее время ожидается выход обновленной версии, а в целом Positive Technologies планирует планомерное расширение своей доли на рынке SIEM-решений. Мы будем внимательно следить за развитием данного решения и в будущем планируем подробно рассматривать новые версии MaxPatrol SIEM.

Достоинства:

  • Модульность продукта, обеспечивающая высокую масштабируемость и производительность.
  • Глубокая интеграция SIEM-системы со средством анализа защищенности MaxPatrol.
  • Правила корреляции устойчивы к изменениям в ИТ-инфраструктуре.
  • Готовность вендора подключить любой источник логов.
  • Система нормализации событий, позволяющая реализовать поиск событий по различным структурированным данным.
  • Поддержка кастомизации продукта заказчиком — возможность создания собственных фильтров событий, правил корреляции, профилей сбора и т. д.
  • Система задач — возможность распределения инцидентов по сотрудникам, отслеживания статуса расследований и ведения рабочих процессов внутри SIEM-системы.
  • Российский производитель, интерфейс и документация на русском языке, наличие в реестре отечественного ПО.

Недостатки:

  • Меньшее (по сравнению с западными вендорами) число готовых коннекторов к целевым системам «из коробки» (решается с помощью специалистов компании Positive Technologies в рамках пилотов и технической поддержки).
  • Отсутствие в текущей версии графического конструктора правил корреляции.
  • Отсутствие эвристических механизмов анализа событий, механизмов глубокого анализа событий с поиском аномалий и других сложных технических методов обнаружения инцидентов.
  • На момент написания обзора нет сертификата ФСТЭК (получено положительное сертификационное заключение, получение сертификата ожидается до конца 2016 года).

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Выбор редакции: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.