Обзор RuSIEM 3.3, отечественной SIEM-системы (управление информационной безопасностью)
Акция от Infosecurity! Обучайте сотрудников с выгодойПодключайте сервис TRAINING CENTER. Организацию и контроль обучения берем на себя:
• Разработаем индивидуальные шаблоны учебного фишинга.
• Сформируем учебные группы и проведем учебные фишинговые атаки.
• Проконтролируем процесс и определим результаты.

При заключении договора сроком на 1 год и более – сопровождение бесплатно.
Набор и стоимость услуг зависят от количества пользователей, и размер скидки уточняйте у менеджера.

Оставить заявку →
Реклама. Рекламодатель ООО «ИС», ИНН 7705540400, 18+

Обзор RuSIEM 3.3, отечественной SIEM-системы


Обзор RuSIEM 3.3, отечественной SIEM-системы

RuSIEM — полностью отечественная SIEM-система, предназначенная для сбора и корреляции событий, получаемых из информационных систем, серверов, хостов, сетевого оборудования и других элементов инфраструктуры, с целью проактивного поиска угроз, выявления аномалий, нелегитимных действий и атак. RuSIEM входит в реестр отечественного ПО, имеет возможность подключения к ГосСОПКА и используется в более чем 10 000 организаций.

Сертификат AM Test Lab

Номер сертификата: 369

Дата выдачи: 14.12.2021

Срок действия: 14.12.2026

Реестр сертифицированных продуктов »

  1. Введение
  2. Функциональные возможности RuSIEM
    1. 2.1. Панель мониторинга
    2. 2.2. Работа с событиями
    3. 2.3. Правила корреляции
    4. 2.4. Статические и динамические списки
    5. 2.5. Работа с инцидентами
    6. 2.6. Граф взаимосвязей
    7. 2.7. Система отчётов
    8. 2.8. Работа со стандартами
    9. 2.9. Работа с парсерами
    10. 2.10. Ролевая модель
    11. 2.11. Модуль аналитики
    12. 2.12. Работа с активами
    13. 2.13. Интеграция с ГосСОПКА
    14. 2.14. Документация RuSIEM
  3. Архитектура RuSIEM
    1. 3.1. Масштабирование компонентов RuSIEM по нодам
  4. Системные требования RuSIEM
  5. Сценарии использования RuSIEM
    1. 5.1. Расследование инцидента
    2. 5.2. Передача инцидента в НКЦКИ
  6. Выводы

Введение

SIEM-системы давно перестали быть чем-то новым на рынке продуктов для информационной безопасности. Этому классу решений уже более 15 лет, и, согласно последнему отчёту консалтинговой фирмы IDC, рынок уже перестал развиваться: в ближайшие пять лет он будет расти в среднем на 4,6 % в год, что очень мало. Однако это не говорит о том, что не развиваются сами системы. Наоборот, постоянное изменение векторов атак, появление новых APT-группировок, уязвимостей и эксплойтов к ним, новые тенденции требуют совершенствования решений класса SIEM.

Очень интересна ситуация по SIEM-системам на российском рынке. В соответствии с опросом IDC, в 2018 году доля проникновения SIEM на российский рынок составила 15 %, что не так уж и много, особенно с учётом интенсивности кибератак по отношению к предприятиям из нашей страны. 29 % опрошенных внедрили у себя SIEM для обеспечения соответствия требованиям регулирующих органов. При этом всего 2 % респондентов оказались недовольны внедрённым решением. Характерная черта — практически половина (47 %) опрошенных указали на необходимость вложений в системы этого класса после их внедрения.

За три года картина мало изменилась: регуляторы предписывают иметь систему мониторинга, внедрение такой системы сопровождается немалыми затратами и требует определённого уровня зрелости информационной безопасности в организации. Главный фактор, который может изменить картину в части выбора конкретной SIEM-системы в компаниях в ближайшее время, — это импортозамещение, которое вот-вот коснётся предприятий подпадающих под действие федерального закона № 187-ФЗ о критической информационной инфраструктуре Российской Федерации.

В связи с этим в ближайшее время ожидается повышенный спрос на SIEM отечественного производства. RuSIEM — одна из немногих таких систем. Её разработка началась в 2014 г., когда один из заказчиков захотел коррелировать события прохода сотрудников через СКУД и авторизации в домене. В 2021 г. RuSIEM внедрена в шести отраслях, имеет более 100 партнёров по всему миру, а свободно распространяемая версия установлена в более чем 10 000 компаний по всему миру.

В июле 2021 г. вышла новая версия RuSIEM, обзор которой приведён ниже.

Функциональные возможности RuSIEM

RuSIEM представлен на рынке тремя продуктами с разными функциональными возможностями.

RvSIEM — бесплатный, свободно распространяемый продукт класса Log Management (управление журналами), с помощью которого можно выполнять нормализацию полученных логов, обогащать события, искать данные в журналах, строить отчёты и создавать информационные панели. Количество обрабатываемых событий — до 500 в секунду.

RuSIEM — собственно SIEM-система, занимающаяся как сбором, так и обработкой и корреляцией событий. Она не имеет таких ограничений по событиям в секунду, которые свойственны RvSIEM, обладает большими функциональными возможностями в том числе в части работы с инцидентами и потоками данных Threat Intelligence.

RuSIEM Analytics — модуль, который позволяет выявлять аномалии, формировать аналитические отчёты, управлять активами, построить процесс управления уязвимостями и реализовать много других дополнительных возможностей.

В этом обзоре содержится информация о RuSIEM с подключённым модулем RuSIEM Analytics.

 

Таблица 1. Сравнение версий RuSIEM

Особенности

RuSIEM

RuSIEM Analytics

RvSIEM free

Ограничение по количеству обрабатываемых EPS

В соответствии с условиями лицензирования

В соответствии с условиями лицензирования


500 EPS

Кластер баз данных на отдельных серверах

Не лицензируется

Не лицензируется

Не лицензируется

Несколько нод серверов

В соответствии с условиями лицензирования

В соответствии с условиями лицензирования


1

Количество агентов

Без ограничений

Без ограничений

Без ограничений

Техническая поддержка

В соответствии с условиями лицензирования

В соответствии с условиями лицензирования

Ограничена

Бессрочная лицензия

Да

Да

Да

Временная лицензия

Возможна

Возможна

Нет

Привязка лицензий к оборудованию

Да

Да

Нет

Интеграция по API

Да

Нет

Да

Поисковые запросы

Да

Да

Да

Корреляция в режиме реального времени

Да

Да

Нет

Инцидент-менеджмент

Да

Да

Нет

Симптоматика

Да

Да

Да

Генерация отчётов

Да

Да

Да

Интеграция со СКУД

Да

Нет

Нет

Отслеживание аутентификации

Нет

Да

Нет

Управление уязвимостями

Нет

Да

Нет

Данные об угрозах

Нет

Да

Нет

Поведенческий анализ

Нет

Да

Нет

Машинное обучение

Нет

Да

Нет

Аудит соответствия

Да

Нет

Нет

Управление активами

Нет

Да

Нет

Аналитические отчёты

Нет

Да

Нет

 

Понятно, что главная функциональная задача любой SIEM-системы — это работа с логами: парсинг, нормализация, корреляция в соответствии с правилами, выявление инцидентов. RuSIEM в этом плане ничем не отличается от других SIEM-систем. Однако есть ряд функциональных возможностей, которые делают эту систему более универсальной. Рассмотрим часть из них.

Панель мониторинга

RuSIEM обладает настраиваемой панелью мониторинга, куда выводится вся информация, которая необходима для проведения экспресс-анализа — например, основные категории симптомов при срабатывании тех или иных правил, количество выявленных системой инцидентов, последние происшествия, распределение IP-адресов по геолокации и др.

Можно удалять виджеты или добавлять новые, в виде как графиков, так и таблиц.

 

Рисунок 1. Панель мониторинга в RuSIEM

Панель мониторинга в RuSIEM

 

Работа с событиями

События, поступающие из подключённых к RuSIEM систем, можно фильтровать и группировать в соответствии с заданными критериями. Здесь же можно посмотреть описание события после нормализации.

 

Рисунок 2. Работа с событиями в RuSIEM

Работа с событиями в RuSIEM

 

Настроенные фильтры можно сохранять для экономии времени в будущем.

Правила корреляции

«Из коробки» система имеет более 350 правил корреляции, разбитых на группы в соответствии с теми типами инцидентов, которые могут быть выявлены при их использовании.

 

Рисунок 3. Правила корреляции, заложенные в RuSIEM «по умолчанию»

Правила корреляции, заложенные в RuSIEM «по умолчанию»

 

Пользователь может добавить свои правила корреляции, написав их или загрузив из файла.

Помимо правил корреляции в RuSIEM также есть регулярно обновляемые индикаторы компрометации (IoC). Периодичность их обновления — каждый день.

 

Рисунок 4. Индикаторы компрометации в RuSIEM

Индикаторы компрометации в RuSIEM

 

Статические и динамические списки

Создание правил корреляции и поиск инцидентов упрощаются благодаря возможности использования статических и динамических списков. Таким образом нет необходимости указывать конкретные значения искомых параметров: они просматриваются в созданных списках. И статические, и динамические списки имеют TTL (время жизни записей).

Главное различие заключается в том, что статические правила заполняются вручную, а динамические — в соответствии с правилами корреляции. Система позволяет добавлять динамические значения в список или удалять их оттуда, а также искать необходимые значения.

Благодаря этому поиск инцидентов в ИБ становится намного эффективнее.

 

Рисунок 5. Статические и динамические списки RuSIEM

Статические и динамические списки RuSIEM

 

Работа с инцидентами

Для работы с инцидентами RuSIEM предоставляет возможность использования собственной IR-платформы. Нельзя сказать, что сейчас это — полноценная IRP или тем более SOAR. Однако компания движется в этом направлении и планирует доработку в последующих релизах. Кроме того, у продукта есть глубокая интеграция с используемыми на рынке SOAR-платформами и гибкий API, позволяющий вполне быстро организовать интеграцию с платформами по желанию заказчика.

Панель инцидентов визуализирует происшествия в зависимости от их типа, статуса и приоритета.

 

Рисунок 6. Панель инцидентов в RuSIEM

Панель инцидентов в RuSIEM

 

События попадают в систему автоматически по результатам отработки правил корреляции. Возможно также ручное заведение инцидентов в системе.

 

Рисунок 7. Ручное заведение инцидентов в RuSIEM

Ручное заведение инцидентов в RuSIEM

 

В карточке инцидента можно посмотреть всю доступную информацию по нему, создать задачи для различных исполнителей, а также отправить его в НКЦКИ.

 

Рисунок 8. Пример карточки инцидента в RuSIEM

Пример карточки инцидента в RuSIEM

 

Рисунок 9. Создание задачи в рамках расследования инцидента в RuSIEM

Создание задачи в рамках расследования инцидента в RuSIEM

 

Граф взаимосвязей

Возможности RuSIEM позволяют строить наглядный граф взаимосвязей для проведения анализа. В качестве исходных данных для такого графа могут браться заданные пользователем условия или ряд предопределённых параметров, которых насчитывается более 100.

 

Рисунок 10. Граф взаимосвязей «Город — IP-адрес назначения» в RuSIEM

Граф взаимосвязей «Город — IP-адрес назначения» в RuSIEM

 

Система отчётов

RuSIEM обладает возможностью готовить отчёты в соответствии с заданными параметрами. В системе есть ряд предварительно настроенных отчётов, разнесённых по разным категориям. Также имеется возможность создавать свои отчёты и категории, а уже имеющиеся индивидуализируются в соответствии с потребностями пользователя. Можно формировать отчёты вручную или задать расписание и список получателей для последующей автоматической отправки сводок на электронные ящики ответственных сотрудников. Отчёты могут содержать как графики, так и табличные данные; поддерживаются различные форматы файла — XLS, CSV, PDF.

 

Рисунок 11. Панель работы с отчётами RuSIEM

Панель работы с отчётами RuSIEM

 

Работа со стандартами

RuSIEM помогает пользователям работать со стандартами для проведения аудитов соответствия нормативным документам (обеспечения комплаенса).

Изначально в RuSIEM заведён только стандарт PCI DSS, но также можно добавлять в систему и свои стандарты, с которыми необходимо работать. Например, это могут быть требования по приказу ФСТЭК России № 239 от 26.03.2019.

Правила, созданные в рамках стандартов, позволяют делить необходимые меры защиты на технические и организационные, что даёт возможность гибче выстраивать процессы по реализации соответствия им.

 

Рисунок 12. Правила в рамках стандарта PCI DSS в системе RuSIEM

Правила в рамках стандарта PCI DSS в системе RuSIEM

 

Работа с парсерами

Для работы с источниками данных RuSIEM обладает более чем сотней парсеров, которые позволяют работать «из коробки» более чем с двумя сотнями источников. Также есть возможность разрабатывать и добавлять свои парсеры. Язык разработки парсеров — logstash. После создания парсера можно сразу проверить его работу и исправить ошибки, в случае если таковые найдутся.

 

Рисунок 13. Работа с парсерами в RuSIEM

Работа с парсерами в RuSIEM

 

Ролевая модель

Состав групп пользователей, работающих в RuSIEM, является редактируемым. Также имеется возможность создавать свои группы пользователей и за счёт гибких настроек предоставления прав доступа разделять их полномочия.

 

Рисунок 14. Настройка прав доступа в RuSIEM

Настройка прав доступа в RuSIEM

 

Модуль аналитики

Модуль аналитики RuSIEM позволяет искать отклонения в поведении пользователей. Например, для защиты топ-менеджмента можно создать правило, в соответствии с которым будут фиксироваться IP-адреса, с которых они подключаются. На основании этих данных будет строиться статистика, отклонение от которой — сигнал о том, что надо проверить, действительно ли топ-менеджер подключился к сети предприятия или, возможно, его учётная запись была скомпрометирована.

В создаваемых правилах аналитики можно задавать периодичность и шаг анализа, допустимый процент отклонения от статистики и глубину выборки — количество дней, статистика за которые запоминается.

 

Рисунок 15. Аналитика по подключению пользователя «root» в RuSIEM

Аналитика по подключению пользователя «root» в RuSIEM

 

На рисунке показана статистика по подключению пользователя «root» к корпоративным ресурсам. Голубым цветом отрисованы реальные подключения пользователя, чёрным — гипотеза RuSIEM на основании ранее собранных данных. Как видно из рисунка, поведение пользователя не выбивается из рамок привычного, не считая небольшого спада, который мог быть вызван, например, техническими проблемами.

Работа с активами

Работа с активами — это новая функциональная возможность RuSIEM, появившаяся совсем недавно. Создать актив в RuSIEM можно вручную, путём подгрузки из XLS- / CSV-файлов, с помощью интеграции с CMDB-системой или автоматически, получая информацию от агентов, установленных на активах.

Приоритетные способы получения этих данных — из CMDB или с помощью агентов, так как при этом поступает актуальная информация о технических характеристиках компьютера, составе подключённого оборудования, пользователях и других полезных параметрах.

 

Рисунок 16. Карточка актива в системе RuSIEM

Карточка актива в системе RuSIEM

 

Если в организации используются сканеры уязвимостей, то можно подгрузить один раз или по расписанию информацию об ошибках в безопасности в привязке к активам, на которых были обнаружены бреши.

 

Рисунок 17. Уязвимости одного из активов в системе RuSIEM

Уязвимости одного из активов в системе RuSIEM

 

RuSIEM способен работать с отчётами разных сканеров уязвимостей путём их парсинга. В случае если в системе отсутствуют подходящие парсеры, их можно написать самостоятельно либо с привлечением поддержки производителя.

Также есть постоянно актуализируемая база уязвимостей и можно посмотреть информацию обо всех новых уязвимостях без привязки к определённым активам.

 

Рисунок 18. Информация об уязвимости, отображаемая в интерфейсе RuSIEM

Информация об уязвимости, отображаемая в интерфейсе RuSIEM

 

Интеграция с ГосСОПКА

Возможность интеграции RuSIEM с ГосСОПКА делает систему привлекательной для предприятий подпадающих под действие федерального закона № 187-ФЗ (о безопасности критической информационной инфраструктуры), так как это позволит автоматизированно оповещать ФСБ России об инцидентах, реагировать на них и ликвидировать последствия атак на объекты КИИ.

Для работы с ГосСОПКА в системе есть особый раздел. С его помощью можно создать и отправить уведомление об инциденте, обменяться комментариями с НКЦКИ и получить свежие бюллетени.

 

Рисунок 19. Работа с ГосСОПКА в RuSIEM

Работа с ГосСОПКА в RuSIEM

 

Информацию об инциденте можно отправить в ГосСОПКА не только вручную, но и из карточки инцидента.

 

Рисунок 20. Отправка информации об инциденте в НКЦКИ из карточки в RuSIEM

Отправка информации об инциденте в НКЦКИ из карточки в RuSIEM

 

Документация RuSIEM

Документация RuSIEM размещается на отдельном портале в формате WIKI и состоит из нескольких разделов, в соответствии с целевой аудиторией системы: для администраторов, аналитиков, операторов, инженеров.

Документация весьма подробна, сопровождается скриншотами. Для удобства на портале есть функция поиска.

 

Рисунок 21. Портал документации RuSIEM

Портал документации RuSIEM

 

Архитектура RuSIEM

RuSIEM состоит из ряда универсальных модулей, доступных в базовой версии, и двух платных компонентов. Однако архитектура одинакова для всех версий и является микросервисной. За каждый этап обработки информации отвечает отдельный модуль.

 

Рисунок 22. Архитектура RuSIEM

Архитектура RuSIEM

 

Компонент Lsinput получает информацию от агентов RuSIEM, установленных на Windows-устройствах (пользовательских и серверных), или коллекторов, собирающих события с устройств без установленных агентов. Также в него поступают события по протоколам NetFlow и Syslog. Полученные события передаются далее для обработки. Если сделать это по каким-то причинам невозможно, либо если количество событий превышает предусмотренное лицензией, то эти события не теряются, а дожидаются своей очереди — когда поток снизится или когда восстановится работоспособность сети.

Frs_server, он же сервер нормализации, позволяет преобразовывать «сырые» логи в читаемый вид. Записи, содержащиеся в полученных журналах, анализируются и разделяются по соответствующим полям, что помогает аналитику не тратить время на поиск тех или иных сведений в «сырых» событиях. RuSIEM имеет порядка 500 полей, содержащихся в парсерах системы и заполняющихся по ходу нормализации, а также даёт пользователю возможность добавлять свои поля.

Lsfilter-1, сервис симптоматики, отвечает за обогащение событий. Использование этого модуля позволяет присвоить каждому событию вес, влияющий на определение его критической значимости, времени хранения, а также категории для дальнейшего использования в корреляции.

Модуль Lselastic отвечает за сохранение логов как в «сыром», так и в обработанном виде в базах данных Elasticsearch.

Lsfilter-2, или модуль корреляции — фактическая основа любой SIEM-системы, — отвечает за анализ и сопоставление информации, а также за поиск признаков инцидента в информационной безопасности. Как уже говорилось, из «коробки» RuSIEM имеет порядка 350 различных правил корреляции. Правила можно создавать, редактировать либо отключать, если они неприменимы к инфраструктуре компании.

Сервис аналитики, RuSIEM Analytics, основан на технологии машинного обучения. Назначение этого сервиса — агрегация данных, построение трендов на их основе и сравнение с усреднёнными значениями, характеризующими корректное поведение системы. В случае если текущие значения выходят за пороговые, сервис формирует предупреждение об аномалии и создаёт инцидент.

Lsbox обеспечивает связь системы с электронной почтой.

ClickHouse — база данных, где хранятся события, имеющие отношение к инцидентам в информационной безопасности.

Компонент Redis отвечает за хранение статистики, используемой в RuSIEM Analytics для построения данных о целевых параметрах подключённых систем.

СУБД PostgreSQL обеспечивает хранение информации о настройках системы, о лицензии и об инцидентах в информационной безопасности.

 

Таблица 2. Модули RuSIEM

Модуль

Назначение

Коммерческая версия

Agent

Сбор событий с Windows-систем и SQL-серверов, файловых логов

Нет

Lsinput

Приём событий от различных источников (Syslog, NetFlow, агенты), постановка в очередь, передача далее по цепочке


Нет

Frs_server

Нормализация событий (разделение по полям на основе встроенных правил, т. е. по таксономии)


Нет

Lsfilter (Symptoms)

Симптоматика (обогащение событий полезной информацией — добавление описания и критической значимости)


Нет

Lselastic

Запись событий в базу Elasticsearch для дальнейшей работы с ними (поиск, просмотр, анализ, отчёты)


Нет

Lsfilter (correlation)

Корреляция событий по инцидентам

Да

RuSIEM Analytics

Поиск аномалий, управление активами и уязвимостями

Да

 

Масштабирование компонентов RuSIEM по нодам

RuSIEM является масштабируемой системой и может как работать на одной ноде, так и делиться на несколько. Принцип масштабирования определяется в соответствии с инфраструктурой и планируемой архитектурой системы в компании. Система поддерживает как горизонтальное масштабирование, так и вертикальное.

Полные ноды, с полным набором всех компонентов, могут горизонтально масштабироваться путём добавления ЦП и ОЗУ. Также возможно выносить отдельные составляющие. Например, модуль аналитики, модуль нормализации, базы данных, корреляция могут быть размещены на отдельной ноде.

Базы данных тоже гибко масштабируются и позволяют строить различные типы архитектур — многонодовые кластеры для хранения событий, отдельные ноды для записи и чтения событий с репликацией между ними.

Системные требования RuSIEM

Отличительной особенностью RuSIEM можно назвать относительную неприхотливость в отношении выделяемых ресурсов.

В качестве операционной системы для разворачивания сервера применяется Ubuntu 18.04. Для установки агентов требуется как минимум Windows 7 или выше с установленными компонентами программного обеспечения Microsoft Windows Imaging Component и Microsoft .NET Framework 4.5.

Минимальные требования к браузерам для доступа к интерфейсу RuSIEM: Google Chrome 9.0, Apple Safari 5.0.5, Mozilla Firefox 3.0, Internet Explorer 7.0, Opera 10.5.

По аппаратным ресурсам требования приведены в таблице 3.

 

Таблица 3. Аппаратные требования RuSIEM

Требуемые ресурсы

Поток до 2 тыс. EPS

Поток 2–5 тыс. EPS

Поток 5–10 тыс. EPS

Поток 10–30 тыс. EPS

Поток 30–90 тыс. EPS

Количество ядер (потоков), шт.

4–8

4–6

4–6

8–14

От 14

Количество процессоров

1

1

От 2

2–4

От 4

Тактовая частота, ГГц

От 2

От 2,4

От 2

От 2,4

От 3,2

Оперативная память, ГБ

16

32

24–32

64–128

64–128

Скорость жёсткого диска, об/с

От 7200

От 7200

От 7200

От 7200

От 7200

Режим работы жёсткого диска

Автономный, SAS / SATA

Автономный, SAS / SATA, выделенный сервер

Автономный, SAS / SATA или RAID-массив в режиме зеркала, выделенный сервер

Массив RAID 5+, выделенный

Массив RAID 5+, SSD для системного диска

Размер жёсткого диска для операционной системы

100 ГБ

От 100 ГБ

От 300 ГБ

От 500 ГБ

От 700 ГБ

Размер жёсткого диска для хранения данных

От 300 ГБ

От 300 ГБ

От 600 ГБ

От 1 ТБ

От 3 ТБ

Архитектура MIPS

4700

8000

10000

10000

12000

 

Как видно, требования зависят от количества событий, поступающих на обработку. Необходимо понимать, что количество событий может быть колоссальным в случае подключения абсолютно всех возможных источников (АРМ, серверы, сетевое оборудование, информационные системы и т. д.). Поэтому перед подключением необходимо определиться с тем, какие источники будут использоваться и какие журналы необходимо получать в RuSIEM. Например, кто-то хочет коррелировать события из СКУД и контроллеров домена, а кому-то это не нужно. В интернете можно найти немало статей о настройке журналов источников, например аудита Windows.

Помочь с предварительным расчётом количества событий в секунду (EPS) помогут таблица на рисунке 21 и, конечно, пилотное внедрение RuSIEM.

 

Рисунок 23. EPS от разных источников в RuSIEM

EPS от разных источников в RuSIEM

 

Сценарии использования RuSIEM

Рассмотрим типовые сценарии использования RuSIEM.

Расследование инцидента

Предположим, корпоративным пользователям были отправлены фишинговые письма. Этот факт был обнаружен благодаря бдительности сотрудников, сообщивших о подозрительных письмах.

Создадим инцидент в RuSIEM и назначим его на первую линию аналитиков SOC.

 

Рисунок 24. Создание инцидента в системе RuSIEM

Создание инцидента в системе RuSIEM

 

Для дальнейшего реагирования необходимо создать целый ряд задач: найти всех получателей письма, проверить, переходил ли кто-то из пользователей по фишинговым ссылкам из него, подготовить рассылку о вреде подобных писем, удалить пришедшие письма из ящиков пользователей. Используем для создания задач функциональные возможности RuSIEM.

 

Рисунок 25. Создание задач в RuSIEM

Создание задач в RuSIEM

 

По окончании выполнения всех задач инцидент можно закрывать как отработанный.

 

Рисунок 26. Закрытие инцидента в RuSIEM

Закрытие инцидента в RuSIEM

 

Передача инцидента в НКЦКИ

Рассмотрим случай, когда инцидент затрагивает объект КИИ. В этом случае атаке подверглась сеть АСУ ТП, долговременная потеря управления над которой может привести к возникновению критического риска.

 

Рисунок 27. Инцидент, связанный с попыткой эксплуатации уязвимости EternalBlue на объекте КИИ, в RuSIEM

Инцидент, связанный с попыткой эксплуатации уязвимости EternalBlue на объекте КИИ, в RuSIEM

 

Этот инцидент создан автоматически на основании симптоматики и правил корреляции, подробности срабатывания правила можно посмотреть из карточки инцидента путём нажатия кнопки «Просмотр правила».

 

Рисунок 28. Описание правила «Попытка эксплуатации уязвимости EternalBlue» в RuSIEM

Описание правила «Попытка эксплуатации уязвимости EternalBlue» в RuSIEM

 

Отправим инцидент в НКЦКИ нажатием соответствующей кнопки.

 

Рисунок 29. Отправка инцидента в НКЦКИ из системы RuSIEM

Отправка инцидента в НКЦКИ из системы RuSIEM

 

При отправке инцидента необходимо выбрать необходимую категорию и тип события. Для удобства в RuSIEM эти данные заранее введены в систему.

 

Рисунок 30. Выбор категории инцидента при отправке в НКЦКИ через RuSIEM

Выбор категории инцидента при отправке в НКЦКИ через RuSIEM

 

Рисунок 31. Выбор типа события при отправке в НКЦКИ через RuSIEM

Выбор типа события при отправке в НКЦКИ через RuSIEM

 

После выбора категории и типа события необходимо заполнить небольшую анкету для последующей передачи в ГосСОПКА.

 

Рисунок 32. Анкета для ввода информации об инциденте

Анкета для ввода информации об инциденте

 

Теперь информацию об отправленном инциденте и его статус можно будет найти в разделе «ГосСОПКА» RuSIEM.

 

Рисунок 33. Информация об отправленном в ГосСОПКА инциденте

Информация об отправленном в ГосСОПКА инциденте

 

Выводы

RuSIEM за весьма короткий срок стала многофункциональной системой, которая позволяет не только выявлять инциденты, но и управлять ими. Интеграция с ГосСОПКА сделала этот инструмент удобным для использования на предприятиях подпадающих под действие федерального закона № 187-ФЗ. К тому же вхождение вендора в состав учредителей группы компаний «Программный продукт», занимающей передовые позиции на отечественном рынке, является индикатором того, что RuSIEM имеет перспективы для дальнейшего развития.

Достоинства:

  • Возможность интеграции со внешними системами за счёт использования полноценного API.
  • Сертификация ФСТЭК России по 4-му уровню доверия.
  • Подробная эксплуатационная документация.
  • Интеграция с ГосСОПКА.
  • Модуль для работы с активами.

Недостатки:

  • Отсутствие прямой интеграции с TI-платформами.
  • Обилие кнопок на боковой панели интерфейса затрудняет поиск необходимой функции.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.