Сертификат AM Test Lab
Номер сертификата: 379
Дата выдачи: 07.04.2022
Срок действия: 07.04.2027
- Введение
- Технические характеристики KOMRAD Enterprise SIEM
- Аппаратные требования KOMRAD Enterprise SIEM
- Схема лицензирования KOMRAD Enterprise SIEM
- Использование KOMRAD Enterprise SIEM
- Выводы
Введение
Организация мониторинга событий из области информационной безопасности не только позволяет выполнить требования нормативных документов, но и обеспечивает реальный контроль над защищаемой инфраструктурой. До недавнего времени применение SIEM-систем было прерогативой крупных организаций, которые могли себе позволить штат экспертов-аналитиков по ИБ и серьёзные вложения в программное и аппаратное обеспечение, но с выходом новой версии KOMRAD Enterprise SIEM («КОМРАД 4») в конце 2021 года ситуация изменилась. Теперь даже небольшая организация с ограниченными ресурсами может себе позволить такую систему и получит от внедрения реальную пользу.
KOMRAD Enterprise SIEM можно запустить на виртуальной машине с двумя ядрами ЦП и с двумя гигабайтами оперативной памяти и обрабатывать по 100 событий в секунду, извлекая их практически из любого источника.
Технические характеристики KOMRAD Enterprise SIEM
KOMRAD Enterprise SIEM обладает следующими техническими характеристиками:
- сбор событий по протоколам Syslog, SNMP, SQL, FTP, SSH, xFlow;
- автоматическая нормализация событий в форматах CEF, RFC 5424, RFC 3164, EVTX;
- возможность разбора событий в произвольном формате с помощью регулярных выражений (RE2) для подключения нестандартных источников событий в информационной безопасности;
- поддержка Elastic Common Schemа и схемы событий ArcSight;
- широкий спектр поддерживаемых отечественных СЗИ;
- предустановленные виджеты для визуального анализа данных;
- хранилище событий на основе ClickHouse;
- визуальный конструктор правил фильтрации и корреляции событий;
- возможность создания более сложных правил фильтрации событий на языке Lua;
- возможность распределённой установки компонентов системы и масштабирования решения;
- предустановленные правила корреляции;
- управление инцидентами в ИБ;
- возможность интеграции со внешними системами: поддержка API ГосСОПКА, передачи карточки инцидентов в формате CEF;
- выпуск пакетов экспертиз для выявления актуальных инцидентов в информационной безопасности;
- работа в средах Astra Linux Special Edition 1.6, Debian не ниже версии 7, Ubuntu не ниже версии 20, ОСОН «ОСнова» версии 2.
Аппаратные требования KOMRAD Enterprise SIEM
KOMRAD Enterprise SIEM отличается высокой производительностью при небольших требованиях к аппаратному обеспечению.
Рисунок 1. Параметры оборудования, рекомендуемые для заданного объёма EPS
Указанные значения EPS были экспериментально получены для каждой конфигурации машины при включении 100 фильтров KOMRAD Enterprise SIEM. В потоке входящих сведений критериям соответствовало 5 % всех поступающих событий.
Схема лицензирования KOMRAD Enterprise SIEM
Лицензии на KOMRAD Enterprise SIEM являются бессрочными, стоимость определяется составом коллекторов и возможностью масштабирования решения.
Рисунок 2. Виды лицензий KOMRAD Enterprise SIEM
Использование KOMRAD Enterprise SIEM
Подключение источников
События по информационной безопасности поступают в KOMRAD Enterprise SIEM из различных источников: ОС, СУБД, сетевого оборудования, СЗИ, прикладного ПО и т. д. Для сбора событий используются коллекторы. Некоторые из них работают в пассивном режиме, ожидая входящих данных на определённых сетевых портах (Syslog, xFlow), другие сами инициируют соединения для извлечения необходимой информации (SQL, файловый, SNMP). Для сбора событий с Windows-машин используется специальный WMI-агент.
Коллекторы могут быть установлены как на одном узле с основными компонентами системы, так и на выделенных серверах.
Важнейшими коллекторами, которые позволяют организовать сбор событий с абсолютного большинства источников, являются Syslog-коллектор и WMI-агент.
Подключение источника для передачи событий по Syslog состоит в активации Syslog-коллектора и настройке отправки сведений на определённый порт и IP-адрес.
Для Syslog-коллектора можно установить параметры пропускной способности, ограничивающие число одновременных соединений, а также размер входящих сообщений.
Рисунок 3. Управление Syslog-коллекторами в KOMRAD Enterprise SIEM
Подключение Windows-машины в качестве источника событий доступно для администраторов системы за три простых шага, а именно: одной командой установить агент на нужный узел, в конфигурационном файле указать IP-адрес коллектора KOMRAD Enterprise SIEM, после чего применить настройки.
WMI-агент также позволяет собирать данные из локальных файлов журналов. Агенты устанавливаются в качестве службы Windows и управляются через веб-интерфейс администратора KOMRAD Enterprise SIEM.
Рисунок 4. Управление WMI-агентами в KOMRAD Enterprise SIEM
В случае отсутствия соединения между WMI-агентом и сервером KOMRAD Enterprise SIEM события будут собираться в свою локальную базу данных во избежание их потери, а при возобновлении соединения поступят по назначению.
Поток поступающих событий и их нормализация
В KOMRAD Enterprise SIEM наблюдать за потоком поступающих событий можно используя специальный виджет.
Рисунок 5. События в настоящем времени в KOMRAD Enterprise SIEM
В карточке каждого события мы можем видеть его исходное содержимое.
Рисунок 6. Исходный текст события из Linux
Рисунок 7. Исходный текст события из Windows
Для того чтобы можно было осуществлять с событиями такие манипуляции, как фильтрация (выборка из потока событий по заданным значениям) и извлечение данных в директивах корреляции, необходимо их нормализовать, разобрав на составляющие поля.
Рисунок 8. Нормализованные поля событий Linux и Windows
Нормализация осуществляется автоматически, если события поступают в форматах CEF, RFC 5424, RFC 3164. В случае если разработчики программного обеспечения, выступающего в роли источника событий, используют свой нестандартный протокол, нормализация возможна с помощью механизма регулярных выражений.
В качестве внутренней схемы событий применяется Elastic Common Schema (ECS) с автоматической генерацией полей события для WMI и SQL (SQL.TaskName). Поддерживается возможность создания пользовательских полей.
Рисунок 9. Встроенные, Elastic Common Schema и пользовательские поля нормализации
Управление активами
В KOMRAD Enterprise SIEM реализована функциональность управления информационными активами.
Рисунок 10. Перечень активов в KOMRAD Enterprise SIEM
Система позволяет добавлять, удалять и редактировать актив. При поступлении событий от неизвестного узла KOMRAD Enterprise SIEM автоматически заводит карточку актива для него.
Рисунок 11. Создание актива в KOMRAD Enterprise SIEM
Продукт позволяет разместить активы на загруженной карте, схеме офиса. Также благодаря встроенному световому сигнализатору можно легко и удобно следить за их доступностью.
Рисунок 12. Пример панели мониторинга (дашборда) в KOMRAD Enterprise SIEM
Фильтрация событий
После того как события были получены от источника и прошли процесс нормализации, они попадают в хранилище и коррелятор. Для выбора событий, соответствующих необходимым критериям, используются фильтры (запросы), которые можно формировать с помощью графического конструктора, автоматически преобразовывающего блоки конструктора в код на языке Lua. Опытные пользователи могут сразу использовать язык Lua, не обращаясь ко графическому представлению фильтров. В KOMRAD Enterprise SIEM на странице создания фильтров есть встроенное руководство по Lua, объясняющее работу с полями событий и синтаксис языка.
Фильтры представляют собой набор логических выражений, соединённых операторами «И» / «ИЛИ». В выражениях может быть использовано множество различных операторов сравнения, например: «равно», «не равно», «содержит», «не содержит», «начинается с», «не начинается с», «содержит примерно» и др.
Рисунок 13. Фильтр поиска неуспешной аутентификации по SSH (графический конструктор) в KOMRAD Enterprise SIEM
Рисунок 14. Фильтр поиска неуспешной аутентификации по SSH (код) в KOMRAD Enterprise SIEM
Фильтры используются для поиска, а также в директивах корреляции — для выявления инцидентов по потоку событий. В поиске будут отображены только те события, которые проиндексированы в результате применения фильтра с момента его включения. Индексируемые поля событий определяются составом полей задействованных в фильтре.
Рисунок 15. Результат работы фильтра поиска неуспешной аутентификации по SSH в KOMRAD Enterprise SIEM
Корреляция
Корреляция в KOMRAD Enterprise SIEM позволяет выявлять инциденты в информационной безопасности по срабатыванию фильтров и выполнению различных условий, определённых в директиве корреляции. Директива корреляции — построенная по иерархическому принципу логическая совокупность правил, в соответствии с которыми осуществляется сравнение параметров событий в информационной безопасности, а также их количества и частоты с заданными показателями для выявления инцидентов.
В KOMRAD Enterprise SIEM существует собственный графический конструктор для управления директивами корреляции.
Рисунок 16. Создание директивы с выбранным фильтром в KOMRAD Enterprise SIEM
Правила в директиве корреляции могут быть следующих типов:
- «Событие» — блок конструктора директив на проверку приходящих событий на соответствие заранее созданным фильтрам. Этот тип блока может иметь привязку ко времени до и после события, может дополнительно содержать выражение и переменные, также в нём доступна функция «Ветвления».
- «Отсутствие события» — блок обратный предыдущему. Он сработает в том случае, если событие, соответствующее указанным параметрам, не поступило.
- «Утверждение» — блок на простое утверждение. Содержит булево выражение. Если результат вычисления — «истина», то выполнение правила корреляции продолжается, иначе — прерывается, инцидент не будет зарегистрирован.
- «Задержка» — интервал времени, которое коррелятор проигнорирует. Отсчёт выполняется от времени предыдущего найденного события.
Пакеты экспертиз
Для KOMRAD Enterprise SIEM вендор выпускает пакеты экспертиз, доступные для пользователей, которые приобрели расширенную техническую поддержку продукта. Пакеты экспертиз включают в себя фильтры событий и директивы корреляции. Готовые фильтры и директивы значительно облегчают внедрение и использование продукта.
Так, например, пакет экспертиз, вышедший в марте 2022 г., был подготовлен для эффективной работы с такими источниками событий, как операционные системы семейства Windows, антивирусное ПО Kaspersky Security Center, СЗИ компании «ИнфоТеКС» (ViPNet IDS NS, ViPNet TIAS и др.). Приведём несколько примеров фильтров и директив из этого пакета.
Для Windows подготовлены правила по выявлению признаков работы вредоносных программ, попыток входа с помощью заблокированной учётной записи пользователя, очистки журналов. Созданные фильтры и директивы для ViPNet IDS дают возможность на основании уровня критической значимости события сразу же относить его к инцидентам и приступать к его расследованию. В случае обнаружения события от Kaspersky Security Center о срабатывании СЗИ или об остановке задачи будет также сформирован инцидент в информационной безопасности.
Разработанные фильтры и директивы в значительной степени охватывают рекомендации НКЦКИ от 16 марта 2022 года, касающиеся первоочередных мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак.
Управление инцидентами
В случае появления события или набора событий, соответствующих включённым директивам корреляции, происходит регистрация инцидента и в веб-интерфейсе KOMRAD Enterprise SIEM появляется всплывающее уведомление, а ответственным лицам отправляется электронное письмо, если соответствующая настройка была активирована.
Рисунок 17. Уведомление об обнаружении инцидентов в ИБ из общего потока событий в KOMRAD Enterprise SIEM
При возникновении инцидента в системе создаётся карточка для его расследования, которая изначально помещается в список неподтверждённых инцидентов.
Рисунок 18. Неподтверждённые инциденты в KOMRAD Enterprise SIEM
Для подтверждения инцидента или определения его как «Ложное срабатывание» необходимо выбрать один или несколько инцидентов из «Неподтверждённых» и с помощью функциональных клавиш определить их в нужную группу.
Рисунок 19. Подтверждённые инциденты в ИБ в KOMRAD Enterprise SIEM
Рассмотрим карточку инцидента подробнее. На вкладке «Информация» доступны для просмотра дата выявления инцидента, его важность, статус, количество событий, входящих в инцидент, и т. д.
Рисунок 20. Вкладка «Информация» в KOMRAD Enterprise SIEM
На вкладке «История» отображено формирование инцидента со всеми событиями, участвующими в нём.
Рисунок 21. Вкладка «История» в KOMRAD Enterprise SIEM
На вкладке «ГосСОПКА» есть возможность отправить инцидент в центр «ГосСОПКА» в ручном режиме.
Рисунок 22. Вкладка «ГосСОПКА» в KOMRAD Enterprise SIEM
Виджеты и отчёты
В KOMRAD Enterprise SIEM доступны следующие предустановленные виджеты:
- количество событий по протоколам за 24 часа;
- EPS — количество событий в секунду;
- общее количество событий по ИБ;
- число событий в минуту (EPM) за последние 30 минут;
- топ-10 IP-адресов активов;
- количество событий по протоколам за неделю;
- статистика инцидентов по важности за последние 24 часа;
- статистика инцидентов по статусам за последнюю неделю;
- незакрытые инциденты по уровню важности за всё время.
Рисунок 23. Статистика по ИБ-инцидентам в KOMRAD Enterprise SIEM
Также продукт обеспечивает возможность построения отчётов на основе собранной информации об инцидентах за определённый период.
Выводы
Отечественная система централизованного управления событиями по информационной безопасности KOMRAD Enterprise SIEM («КОМРАД 4») предоставляет пользователям все функциональные возможности, которые необходимы для организации эффективного мониторинга. Решение предназначено для применения не только в компаниях среднего и крупного бизнеса, но и в государственных организациях.
KOMRAD Enterprise SIEM отличается низкой ценой владения и доступен широкому кругу потребителей благодаря низким требованиям к вычислительным ресурсам, интуитивно понятному пользовательскому интерфейсу и наличию пакетов экспертиз.
Достоинства:
- Возможность подключения произвольных источников событий по распространённым протоколам.
- Удачное соотношение цены и качества продукта.
- Бессрочная лицензия.
- Низкие требования к аппаратному обеспечению.
- Наличие пакетов экспертиз.
- Встроенная возможность интеграции с системой ГосСОПКА.
- Наличие сертификата ФСТЭК России по 4-му уровню доверия. Также имеется сертифицированная по требованиям Минобороны России по НДВ-2 версия для использования в информационных системах, в которых обрабатывается информация отнесённая к государственной тайне.
Недостатки:
- Предустановленные виджеты.
- Отсутствие HTTP-коллектора.
- Отсутствие интеграции с LDAP.
Эти недостатки разработчики обещают устранить в следующей версии продукта.