Как не утонуть в потоке ИБ-событий: используем SIEM-систему грамотно

03.02.2021

Вернуться к списку статей

Системы мониторинга и управления событиями безопасности (от англ. Security Information and Event Management) работают по принципу систем видеонаблюдения. Но вместо камер – коннекторы, которые собирают данные от «железа» и ПО, а вместо помещений – IT-инфраструктура с ПК, сетевыми устройствами и серверами. При правильной настройке SIEM упрощает жизнь специалистам компании, ответственным за ИБ и порядок в программно-аппаратном комплексе. Как организовать работу, что контролировать в первую очередь и каким образом реагировать на инциденты – разберемся на примере применения «СёрчИнформ SIEM»*.

Как не утонуть в потоке ИБ-событий: используем SIEM-систему грамотно

Большинство программ из SIEM-семейства перед использованием требуют серьезной настройки и доработки под нужды конкретного заказчика. «СёрчИнформ SIEM» – приятное исключение из правила, поскольку работает «из коробки». ПО можно установить из одного файла в несколько кликов, после чего приступить к настройкам. 

Раздать полномочия

В одной системе могут одновременно работать как один или несколько специалистов, так и несколько отделов. Например, IT-департамент и служба безопасности. У каждого из них свои рабочие задачи.

«СёрчИнформ SIEM» позволяет раздавать права внутренним пользователям и отслеживать их операции в системе . Эта опция пригодится руководителям отделов, чтобы вовремя заметить критичные действия подчиненных, вроде изменения политики безопасности (подробнее о них ниже) или смены пароля к БД, где хранится вся собранная информация.

Настройка прав доступа в SIEM в зависимости от роли пользователя
Настройка прав доступа в SIEM в зависимости от роли пользователя 

Подключить коннекторы

В «СёрчИнформ SIEM» по умолчанию доступны самые популярные коннекторы, которые получают данные от:

  • ОС (Windows, Linux);
  • антивирусов (Kaspersky, McAfee);
  • почтовых серверов (Exchange, Domino);
  • оборудования (Fortigate, PaloAlto, Cisco);
  • баз данных (PostgreSQL, MS SQL);
  • виртуальных сред (VMware);
  • ПО для бизнеса (DLP, 1C);
  • Syslog и др.

Удобнее добавить все коннекторы сразу, даже если некоторым из них пока неоткуда получать информацию. Коннектор, к которому не подключены источники данных, практически не потребляет серверные мощности. Однако, если в дальнейшем в сети появится новый источник (например, межсетевой экран CheckPoint), его можно будет подключить буквально в пару кликов, без дополнительных манипуляций и инсталляций.  

Список коннекторов «СёрчИнформ SIEM»
Список коннекторов «СёрчИнформ SIEM» 

Собрать данные

Система начинает работать сразу после добавления коннекторов. Но пока к ней не подключены источники данных, это, скорее, заведенный двигатель, который нужно установить под капот машины и прикрутить к ней колеса. Иначе SIEM работает «вхолостую». Или, возвращаясь к аналогии с системой видеонаблюдения, нужно включить камеры, уже «развешенные» в разных точках IT-инфраструктуры.

Для анализа и создания отчетов программе нужны логи из различных программных и аппаратных источников. В зависимости от функциональных особенностей источника сбор данных может происходить по трем сценариям: 

  • прямое подключение к источнику;
  • самостоятельная отправка данных от источника к серверу;
  • сбор через агента. 

Это позволяет по максимуму использовать возможности мониторинга каждого источника. 

Настройка подключения коннектора Domino к источнику данных
Настройка подключения коннектора Domino к источнику данных

С подключением каждого нового источника «открывается шлюз» – в программу хлынет поток событий, который она начнет обрабатывать в соответствии с предустановленными правилами (политиками безопасности). В системе по умолчанию более 300 политик.

Коннекторы, работающие по принципу активного сбора, начинают вычитывать все события на узле сразу после его подключения к SIEM в виде источника данных. Причем они вычитывают события не только с момента подключения, но и за предыдущие 7 дней (эту цифру можно настроить, но нужно учитывать, что не все источники хранят логи более недели).

Попробовать бесплатно продукты «СёрчИнформ»

 

К SIEM можно подключать устройства, для которых нет предустановленных коннекторов. Большинство источников данных поддерживают стандартные протоколы ведения логов (event log или syslog). Однако некоторые компании используют самописное ПО, работающее не по общепризнанным стандартам. Но даже для вычитки логов из таких источников в «СёрчИнформ SIEM» есть инструменты. 

Увидеть проблемы

После установки и подключения источников специалисты рекомендуют подождать первых результатов мониторинга как минимум один день, а лучше два-три, если компания большая. Это время нужно для того, чтобы SIEM вычитала события за прошедший период с источников с активным сбором данных, а также обработала достаточно данных по источникам с пассивным сбором. 

Когда администратор откроет SIEM по прошествии указанного периода, он увидит полную объективную картину происходящего в инфраструктуре. Для наглядности можно открыть карту инцидентов, где отображены все ПК и пользователи в системе. На ней можно найти проблемные точки, если отфильтровать компьютеры, по которым за день было, например, больше 10 000 инцидентов.

Карта инцидентов
Карта инцидентов

Еще один вариант для мониторинга – вкладка «Инциденты». Там события рассортированы по правилам за выбранный период (вчера, неделю назад). В правом верхнем углу плитки показано число непросмотренных инцидентов, а в левом – их общее количество по правилу. Если нужны подробности, можно нажать на плитку с правилом и открыть описания инцидентов в виде таблицы.

Вкладка «Инциденты»
Вкладка «Инциденты»

Удобно также использовать дашборд с редактируемыми виджетами (в системе 12 шаблонов). Их можно тонко настроить: выбрать отчетный период, частоту обновлений, источник данных, коннекторы/правила и/или пользователей, по которым система показывает данные, а также вид графического представления (круговая диаграмма, график, гистограмма и т.п.).

Дашборд с виджетами
Дашборд с виджетами

Адаптировать политики

Изучать события и инциденты удобно на вкладке «Правила», где они разбиты на конкретные политики. 

Пример. Несколько сработок по правилу «Одна учетная запись на нескольких ПК» (AD. Логины и пароли) предупреждают, что один и тот же пользователь авторизовался под своей учеткой с нескольких рабочих мест. На деле это мог быть системный администратор, который обновлял антивирус в бухгалтерии или настраивал доступ к принтеру всему отделу продаж.
 

Бороться с ложноположительными сработками помогает детализация правил. Например, можно добавить учетные записи IT-специалистов в список исключений по этой политике.

Создание списка исключений
Создание списка исключений

Анализ событий, более узкая настройка правил в течение 1-2 недель заметно сократят количество инцидентов. В итоге действительно важные проблемы не затеряются в общей массе статистических событий и ложноположительных сработок. А специалист выделит зону повышенного внимания, которую нужно контролировать особо. 

Этот процесс напоминает настройку автокресла и руля под конкретного водителя. SIEM, как и новое авто, будет «ездить» без сбоев и с заводскими настройками. Но, чем правильнее наклон спинки сидения и ближе к руке коробка передач, тем комфортнее и безопаснее будет поездка.

С этой целью можно создать новые политики на основе уже имеющихся, а также настроить отправку уведомлений на email или в Telegram по критичным нарушениям (подбор пароля к компьютеру бухгалтера). 

Пример. Служба безопасности компании с филиалами в нескольких городах разделила контроль за инфраструктурой на «участки». Некоторые правила перенастроили для филиалов: «Статистика входов в систему Казань», «Статистика… Москва», «Статистика… Питер». Оповещения о сработках по ним получали ИБ-специалисты на местах, которые могли оперативно отреагировать на инцидент.  

Подключить кросс-корреляцию

Правила кросс-корреляции сопоставляют события из разных источников, за счет чего находят инциденты за рядовыми происшествиями. По умолчанию в системе они не настроены, поскольку каждая компания уникальна, а количество сочетаний 300+ политик друг с другом огромно. 

Настраивать кросс-корреляцию в первые дни работы с SIEM тоже не стоит: придуманная схема может так никогда и не сработать. Например, сложно предугадать, что однажды мстительный сотрудник авторизуется на ПК бухгалтера (инцидент 1), зайдет в приложение 1С (инцидент 2), узнает зарплату руководителя и коллег, а затем запустит очистку журнала действий (инцидент 3). 

По мере использования SIEM стоит выделять подозрительные события, а затем объединять правила по ним в логические цепочки. 

Пример. Чтобы защититься от вирусов, которые сотрудники могут умышленно или случайно принести в компанию на флешке, можно настроить правило кросс-корреляции «Вирусы на USB». Оно будет включать два события: 1. «Подключение USB-устройства к рабочему ПК» (источник данных – DLP; кстати, система защиты от утечек без проблем интегрируется c SIEM) 2. «Обнаружение вируса» (источник данных – антивирус).

Вести ежедневный мониторинг    

При грамотных настройках специалисту достаточно заходить в SIEM пару раз в день на 20-30 минут. Каждое событие можно изучить отдельно – на вкладках «Инциденты», «Дашборд», «Правила».  

Пример. После трех недель использования системы администратор заметил, что нормальное количество событий по правилу «Ошибочный ввод пароля» за день не превышает 10. За показателем он следит на вкладке «Правила». Если цифра внезапно вырастет в два раза, есть серьезная проблема, и нужно начинать расследование.

Аналогично, если по правилу «Прочие события Syslog» SIEM ежедневно фиксирует 1000 событий, а сегодня их 0, есть вероятность, что система потеряла связь с источниками данных. Это может указывать на поломки оборудования, нарушение работы сети, изменение настроек файрвола, который начал блокировать сообщения.
 

События и инциденты по отдельному правилу отображаются в таблице, которая содержит от 7 до 60+ полей для описания каждого. Чтобы быстрее вычислить критичные, можно использовать фильтры, сортировку или группировать их по любому из полей. 

Например, группировка событий по правилу «Статистика входов в систему» по полю «Состояние», даст на выходе две-три группы: «Вход выполнен успешно», «Такого имени пользователя не существует», «Верное имя пользователя, но не верный пароль».

Группировка инцидентов на вкладке «Правила»
Группировка инцидентов на вкладке «Правила»

Реагировать на инциденты и проводить расследования

В случае серьезных инцидентов SIEM позволяет отследить нарушение по шагам. Можно использовать такую схему:

1. Обнаружить нарушение.

2. Определить, какие узлы и/или пользователи были затронуты инцидентом.

3. Отреагировать на событие (сообщить об инциденте ответственному сотруднику, провести разъяснительную беседу с виновником, перенастроить права доступа, удалить вредоносный файл со всех скомпрометированных ПК и т.п.).

4. Уточнить политику безопасности по правилу, возможно – настроить правило кросс-корреляции. 

В системе могут параллельно работать сотрудники разной специализации, поэтому важно держать связь с коллегами. Например, если специалист по безопасности увидит сработку по правилу «Серверное оборудование VMWare», которая сообщает о перегреве серверов, ему нужно уведомить об этом IT-специалиста. А если кто-то удалил шесть учетных записей, первым делом стоит связаться с системным администратором (или в некоторых случаях – с его руководителем). Возможно, это плановое удаление учёток уволенных сотрудников. А возможно – диверсия, которую действующий сисадмин организовал из мести.  

Реакция на инцидент остается зоной ответственности человека, работающего с системой: «СёрчИнформ SIEM» только записывает, анализирует и выводит информацию в удобном формате либо отправляет уведомления. Это сделано для того, чтобы программа не «вмешивалась» в бизнес-процессы компании. Например, система не блокирует учетную запись после пятой неудачной попытки ввести пароль, потому что это может надолго остановить работу одного сотрудника или даже целого отдела. 

Главная задача SIEM –  проводить всеобъемлющий мониторинг, что избавляет службу безопасности/IT-отдел от рутинных действий. Все данные собираются автоматически и в едином интерфейсе.

Интеграция с DLP расширяет возможности системы. Так, «СёрчИнформ SIEM» покажет администратору, например, имя, размер и расширение документа, скопированного на USB, учетную запись, под которой это сделано, и перемещение этого файла. Просмотреть содержимое документа в интерфейсе программы не получится. Больше информации о файле можно увидеть, если перейти из SIEM в DLP.

Пример. В некоторых компаниях разрешено открывать и инсталлировать файлы с USB. Такие операции пользователей следует контролировать. Ведь, помимо безобидного запуска простых игр с флешки (что в общем тоже нехорошо и говорит о слабой трудовой дисциплине), встречаются куда более неприятные ситуации. Со съемного устройства потенциально можно запустить кейлоггер, взломщик паролей или live-версию ОС.

Вычислить инцидент поможет предустановленное в SIEM правило «Выполнение файла со съемного устройства». Если в компании уже есть DLP «СёрчИнформ КИБ», его не придется дополнительно настраивать: системы автоматически «найдут общий язык» за счет интеграции. 

 

За месяц использования система успеет собрать и обработать достаточно данных, чтобы специалисты оценили положение дел в инфраструктуре компании: увидели слабые места, улучшили защиту отдельных узлов, навели порядок в правах доступа. Поэтому «СёрчИнформ SIEM» можно взять на бесплатный 30-дневный триал. 

Хочу попробовать

*Материал носит ознакомительный характер, часть описываемого функционала «СерчИнформ SIEM» находится в стадии доработки. Проект по расширению возможностей системы реализуется в формате софинансирования из собственных средств вендора и гранта РФРИТ.

Как это сделать СёрчИнформ SIEM ИБ-практика


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними