В 2020 году «СёрчИнформ» получил грант Российского фонда развития информационных технологий (РФРИТ) на развитие своей система управления инцидентами ИБ (SIEM)-системы. За год в программе увеличено количество новых источников данных, расширен функционал расследований, решение стало еще удобней в управлении.
«СёрчИнформ Мониторинг безопасности» (СёрчИнформ система управления инцидентами ИБ (SIEM)) теперь поддерживает обмен данными со всеми самыми распространенными типами сетевых устройств.
Под контролем системы может быть любое оборудование (маршрутизаторы, коммутаторы, серверы, принтеры и пр.) и ПО, которое работает по протоколу SNMP (Simple Network Management Protocol – простой протокол сетевого управления). Благодаря SNMPTrap Connector система получает уведомления о критических событиях от этих источников: например, об отключении порта, изменении сети маршрутизации, переходе к питанию от батареи, сигнале тревоги и пр. Это экономичный формат обмена данными, чтобы не перегружать система управления инцидентами ИБ (SIEM) событиями, не требующими внимания.
NetFlow Connector собирает данные о сетевом трафике в стандартизированном формате NetFlow. С ним система получает информацию об объемах и направлении трафика в сети компании, статистику подключений, сбоев и т.п. Общую картину движения трафика можно выгрузить в отчет.
Появились коннекторы к специфическим источникам. Так, RusGuard Connector помогает получать информацию от умной системы контроля доступа: авторизации сотрудников, ошибки считывания пропусков, статистику распознавания лиц, нарушения физического периметра и т.п. Реализован Azure Connector, которые позволяют корректно получать события ИБ от баз данных, которые мигрировали в облако MS Azure. Таким образом, «СёрчИнформ Мониторинг безопасности» (СёрчИнформ система управления инцидентами ИБ (SIEM)) теперь сможет проводить комплексный мониторинг безопасности для облачной инфраструктуры.
В сканере сети появилась новая функция: поиск уязвимостей для обнаруженных портов. Отчет доступен по клику по названию хоста. Он показывает список уязвимостей, актуальных для данного ПО или устройства, благодаря вычитке vulnerability-баз в реальном времени. Это позволяет оперативно узнавать о потенциальных угрозах, чтобы вовремя их устранить.
Еще более продвинутый сканер уязвимостей можно подключить с помощью Red Check Connector. Он передает в система управления инцидентами ИБ (SIEM) информацию о конкретных проблемах в корпоративной сети, выделяя уровень опасности. Готовый набор правил корреляции позволяет контролировать результаты аудита отдельных типов источников: СУБД, сетевых приложений, рабочих станций, а также следить за конфигурацией оборудования и управлять обновлениями. Для корректной работы сканера требуются дополнительные лицензии Red Check.
Для всех новых коннекторов в «СёрчИнформ Мониторинг безопасности» (СёрчИнформ система управления инцидентами ИБ (SIEM)) доступны готовые правила корреляции. Набор правил постоянно расширяется и для «классического» набора коннекторов.
Так, в 2021 году расширился список предустановленных правил для Linux Connector: теперь они лучше работают с отечественными ОС семейства. Для KavEvent Connector, который контролирует антивирусы Kaspersky, появилась возможность отображать события сервера администрирования Kaspersky Security Center с разными уровнями важности («информационные сообщения», «отказ функционирования», «предупреждения», «критические», «прочие события»). Для Cisco Connector в группу «Cisco. Основные события» добавлено правило, чтобы контролировать, как осуществляются подключения по VPN-каналу через сетевой шлюз Cisco ASA.
ИБ-специалисты также могут создавать собственные правила корреляции, а теперь это стало еще проще. В редакторе правил обновился конструктор регулярных выражений: в нем удобнее создавать запросы благодаря готовым элементам формулы, подсказкам и проверочному режиму.
Разные запросы можно объединять в многоуровневые правила: механизм кросс-корреляции теперь доступен для всех 30+ коннекторов «СёрчИнформ Мониторинг безопасности» (СёрчИнформ система управления инцидентами ИБ (SIEM)). Сервис кросс-корреляции представлен в виде интерактивного конструктора: чтобы создать сложное правило, не нужно знать языки программирования и возиться с кодом. Обновление еще расширило возможности сервиса: добавился новый логический оператор «НЕ», который научит систему распознавать инцидент, когда нарушились легитимные процессы и не произошло важное событие. Например, если человек не проходил через СКУД, но работает за компьютером, это повод разобраться: это санкционированный удаленный доступ или вторжение. Фактически новый оператор увеличивает спектр применения правил кросс-корреляции в два раза при использовании двух событий для формирования инцидента, и в шесть раз – при использовании трех.
В «СёрчИнформ Мониторинг безопасности» (СёрчИнформ система управления инцидентами ИБ (SIEM)) появилась возможность экономично контролировать распределенные сети – например, в компаниях со множеством филиалов. До сих пор в распределенных сетях применялся сбор данных центральным сервером, куда поступала информация напрямую от устройств и ПО в филиалах. Это могло создавать излишнюю нагрузку на сеть и приводить к потере данных при сборе событий из источников с пассивным сбором. Теперь в системе появился специальные буферизующие агенты, которые собирают и нормализуют данные «на местах» и передают в «головной» система управления инцидентами ИБ (SIEM) уже в подготовленном виде. Вот, как это работает:
1. Устройства в удаленных филиалах передают информацию о событиях ИБ в буферизирующий агент.
2. Буферизирующий агент собирает события в филиале, нормализирует их и выявляет среди них инциденты.
3. «Чистые» данные из филиала передаются в центральный офис по выделенному каналу.
4. Сервер система управления инцидентами ИБ (SIEM) в центральном офисе получает и хранит «чистые» данные от филиалов с готовой разметкой: что, когда и где произошло.
В результате растет производительность и отказоустойчивость системы: с одной стороны, передача готовых данных по одному выделенному каналу экономит ресурсы, с другой – данные от устройств надежно сохраняются локально на буферизирующем агенте в филиале.
Процесс расследования инцидентов в «СёрчИнформ Мониторинг безопасности» (СёрчИнформ система управления инцидентами ИБ (SIEM)) упрощает новый инструмент – Менеджер задач. Он позволяет объединять разные инциденты в одно расследование, назначать ответственных сотрудников службы ИБ, присваивать статусы хода расследования, добавлять комментарии и подводить итоги.
Инструмент полезен, чтобы определять границы инцидента и выявлять цепочки событий, которые объединены одной атакой или сбоем. На основе выводов расследований удобно создавать новые правила кросс-корреляции.
Кроме того, теперь можно комментировать каждый инцидент в отдельности. В комментарии можно добавить любой текст, автоматически в них включится имя автора и время добавления. Доступно автозаполнение. Администратор системы может гибко настроить права доступа к комментированию для разных ИБ-специалистов, которые работают с система управления инцидентами ИБ (SIEM). Комментарии будут являться неотъемлемой частью инцидента, и заодно дублироваться в логи.
Результаты расследований, информацию о работе система управления инцидентами ИБ (SIEM) и аналитику по отдельным источникам выгружаются в кастомизируемые отчеты. Добавилась возможность формировать отчеты по любому правилу, выгружать их по расписанию и отправлять на электронную почту.
А для компаний, которые должны отчитываться о состоянии ИБ перед регулятором, реализована возможность напрямую передать отчеты в НКЦКИ в стандартизированном формате. В система управления инцидентами ИБ (SIEM) реализован функционал прямого экспорта в ГосСОПКА, который позволяет информировать регулятора не о событиях или промежуточных результатах расследований, а представлять картину атаки/сбоя целиком.
Систему стало проще развернуть и настроить.
Во-первых, заказчикам теперь проще рассчитать конечную стоимость внедрения программы. Новая схема лицензирования «СёрчИнформ Мониторинг безопасности» (СёрчИнформ система управления инцидентами ИБ (SIEM)) опирается на количество узлов, которые будут передавать данные – компаниям не нужно «прикидывать на глаз» пиковые объемы трафика (EPS), легче оценить свои потребности в количестве лицензий.
Во-вторых, при внедрении добавилась возможность «разбить» БД система управления инцидентами ИБ (SIEM) на мощности нескольких серверов, чтобы повысить производительность. Поддержка кластерной модели работы позволяет системе обрабатывать одновременно больше информации и делать это быстрее. Все настройки кластера осуществляются из одной консоли – это удобнее, чем индивидуально настраивать базу из интерфейса СУБД.
Проверить работоспособность основных коннекторов перед «боевым» запуском можно в тестовом режиме. Например, для коннектора WinEvent разработан механизм генерации всех типов тестовых событий, чтобы без усилий провести полную проверку настроек аудита данных на источнике. Особенно это актуально, чтобы убедиться в корректности правил аудита Active Directory.
Чтобы обезопасить систему – ведь она хранит максимум информации о составе и «тонких местах» в инфраструктуре компании – реализованы ограничения при работе администраторов система управления инцидентами ИБ (SIEM). Так, переработан механизм авторизации: теперь можно ограничить список узлов, с которых можно подключиться к серверу системы. Если злоумышленникам удастся завладеть данными для авторизации, они не смогут подключиться к система управления инцидентами ИБ (SIEM) из-за пределов корпоративного периметра, или с Сетевой адрес, который не задан как доверенный.
А чтобы контролировать, как взаимодействуют с система управления инцидентами ИБ (SIEM) легитимные пользователи, все действия юзеров после авторизации в системе подробно логируются. Руководитель службы ИБ может просмотреть, кто, когда и что делал в система управления инцидентами ИБ (SIEM), а также задать роли своих сотрудников в системе. Это поможет выявить ошибки или подозрительные действия внутренних пользователей.
В обновленной версии «СёрчИнформ Мониторинг безопасности» (СёрчИнформ система управления инцидентами ИБ (SIEM)) стала дружелюбнее к пользователю: внешний вид системы и выдачу данных можно кастомизировать почти без ограничений. Например, можно менять порядок расположения виджетов способом drag-and-drop. А во всех вкладках консоли стало больше фильтров, группировки по любым параметрам, возможности экспорта данных и отправки на печать.
Появилась карта подключений, которая визуализирует, какие пользователи авторизованы на каких устройствах. Граф формируется на основе событий по правилу «Статистика входов в систему» (Контроллер событий Windows (Контроллер событий Windows (WinEventConnector))) и отображается на отдельной вкладке. Карта подключений позволяет просматривать для каждого компьютера/пользователя:
• связи с другими объектами сети;
• тип и статус подключений: интерактивный, сетевой и др.
• детальную информацию о подключениях за выбранный период времени.
Все дашборды и графы теперь доступны онлайн в веб-представлении. Аналитическую информацию можно будет просмотреть с любого устройства – видео-стены, телевизора, дополнительного монитора и пр.
Попробуйте комплексный контроль с система управления инцидентами ИБ (SIEM) прямо сейчас – все новинки и базовый функционал в полном доступе бесплатно на первые 30 дней.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
