1. Введение
2. Архитектура «СёрчИнформ SIEM»
3. Функциональные возможности «СёрчИнформ SIEM»
1. 3.1. Вычитка событий из любого количества источников данных
2. 3.2. Управление правилами корреляции
3. 3.3. Нормализация инцидентов
4. 3.4. Фильтрация, экспорт и вывод инцидентов на печать
4. Системные требования «СёрчИнформ SIEM»
1. 4.1. Минимальные требования к серверу SIEM
5. Лицензирование «СёрчИнформ SIEM»
6. Установка и настройка «СёрчИнформ SIEM»
1. 6.1. Установка
2. 6.2. Настройка
1. 6.2.1. Создание базы данных
2. 6.2.2. Настройка отправки сообщений
3. 6.2.3. Настройка параметров службы DCProxy
7. Работа с продуктом
1. 7.1. Вкладка «Правила»
2. 7.2. Вкладка «Инциденты»
8. Выводы

Введение

Внедрение информационных технологий ускоряет работу и сокращает издержки бизнеса. Однако переход на «цифру» приводит к взрывному росту объема данных, и данные сами по себе превращаются в ценный актив, который нужно сохранить.

Чем больше источников данных включается в корпоративную IT-среду, тем сложнее задачи по защите информации. Каждую секунду в системе компании среднего размера регистрируются десятки тысяч событий безопасности. Отслеживать и выявлять угрозы вручную невозможно — требуется инструмент для автоматизации и централизации сбора событий из разных источников.

В то же время нужно не только собирать, но еще и сопоставлять и анализировать события. Такой способностью обладают решения класса SIEM — Security Information and Event Management — системы управления событиями информационной безопасности.

Задача SIEM-систем — в режиме реального времени оценивать влияние событий на жизнедеятельность компании с точки зрения информационной безопасности, информационных технологий, бизнес-процессов. SIEM выявляет аномалии в информационных потоках и вычисляет инцидент по сумме событий, каждое из которых в отдельности выглядит безобидным.

Согласно исследованию «СёрчИнформ» уровня информационной безопасности в российских компаниях, в 2017 году только 7% организаций использовали SIEM для защиты данных. Столь маленький процент — не показатель слабого интереса к системам. Интерес со стороны заказчиков есть, но проблема большинства систем в сложном внедрении и эксплуатации. Для того чтобы настроить источники, написать правила корреляции событий и сценарии реагирования на угрозы приходится привлекать сторонних специалистов. В итоге клиент платит не только за лицензии программного обеспечения, но и регулярно оплачивает услуги привлеченных мастеров — и спустя год-два после внедрения решение отправляется на полку.

Еще совсем недавно на российском рынке преобладали иностранные решения, которые к тому же отличались высокой ценой владения. В итоге инструменты класса SIEM могли себе позволить только крупные компании с оборотом в десятки миллионов рублей.

Драйвером отечественной разработки, с одной стороны, стал официальный курс на импортозамещение в IT-секторе. С другой стороны, сочетание систем управления событиями информационной безопасности с системами предотвращения утечек данных позволяет практически полностью закрыть ИБ-угрозы. Поэтому производители DLP-систем выходят на рынок SIEM и предлагают интегрированные решения.

По такому пути пошел российский разработчик инструментов ИБ «СёрчИнформ». Компания, основанная в 1995 году, вначале специализировалась на технологиях поиска, хранения и обработки данных. В 2004 году начала разрабатывать решения для защиты информации, с 2006 года работает на рынке DLP-систем, в 2014 году — выпустила собственную систему учета рабочего времени.

По оценке независимого аналитического центра Anti-Malware.ru, «СёрчИнформ» входит в тройку ведущих российских разработчиков DLP-систем. Флагманский продукт компании «Контур информационной безопасности СёрчИнформ» защищает данные более 2 000 компаний в 16 странах.

Компания заявила о принципиально ином подходе к разработке «СёрчИнформ SIEM». Суть его такова: раз SIEM решает задачи информационной безопасности, любому ИБ- или IT-специалисту должно быть по силам без посторонней помощи настроить систему, приступить к работе и получить первые результаты из коробки.

Как и другие решения своего класса, «СёрчИнформ SIEM» собирает, обрабатывает и оценивает значимость событий из различных источников IT-инфраструктуры компании. Отличие заключается в том, что у системы низкие требования к аппаратно-программным средствам, для работы не требуется навыков программирования и приложение поставляется с набором готовых политик, основанных на перечне типовых задач из практики клиентов «СёрчИнформ».

Архитектура «СёрчИнформ SIEM»

За обработку, корреляцию и реагирование на события информационной безопасности отвечает сервер SIEM. Для сопоставления событий с источниками сервер SIEM использует компонент SearchInform DataCenter, который располагает актуальными сведениями о действиях пользователей и состоянии рабочих станций благодаря периодической синхронизации с Active Directory.

Рисунок 1. Схема работы «СёрчИнформ SIEM»

Сбор данных в реальном времени для сервера SIEM, их нормализацию и анализ взаимосвязей обеспечивают коннекторы:

• WinEventConnector вычитывает и анализирует данные журнала Windows Event Log, контроллеров доменов и серверов Windows, а также локальные журналы пользовательских операционных систем Windows. Поддерживаются контроллеры доменов на базе Windows Server 2008 R2 и выше.
• ESEventConnector вычитывает базу данных FileController, которая содержит файловую активность пользователей (используется сервер «КИБ СёрчИнформ»).
• SqlAuditConnector обеспечивает чтение логов сервера Microsoft SQL.
• KavEventConnector отвечает за подключение и чтение записей базы данных Kaspersky Anti-Virus (поддерживаются только базы данных Microsoft SQL Server).
• ExchangeConnector обеспечивает чтение логов почтового сервера Exchange.
• ProgramConnector осуществляет сбор информации об активности пользователей, подключаясь к базам данных ProgramController (используется сервер «КИБ СёрчИнформ»).
• SyslogConnector осуществляет сбор событий Syslog.
• DeviceConnector обеспечивает чтение базы данных DeviceController, где содержится информация о файлах, которые копируются или запускаются с внешних подключаемых устройств.
• OracleConnector обеспечивает чтение таблиц баз данных и логов Oracle Listener.
• VMwareConnector обеспечивает сбор событий среды виртуализации VMware ESXi.
• CiscoConnector обеспечивает сбор событий сетевых устройств Cisco.
• SIDLPConnector обеспечивает сбор событий приложений «КИБ СёрчИнформ».
• FortigateConnector обеспечивает сбор событий устройства комплексной сетевой безопасности FortiGate.
• LinuxConnector осуществляет сбор событий ОС Linux, веб-сервера Apache, почтового сервера Postfix и FTP-сервера Very Secure FTP Daemon.
• CWAConnector осуществляет чтение событий журналов 1C и контрольно-весовых аппаратов.
• SymantecConnector осуществляет подключение и чтение записей базы данных Symantec EPM.
• PaloAltoConnector обеспечивает сбор событий межсетевого экрана Palo Alto.
• CheckPointConnector обеспечивает сбор событий межсетевого экрана Check Point.
• McAfeeConnector осуществляет подключение и чтение записей базы данных McAfee.

Список коннекторов «СёрчИнформ SIEM» постоянно расширяется. Добавление новых коннекторов планируется исходя из запросов клиентов и потребностей рынка.

Правила анализа, применяемые к событиям из различных источников, создаются и настраиваются в консоли. Обнаруженные нарушения правил «СёрчИнформ SIEM» сохраняет в собственную базу данных под управлением MongoDB и оповещает сотрудника службы информационной безопасности об инциденте по электронной почте.

Консоль управления SIEM позволяет строить отчеты по зафиксированным инцидентам и экспортировать выбранные события в файл.

Функциональные возможности «СёрчИнформ SIEM»

Вычитка событий из любого количества источников данных

«СёрчИнформ SIEM» позволяет вести мониторинг любого количества источников данных. Приложение собирает логи из журналов большого числа разнородного оборудования и программного обеспечения без потери качества. Количество источников не влияет на функции нормализации и анализа данных по правилам корреляции для выявления аномалий, угроз, системных сбоев и сбоев оборудования, а также попыток проникновения и нарушений режима информационной безопасности.

Управление правилами корреляции

Для выявления угроз «СёрчИнформ SIEM 1.17» использует правила корреляции, заданные при разработке программного обеспечения — всего более 250 политик. Каждое правило — это сочетание параметров, которые позволяют определить взаимосвязь между событиями и отнести те или иные события к категории инцидентов. Наборы правил для каждого коннектора созданы на основе актуальной информации о возможных сбоях, видах атак и уязвимостях программного обеспечения и оборудования.

Пользователям «СёрчИнформ SIEM 1.17» доступен редактор правил с возможностью корректировать существующие или составлять собственные правила на основе предустановленных шаблонов. Таки образом, приложение позволяет начать работу и получать первые результаты фактически сразу после установки.

Настраиваемые параметры правил включают:

• приоритет и частоту проверки правила;
• список получателей уведомлений по инцидентам;
• списки исключений пользователей и компьютеров, на которых действие правила не распространяется, либо распространяется только на перечисленных пользователей;
• индивидуальные настройки правил, которые зависят от базового шаблона.

Рисунок 2. Список инцидентов по правилу «Устаревшие пароли» в консоли «СёрчИнформ SIEM»

По мере накопления данных в базе инцидентов «СёрчИнформ SIEM 1.17», пользователь получает возможность уточнять правила корреляции в зависимости от конкретных задач. Это позволяет снизить количество ложноположительных срабатываний. При необходимости пользователь может удалить или перенести в архив.

Нормализация инцидентов

При формировании инцидента «СёрчИнформ SIEM 1.17» производит его нормализацию и обогащает данными, необходимыми для восприятия и проведения расследования. В результате нормализации пользователь получает возможность с равным успехом работать с данными из разнородных источников, изначально представленными в разных форматах и содержащих разную информацию.

Сформированные по правилам инциденты сопровождаются детальной информацией о событии, включая дату и временя, с какого узла и кто из пользователей осуществил изменения, IP-адрес и другие деталях.

Фильтрация, экспорт и вывод инцидентов на печать

Во время проведения расследования может возникнуть необходимость работать с группой инцидентов, связанных определенным признаком. В таком случае «СёрчИнформ SIEM 1.17» предоставляет возможность отфильтровать инциденты по необходимым параметрам: по дате и времени фиксации инцидента, дате проведенной операции, имени учетной записи и другим атрибутам.

Рисунок 3. Список инцидентов по правилу «Активность вне рабочего времени» в «СёрчИнформ SIEM»

Системные требования «СёрчИнформ SIEM»

Характерно для программных продуктов, работающих с базами данных и большим количеством источников, системные требования «СёрчИнформ SIEM» зависят от разветвленности и наполненности инфраструктуры, с которой это программное обеспечение будет работать.

Минимальные требования к серверу SIEM

• Microsoft Windows Server 2016, 2012 R2, 2008 R2
• Процессор: 4-ядерный частотой 2,1 ГГц
• Оперативная память: 4 ГБ
• Винчестер: 200 ГБ
• Сетевая карта: 100 Мбит/с

В набор минимальных требований входят также Microsoft SQL Server версии 2008 К2 и более поздних; Microsoft .NET Framework 4.5 и Windows PowerShell 4.0, а также СУБД MongoDB. При этом в предоставляемый разработчиком дистрибутив SIEM включены Framework, PowerShell и MongoDB.

При условии обеспечения указанной технической базы система сохраняет полноценную функциональность при установке в виртуальных средах.

Лицензирование «СёрчИнформ SIEM»

Лицензирование «СёрчИнформ SIEM» производится по количеству пользователей, компьютеров, устройств.

С одной стороны, подобная схема лицензирования позволяет легко самостоятельно определить необходимое количество лицензий и варьировать список для мониторинга. Плюс — позволяет избежать потери данных при всплеске инцидентов, что случается с SIEM-системами, которые лицензируются по количеству инцидентов в период времени.

С другой стороны, если компания приобретает программное обеспечение и оборудование с мощностью «впритык» к требуемой, могут возникнуть сложности при необходимости гибкого масштабирования. Появление в структуре дополнительных компьютеров, нуждающихся в мониторинге, потребует приобретения дополнительных лицензий.

Установка и настройка «СёрчИнформ SIEM»

Установка

Для установки SIEM используется единый дистрибутив со всеми компонентами, в том числе СУБД MongoDB, которая необходима для хранения результатов работы приложения. Все компоненты «СёрчИнформ SIEM 1.17» устанавливаются на один сервер.

Установка программного комплекса, как и заявляет разработчик, предельно проста и производится с помощью мастера установки. Пошаговый процесс знаком любому пользователю, который хотя бы один раз устанавливал приложение на компьютер. Помимо стандартных действий (принять условия лицензионного соглашения и создать ярлык на рабочем столе) при установке «СёрчИнформ SIEM 1.17» потребуется:

• выбрать нужные коннекторы. По умолчанию включены все коннекторы, кроме коннектора к контрольно-весовым аппаратам;
• указать параметры учетной записи с правом запуска служб. Например, при подключении к базе данных Kaspersky Security Center или Symantec с использованием авторизации Windows прав учетной записи LocalSystem недостаточно.

Рисунок 4. Шаг выбора коннекторов в процессе установки «СёрчИнформ SIEM»

Настройка

Создание базы данных

Создание базы данных является необходимым условием для работы «СёрчИнформ SIEM 1.17» независимо от перечня подключенных коннекторов. В базе данных хранятся все события и инциденты, которые соответствуют настройкам существующих правил.

Рисунок 5. Создание базы данных в клиентской консоли «СёрчИнформ SIEM»

Настройка отправки сообщений

«СёрчИнформ SIEM» позволяет автоматически извещать администратора системы о критических событиях.

Рисунок 6. Настройка уведомлений в клиентской консоли «СёрчИнформ SIEM»

Настройка параметров службы DCProxy

Служба DCProxy отвечает за лицензирование программного продукта, передачу настроек коннекторам, работу с белыми и черными списками пользователей и получение информации о цепочках баз данных от компонента DataCenter (необходимо для работы ESEventConnector, ProgramConnector, DeviceConnector).

Работа с продуктом

Вкладка «Правила»

В клиентской консоли «СёрчИнформ SIEM 1.17» четыре вкладки: «Меню», «Инциденты», «Правила» и «Администрирование». Основную часть времени пользователь взаимодействует с двумя из них — «Правила» и «Инциденты».

Рассмотрим сценарии работы с «СёрчИнформ SIEM 1.17» на примере мониторинга активности пользователей через службу Active Directory.

Каждый пользователь доменной структуры Windows регулярно взаимодействует с Active Directory, где все действия подробно логируются. «СёрчИнформ SIEM» раскладывает логи по предустановленным и пользовательским правилам корреляции. Информация выводится на вкладке «Правила».

Рисунок 7. Вкладка «Правила» в клиентской консоли «СёрчИнформ SIEM»

В левой части вкладки отображается весь список правил. Цифры рядом с названием правила соответствуют количеству событий, а иконки с пламенем — обозначают «коэффициент критичности». По умолчанию всем правилам присваивается одинаковый коэффициент — единица. У пользователя есть возможность самостоятельно изменять приоритет по своему усмотрению.

Рисунок 8. Контекстное меню в клиентской консоли «СёрчИнформ SIEM»

Например, правило «Статистика входов в систему» само по себе дает информацию об обычном регулярном событии, поэтому низкий приоритет по умолчанию вполне оправдан. Однако в том же разделе «AD. Логины и пароли» есть правило «Попытка входа под заблокированным пользователем». Оно срабатывает при попытке войти в систему под учетными данными пользователя, который существует в AD, но заблокирован, что в свою очередь может означать попытку вторжения. Поэтому для данного правила логичным будет повысить коэффициент критичности. Неудобство состоит в том, что каждое правило приходится ранжировать отдельно.

Рисунок 9. Основные настройки правил в клиентской консоли «СёрчИнформ SIEM»: изменение приоритета правила, настройка исключений из правила (черный и белый списки)

Настройки фильтров по дате, пользователю и другим параметрам позволяют в несколько кликов сформировать список событий по выбранному правилу. Таким образом, ИБ-специалист может точно локализовать инцидент или увидеть все инциденты, соответствующие указанным критериям.

Рисунок 10. Пример выборки событий по заданным критериям в «СёрчИнформ SIEM»

В приведенном примере локализованы все входы пользователя user1403 с 09.04.2018 по 10.04.2018 включительно. Результаты можно экспортировать либо распечатать, чтобы использовать для расследования, в качестве доказательной базы или приложения к отчетам.

С помощью фильтров «СёрчИнформ SIEM 1.17» позволяет локализовать последовательность событий. Например:

• установить, кто и когда создал нового пользователя, входящего в группу «Администраторы»;
• когда и с какого устройства новый пользователь отключил антивирусные компоненты защиты;
• когда и на каком устройстве новый пользователь скопировал файлы с флэшки на компьютер в корпоративной сети.

Вкладка «Инциденты»

Вкладка «Инциденты» — основное рабочее пространство «СёрчИнформ SIEM 1.17» для первичного обнаружения угроз. В приложении реализовано две основные формы отображения: «плитки» и «карта инцидентов».

«Плитки» на экране отображения инцидентов можно расположить вертикально и горизонтально. Схемы визуализации различаются только направлением прокрутки элементов: сверху вниз или слева направо соответственно.

Рисунок 11. Визуализация инцидентов в виде плиток в «СёрчИнформ SIEM 1.17» — вертикальная ориентация

Рисунок 12. Визуализация инцидентов в виде плиток в «СёрчИнформ SIEM» — горизонтальная ориентация

Выбор ориентации «плиток» зависит в основном от личных предпочтений, а также от того, в каких ячейках чаще всего будут добавляться новые события.

Независимо от формата представления, каждая «плитка» соответствует одному правилу корреляции. В верхнем левом углу ячейки отображается общее количество инцидентов по данному правилу за выбранный период, в верхнем правом углу — количество нерассмотренных инцидентов.

Период задается при помощи быстрых кнопок в панели управления: текущий или предыдущий день, неделя, месяц. Также можно задать и произвольный период в соответствующем окне. Реализация позволяет быстро оперировать привычными временными отрезками.

Данные в ячейках автоматически обновляются каждые 30 минут либо вручную по нажатию кнопки. Если нужно рассмотреть инциденты по правилу подробнее, достаточно кликнуть на соответствующую плитку — и в отдельном окне откроется журнал инцидентов. При клике на инцидент пользователь переходит на вкладку «Правила» с детализаций инцидента.

Рисунок 13. Список инцидентов по правилу «Операции над учетной записью» в «СёрчИнформ SIEM»

Еще одна форма представления — карта инцидентов. Эта визуализация, доступная в режиме «Граф», интерпретирует структуру сети и ее элементов: компьютеров и пользователей — в привязке к серверам с установленными коннекторами.

Карта инцидентов дает возможность свободно настраивать форму представления и отображать инциденты только по одному коннектору или по группе коннекторов, а также применять фильтры по компьютерам и пользователям. Граф позволяет легко отслеживать связи событий и происхождение инцидентов, визуализировать процесс поиска и выявлять точки максимальной нагрузки на периметр безопасности.

Рисунок 14. Карта инцидентов «СёрчИнформ SIEM»

Рисунок 15. Детализация карты инцидентов «СёрчИнформ SIEM»

В данном представлении добавлена функция «Сохранять положение узлов», которая позволяет быстро перемещаться между отображением важных узлов в сети и не пропустить, таким образом, важное событие или критичный инцидент.

Выводы

«СёрчИнформ SIEM 1.17» стабильно выполняет заявленные функции: контролирует необходимое клиенту количество источников данных, помогает своевременно выявлять угрозы и проводить расследования инцидентов. Корреляция и автоматическое объединение событий уменьшает количество ложноположительных уведомлений.

Достоинства

• Простота внедрения и использования. У системы интуитивно понятный интерфейс. Форма подачи информации об инцидентах нормализована. Так что для работы с «СёрчИнформ SIEM» пользователю не требуется особых навыков программирования или длительного предварительного обучения.
• Возможности «СёрчИнформ SIEM» позволяют управлять как событиями безопасности, так и другими событиями в IT-инфраструктуре. Система не только обнаруживает нарушения политик безопасности и инциденты ИБ, но также выявляет системные, программные и аппаратные сбои.
• Обновления системы предоставляются в рамках технической поддержки.
• Низкие требования к аппаратно-программным средствам.
• Приемлемая даже для малого бизнеса ценовая политика.
• «СёрчИнформ SIEM» — продукт российского разработчика, удовлетворяющий требованиям закона об импортозамещении.

Недостатки

• Отсутствие технологий анализа поведения пользователей (UBA).
• Отсутствие веб-консоли.
• Ограниченное количество графических представлений.
• Скромное количество коннекторов в сравнении с другими SIEM-решениями, представленными на рынке.
• Недостаточная гибкость отдельных видов коннекторов.

Отмеченные недостатки «СёрчИнформ SIEM 1.17» объясняются, главным образом, «молодостью» решения и особенностью подхода разработчика. С самого начала команда «СёрчИнформ» взяла курс на решение практических задач клиентов. Поэтому в первую очередь была реализована поддержка источников данных, которые используются в подавляющем большинстве компаний, независимо от размера и сферы деятельности: Active Directory, антивирусы, СУБД, почтовые серверы, файловые хранилища.

Небольшое количество коннекторов можно отнести к «болезни роста». Список источников обогатится по мере развития продукта. К концу первого полугодия 2018 года разработчик «СёрчИнформ SIEM» планирует реализовать поддержку 15 новых коннекторов и добавить минимум 100 готовых правил. В планах, например, добавить коннекторы для детектора угроз Bot-Trek TDS, детектора вторжений Bro, PUM-платформы SafeInspect, обнаружения атак Suricata и других источников событий.

То же касается и разнообразия визуализации. В четвертом квартале 2018 года планируется добавить дашборды для оперативного отображения информации — например, сводку по количеству инцидентов на компьютере, обновляемую в онлайн-режиме. Предполагается, что у пользователя появится возможность составлять индивидуальный набор виджетов.

Актуальная версия «СёрчИнформ SIEM» при относительно невысокой стоимости владения (в сравнении с другими продуктами класса SIEM) и умеренных требованиях к конфигурации оборудования подойдет и крупным компаниям, и среднему бизнесу, которому требуется обеспечить безопасность информации и выполнять требования регуляторов в условиях скромного обеспечения ИБ-кадрами.