Сертификат AM Test Lab
Номер сертификата: 351
Дата выдачи: 04.09.2021
Срок действия: 04.09.2026
- Введение
- Функциональные возможности ArcSight 2021.1
- Архитектура ArcSight 2021.1
- Системные требования ArcSight 2021.1
- Сценарии использования ArcSight 2021.1
- Выводы
Введение
Рынок SIEM-систем постоянно развивается и растёт. Это говорит как о востребованности таких продуктов в организациях, так и об эффективности подобных комплексов. Что такое SIEM? Это система, которая позволяет собирать журналы событий из подключённых источников и коррелировать события из них в соответствии с разработанными правилами, предупреждая попытки взлома со стороны злоумышленников. С помощью подобной системы можно в режиме реального времени отслеживать индикаторы компрометации корпоративных ресурсов, выстраивать процесс работы с инцидентами, надёжно сохранять все следы взлома для проведения расследований и т. д. При правильной настройке этот инструмент позволяет минимизировать риски проникновения киберпреступников в сеть организации, компрометации конфиденциальных данных и ряд других.
Необходимо отметить, что классическая SIEM-система является фундаментом для построения центра мониторинга и реагирования на инциденты (SOC — Security Operations Center). Помимо основных функций SIEM (сбор, хранение, корреляция событий) обязательным элементом любого SOC должен стать процесс реагирования на возникающие инциденты. Именно этим занимается класс решений SOAR — Security Orchestration, Automation and Response. Очень важно, чтобы эти две задачи (поиск инцидентов и реагирование) были тесно связаны между собой. Только так получится оперативно пресекать действия злоумышленников с максимальной эффективностью, не растрачивая время аналитиков SOC на рутинные действия, тем самым уменьшая время на поиск и локализацию инцидентов, снижая причинённый злоумышленниками ущерб.
В конце 2020 г. в компании Micro Focus решили пересмотреть свой подход. Теперь вместо развития отдельных продуктов линейки (таких как ESM, Logger и другие) решено направить усилия в сторону создания единой платформы, которая объединит эти и другие продукты из линейки для управления процессами контроля безопасности — SOAR, UBA и другие модули. При этом будут использованы единая база данных для всех модулей (кстати, исполненная на быстрой колоночной СУБД Micro Focus Vertica), единая авторизация и единый интерфейс управления.
Более того, ArcSight 2021.1 предоставляет эту платформу не только как локальное (on-premise) решение, но и по принципу SaaS (Software-as-a-Service). Подобная концепция будет удобна для тех организаций, которые не имеют собственных мощностей и человеческих ресурсов для поддержания работоспособности таких систем.
Функциональные возможности ArcSight 2021.1
Какие основные изменения коснулись платформы ArcSight и какими новыми функциями может воспользоваться заказчик?
В том, что касается непосредственно платформы, можно выделить целый ряд ключевых нововведений.
- Модуль управления SOAR теперь полностью интегрирован в платформу, обеспечивая двустороннюю связь с другими модулями, в т. ч. модулем корреляции событий.
- Разработан простой механизм разворачивания всей платформы. Новая платформа построена на контейнерной архитектуре. Чтобы упростить администраторам системы их работу, новый инсталлятор берёт на себя фактически весь процесс настройки и запуска платформы. Администратор должен только решить, какие модули системы ему нужны.
- Новый модуль Recon (аналитическая платформа), позволяющий строить исторические выборки и отчёты по логам с более высокой скоростью. В соответствии с целевой архитектурой предполагается постепенный переход от использования логера (Logger) к использованию более быстрого Recon. При этом все пользователи Logger получат возможность бесплатной миграции на Recon; в новом релизе также предоставлен отдельный инструмент миграции данных из логера в Recon, который поможет произвести перенос информации.
- Внедрение платформы как SaaS. Всё больше заказчиков переносят свои мощности в облака. В основном это касается компаний из США и Европы, но и среди российских организаций также намечается такая тенденция. Перенос мощностей позволяет снизить нагрузку на инфраструктуры и ЦОДы заказчика. ArcSight 2021.1 следует этой тенденции и теперь также может предоставляться в виде облачного сервиса.
- Развитие облачных коннекторов. Ранее платформа ArcSight поддерживала коннекторы для связи с облачными ресурсами Microsoft Azure и Amazon, теперь в этом списке появился коннектор для Google Cloud.
- Контент для детектирования действий червя Carbanak и известных атак APT-группировки FIN7, разработанный для участия в соревнованиях среди EDR-решений, доступен для всех пользователей.
- Контейнерная версия ArcSight Management Center, который более не является отдельной сущностью, а встроен непосредственно в платформу.
- Вендор приложил значительные усилия к увеличению производительности модулей. В частности, когда коннекторы взаимодействуют с Transformation Hub, при включённой опции Leader ACK, отвечающей за подтверждение корректной синхронизации данных, производительность платформы снижается незначительно. В предыдущей версии деградация в части производительности и загрузки каналов была более существенной.
- Поддержка режима FIPS всеми модулями платформы.
Что касается модулей платформы, то необходимо выделить следующие ключевые изменения:
Enterprise Security Manager (ESM) 7.5 — произведена интеграция с Full Armor, решением по управлению групповыми политиками, что позволяет обеспечить интеграцию ArcSight 2021.1 с Active Directory в целях управления учётными записями пользователей. Начиная с релиза 2021.1 появилась возможность предоставления доступа пользователей к ESM с определёнными правами на основании наличия пользователя в определённой группе AD.
Рисунок 1. Управление пользователями в ArcSight ESM
ESM интегрирован с MISP — опенсорс-платформой анализа угроз (Threat Intelligence, TI), в рамках которой компании — участники проекта обмениваются информацией об угрозах, списками ключевых индикаторов компрометации и т. д.
Ещё одна полезнейшая функция — дальнейшая интеграция с матрицей угроз MITRE ATT&CK. Подходы MITRE являются общепризнанной в мире ИБ классификацией типов возможных угроз. Используя эту классификацию в своей работе, сотрудники ИБ могут взглянуть на все возможные угрозы, приоритизировать их под себя и выстроить дорожную карту развития ИБ. То, что контент ESM связан с MITRE ATT&CK, позволит им в наглядном виде понять, какие угрозы уже закрыты текущим SIEM, какие угрозы ещё можно закрыть, а какие придётся закрывать вне SIEM. Также стандартные отчёты позволят увидеть появление инцидентов в классификации MITRE.
Рисунок 2. Матрица MITRE ATT&CK и ее связь с контентом Arcsight на сайте mitre.microfocus.com
Проведена большая работа по повышению стабильности и безопасности модуля. Также повышена производительность работы облачных инсталляций.
ArcSight Fusion 1.3
Для удобства работы с платформой была произведена интеграция графических интерфейсов всех модулей в один. Добавлен виджет мониторинга состояния баз данных. Виджет показывает все ноды баз данных и основные метрики работоспособности с целью ранней диагностики и минимизации риска потери данных.
ArcSight SOAR 3.1
В части лицензирования SOAR-модуль теперь бесплатно доступен владельцам не только модуля ESM, но и ArcSight Intelligence, а также поддерживает работу с более старыми (non-autopass) лицензиями ESM, использовавшимися до 2019 г. Любой легальный пользователь ArcSight ESM может скачать дистрибутив и установить модуль SOAR без дополнительных платежей и сразу же начать им пользоваться.
SOAR поставляется сразу с пакетом предварительно настроенных правил обработки инцидентов (плейбуков) — они доступны для работы непосредственно из самой платформы. Кроме того, пользователи могут редактировать сценарии реагирования на события в информационной безопасности в соответствии со своими потребностями.
ArcSight Intelligence 6.3
ArcSight Intelligence — это интеллектуальное развитие классических задач SIEM. Данный модуль позволяет с помощью машинного обучения выявлять аномальное поведение пользователей и устройств (т. н. UBA — User Behavioral Analytics). Механизм машинного обучения основан не на правилах, как в большинстве подобных систем, а на профилировании пользователей, устройств и других объектов и выявлении отклонений от «нормального» поведения. Он позволяет выявлять и неизвестные угрозы ИБ, в том числе «нулевого дня». Теперь ArcSight Intelligence «научился» поддерживать пользовательские модели выявления аномалий. Это та опция, о которой давно просили пользователи платформы и которая появилась в версии 2021.1. Пользователи могут обогащать модуль своими моделями, написанными на языке PMML.
Отметим возможность разворачивания модуля в облаках AWS или Azure для снижения затрат на покупку оборудования.
Разработаны политики хранения событий в базе в зависимости от определённых условий.
ArcSight SmartConnectors 8.2
Доработаны функциональные возможности коннекторов в части работы с такими облачными сервисами, как Google Cloud, Microsoft Azure и AWS.
Разработан коннектор для ещё одного модуля с открытым исходным кодом — Zerotect, который обнаруживает атаки «нулевого дня».
ArcSight Management Center 3.0
Как было описано выше, Management Center может быть интегрирован в платформу в виде отдельного контейнера для Fusion. В автономной (standalone) версии обновлены библиотеки.
ArcSight Recon 1.2
Среди нововведений — возможность поиска на основании данных логера.
Как и многие другие модули, Recon обладает возможностью разворачивания в облачной инфраструктуре.
Планирование поиска событий на определённые промежутки времени позволяет максимально эффективно использовать возможности модуля в нерабочее время.
Следует также упомянуть развитый модуль отчётности, который позволяет выводить огромное количество панелей мониторинга (дашбордов), графиков и показателей в зависимости от поставленной задачи. Модуль отчётности поддерживает внешние источники событий (текстовые документы, Elasticsearch и др.).
Встроенные пакеты позволяют оценить соответствие законодательству в области безопасности данных: GDPR, PCI DSS, ISO 27002.
Модуль Recon можно тестировать в течение 90 дней с возможностью переноса данных из логера для этих целей. Таким образом, Recon можно полноценно оценить используя те данные, которые были накоплены раньше.
Архитектура ArcSight 2021.1
Целевая архитектура единой платформы ArcSight является модульной (рис. 3). Модули делятся на платные (серые) и бесплатные (голубые). Выбор платных модулей остаётся за заказчиком: модули приобретаются в соответствии с существующей потребностью.
Рисунок 3. Целевая архитектура единой платформы ArcSight
Основной компонент платформы, отвечающий за сбор, нормализацию, фильтрацию, агрегацию событий — ArcSight Security Open Data Platform (SODP). Этот модуль может быть предоставлен покупателю бесплатно при покупке одного из детектирующих модулей: ArcSight Detect, ArcSight Recon или ArcSight Intelligence.
ArcSight Detect более привычен пользователям как модуль Enterprise Security Manager, отвечающий за корреляцию событий. ArcSight Detect станет частью целевой платформы, главное изменение — контейнеризация сервиса.
ArcSight Recon представляет собой обновлённую версию систему лог-менеджмента и активного поиска угроз (Threat Hunting).
ArcSight Intelligence, используя машинное обучение, проводит поведенческий анализ с целью выявления угроз.
Таким образом, выбрав один или несколько из этих модулей, покупатель получит остальные сервисы бесплатно. Расскажем о них отдельно.
ArcSight Storage and Search — единая база данных для всех компонентов, что очень важно при построении единой платформы — таким образом обеспечивается удобство при проведении анализа. Она базируется на современной платформе «больших данных», в основе которой лежит другой продукт Micro Focus — СУБД Vertica, обеспечивающая максимальную скорость исследования.
ArcSight Response — SOAR-система, позволяющая обеспечить жизненный цикл выявляемых инцидентов, начиная от обнаружения и заканчивая устранением последствий.
ArcSight Content используется для выявления угроз с использованием методологии MITRE ATT&CK. Micro Focus уделяет огромное внимание развитию этого модуля, и в релизе 2021.1 присутствуют новые пакеты для него.
ArcSight Fusion UI — абсолютно новый графический интерфейс для организации взаимодействия с платформой ArcSight.
ArcSight Reporting — единый модуль отчётности для всех продуктов платформы, являющийся полноценным BI-инструментом, который позволяет строить наглядные отчеты и дашборды.
Но это — целевая архитектура, к которой компания стремится. Как выглядит нынешняя архитектура платформы?
Рисунок 4. Архитектура платформы ArcSight в настоящее время
По сравнению с предыдущей версией в платформе появился ArcSight Management Center (ArcMC), который более не является отдельной сущностью и устанавливается в платформу по умолчанию.
В остальном архитектура осталась прежней. События, поступающие из коннекторов, попадают в Transformation Hub, откуда, в свою очередь, детектирующие компоненты забирают их для обработки. Также события поступают в базу данных, откуда в дальнейшем могут извлекаться при поступлении соответствующих запросов из модулей платформы.
Таблица 1. Текущие версии компонентов ArcSight 2021.1
Наименование компонента | Версия |
ArcSight Command Center for Enterprise Security Manager | 7.5.0 |
ArcSight Intelligence | 6.3.0 |
ArcSight Management Center | 3.0 |
ArcSight Recon | 1.2.0 |
ArcSight SOAR | 3.1.0 |
ArcSight Fusion | 1.3.0 |
ArcSight Platform Installer | 21.1 |
ArcSight Transformation Hub | 3.5.0 |
ArcSight SmartConnectors | 8.2 |
Системные требования ArcSight 2021.1
Требования к программному обеспечению для разворачивания платформы ArcSight 2021.1 приведены в таблице 2.
Таблица 2. Требования к программному обеспечению для разворачивания платформы ArcSight 2021.1
Элемент | Требуемое ПО |
Container Deployment Foundation (платформа для разворачиваемых контейнеров) | Red Hat Enterprise Linux 8.2 (x86, x64) CentOS 8.2 (x86, x64) |
Базы данных | Red Hat Enterprise Linux 7.9 (x86, x64) CentOS 7.9 (x86, x64) |
Файловая система | EXT3 EXT4 (рекомендуется) Logical Volume Manager (LVM) XFS |
Сбор данных | SmartConnector 7.14 или выше |
Браузер | Google Chrome Mozilla Firefox |
Требования к вычислительным ресурсам для разворачивания модуля ArcSight ESM приведены в таблице 3.
Таблица 3. Минимальные требования для установки ESM
Количество ядер, шт. | 8 (рекомендуется 16) |
Оперативная память, ГБ | 48 (рекомендуется 64) |
Жёсткий диск | 6 шт. по 600 ГБ, объединённые в RAID 10, со скоростью вращения 10 000 об/мин |
Минимальные требования для установки SOAR-модуля приведены в таблице 4.
Таблица 4. Минимальные требования для установки SOAR-модуля
Количество ядер, шт. | 4 |
Оперативная память, ГБ | 16 |
Жёсткий диск, ГБ | 200 |
Минимальные требования для установки модуля Recon приведены в таблице 5.
Таблица 5. Минимальные требования для установки модуля Recon
Количество ядер, шт. | 8 |
Оперативная память, ГБ | 32 |
Объём жёсткого диска на 1,5 млрд событий, ГБ | 500 |
Сценарии использования ArcSight 2021.1
Сценарий 1. SOAR и плейбуки
Рассмотрим работу с событиями по ИБ в SOAR-модуле ArcSight 2021.1.
Рисунок 5. Интерфейс SOAR-модуля ArcSight 2021.1
В левой панели отображается список всех открытых инцидентов, которые необходимо отработать сотруднику SOC. Инциденты ранжируются по критической важности в соответствии с заданными критериями. Также можно визуально оценить, сколько времени отведено на решение инцидента. Так, голубая полоска под инцидентом показывает то, что времени достаточно, в то время как красная символизирует близкое окончание срока SLA либо выход за рамки последнего. Подобная система позволяет сотруднику расставлять приоритеты при планировании своей деятельности.
Несомненное удобство заключается в том, что при работе с событиями по ИБ нет необходимости переключаться на другие модули системы — вся информация доступна в SOAR.
Рисунок 6. Работа с инцидентом в SOAR-модуле ArcSight 2021.1
В панели работы с инцидентом видно, откуда пришли события. Например, из ESM пришло корреляционное событие по исходящему трафику на подозрительный адрес. Здесь же видно, какое действие было совершено межсетевым экраном. Из этой же панели можно посмотреть детальную информацию по реакциям задействованных систем, например блокировке пакета на межсетевом экране.
Рисунок 7. Детальная информация по действию совершенному на межсетевом экране, передаваемая в SOAR-модуль ArcSight 2021.1
В панели работы с ИБ-инцидентом отдельно выведены все элементы инфраструктуры, задействованные в нём. Это полезно, в частности, для обогащения инцидента без перехода в другие модули платформы.
Рисунок 8. Задействованные в инциденте элементы инфраструктуры, разбираемые с использованием SOAR-модуля ArcSight 2021.1
Перейти к информации по конкретному узлу инфраструктуры можно просто нажав на иконку с его упоминанием.
Рисунок 9. Информация об элементе инфраструктуры, видимая из SOAR-модуля ArcSight 2021.1
Отсюда же можно посмотреть информацию обо всех событиях, связанных с этим источником, которая содержится в логах SIEM.
Рисунок 10. Список событий по выбранному элементу инфраструктуры в SOAR-модуле ArcSight 2021.1
Как видно из списка событий, заблокированный трафик — не единичное событие, выявленное системой. Среди событий есть, например, письма с подозрительного адреса. Информацию по любому из событий можно получить нажав на номер события. Это помогает извлечь дополнительные сведения по подозрительной активности и её источникам. Скажем, если в рамках подозрительной активности выполнялся какой-то процесс, платформа получит и сохранит данные от источника (например, хеш файла) и через интеграцию SOAR с системой VirusTotal поможет узнать степень его вредоносности.
Рисунок 11. Пример поиска хеша на VirusTotal в ArcSight 2021.1
Надо отметить тот факт, что SOAR-модуль имеет интеграцию не только с VirusTotal, но и с рядом других решений: от Cisco, Fortinet, Tenable, Microsoft, VMware и другими — всего около 100 подключаемых модулей.
Рисунок 12. Результат поиска на VirusTotal, интегрированном с ArcSight 2021.1, в SOAR-модуле
Поиск по VirusTotal позволяет не только обогатить инцидент информацией по одному из хешей, но и дополнить знания дополнительными хешами, которые могут быть связаны с инцидентом.
Рисунок 13. Сведения по инциденту в SOAR-модуле ArcSight 2021.1 после обогащения информацией из VirusTotal
Проходя шаг за шагом и используя возможности ArcSight 2021.1, удаётся найти факт получения письма, содержащего вредоносный элемент.
Рисунок 14. Обнаруженный источник фишингового письма в ArcSight 2021.1
В дальнейшем сотрудник SOC предпринимает необходимые действия в соответствии с плейбуками или скриптами, принятыми в компании. Это могут быть поиск и информирование других пользователей, которым было отправлено письмо, или иные операции. И здесь снова SOAR-модуль ArcSight 2021.1 может значительно упростить действия по реагированию на инцидент. Например, за счёт интеграции с Microsoft Exchange можно удалить найденные письма или поместить их в карантин. Для этого также не требуется переходить в другие подсистемы — всё делается из единого окна.
Рисунок 15. Выбор действия в интегрированном с ArcSight 2021.1 модуле Exchange
Как было написано выше, SOAR-модуль ArcSight 2021.1 имеет встроенные плейбуки, для использования которых необходимо только активировать их. Однако пользователи могут также сами построить процесс, в соответствии с которым будет производиться реагирование на инцидент.
Рисунок 16. Построение процесса реагирования на инцидент в SOAR ArcSight 2021.1
Один из основных показателей работы SOC — время реакции на инцидент. ArcSight 2021.1 имеет пять встроенных классов критической важности инцидентов, но платформа также даёт возможность создавать новые классы, в соответствии с которыми сотрудник центра мониторинга должен будет отработать инцидент.
Рисунок 17. Настройка SLA в ArcSight 2021.1
Также есть возможность создать пометку о типе инцидента: утечка данных, попытка подбора пароля учётной записи, попытка проникновения и т. д.
Рисунок 18. Система пометок о типе инцидента в ArcSight 2021.1
Сценарий 2. Матрица MITRE ATT&CK
Ещё один сценарий использования ArcSight 2021.1, на который непременно необходимо обратить внимание, — интегрированная в ESM возможность работы с матрицей MITRE ATT&CK в ArcSight 2021.1. В системе доступен дашборд, отображающий состояние элементов матрицы относительно инфраструктуры пользователя продукта: выявленные атаки за последние два дня; активные техники, включённые в матрице; загруженные техники, которые на данный момент не включены; незагруженные техники.
Рисунок 19. Часть матрицы MITRE ATT&CK в ArcSight 2021.1
Элементы матрицы активируются / деактивируются в соответствии с актуальностью угроз, обозначенных в ней.
Понятно, что матрица является очень сложной с точки зрения освоения и внедрения в организации. Поэтому у Micro Focus есть отдельный ресурс, который поможет пользователю понять, что нужно для выявления тех или иных техник. Для этого на ресурсе произведено разделение на инструменты обнаружения: с помощью ESM, на основании корреляции событий, с помощью машинного обучения, посредством Threat Hunting, а также с помощью партнёрских модулей.
Рисунок 20. Ресурс Micro Focus с информацией о техниках из матрицы MITRE ATT&CK
Там же есть возможность получить информацию об элементах матрицы — доступны прямые ссылки на официальный сайт MITRE ATT&CK, а также можно скачать тот или иной модуль выявления техник из MITRE ATT&CK с маркетплейса Micro Focus.
Совокупность этих данных позволяет быстрее разобраться с тем, какие источники подключать и какие данные коррелировать, чтобы выявить использование злоумышленниками тех или иных тактик и техник.
Выводы
Релиз ArcSight 2021.1 — это лишь первый шаг к целостной экосистеме ArcSight. Впереди немало работы по приведению системы к целевой картине. Однако уже сейчас очевиден тот факт, что ArcSight стал намного удобнее для пользователя. Очевидны и шаги, которые предпринимаются вендором не только для внешнего удобства работы пользователей, но и для совершенствования отдельных модулей системы с целью увеличения скорости их функционирования.
Достоинства:
- Первая версия единой платформы с общей базой данных, единой авторизацией и единым интерфейсом, удобным инсталлятором.
- Бесплатный модуль SOAR, позволяющий работать с инцидентами без переключения между системами.
- Удобная интеграция контента с матрицей MITRE ATT&CK.
- Возможность разворачивания системы по модели SaaS.
Недостатки:
- Целевая архитектура единой платформы ещё не реализована, релиз ожидается в октябре этого года.
- Отсутствие в реестре российского ПО.
- Отсутствие сертификата ФСТЭК России.