Сертификат AM Test Lab
Номер сертификата: 272
Дата выдачи: 24.11.2019
Срок действия: 24.11.2024
- Введение
- Архитектура «СёрчИнформ SIEM 1.28»
- Функциональные возможности
- 3.1. Создание правил кросс-корреляции
- 3.2. Обнаружение новых устройств и открытых портов на сканере сети
- 3.3. Визуализация инцидентов на контрольных панелях
- 3.4. Мониторинг AD
- 3.5. Просмотр событий на карте инцидентов
- 3.6. Вычитка событий из любого количества источников данных
- 3.7. Управление правилами корреляции
- 3.8. Нормализация инцидентов
- 3.9. Фильтрация, экспорт и вывод инцидентов на печать
- Установка и настройка «СёрчИнформ SIEM»
- Работа с продуктом
- 5.1. Вкладка «Правила»
- 5.2. Вкладка «Инциденты»
- 5.3. Вкладка «Карта инцидентов»
- 5.4. Вкладка «Сканер сети»
- 5.5. Вкладка «Дашборд»
- Системные требования «СёрчИнформ SIEM»
- Лицензирование «СёрчИнформ SIEM»
- Выводы
Введение
Первые иностранные SIEM-системы появились на российском рынке более десяти лет назад. Последние пять лет активно развиваются и решения отечественного производства, которые вышли на первый план благодаря политике импортозамещения.
Хотя рынок SIEM в РФ развит неплохо, в российских компаниях продукты этого класса пока не слишком распространены. Однако интерес к ним растет: по данным исследования «СёрчИнформ», за 2018 год доля SIEM-систем среди ИБ-продуктов, которые используют государственные, частные и некоммерческие организации, выросла на два процентных пункта – с 7% до 9%.
Положительную динамику можно объяснить растущим спросом на SIEM со стороны малого и среднего бизнеса (SMB), поскольку крупные компании освоили этот продукт раньше. Причем зачастую в приоритете у сектора SMB — простота внедрения и обслуживания SIEM-систем.
Одним из таких решений является «СёрчИнформ SIEM». В прошлом году мы уже делали обзор этой системы, а в январе сравнивали ее с шестью другими продуктами. За это время вышло несколько новых версий, поэтому пора оценить изменения.
Архитектура «СёрчИнформ SIEM 1.28»
Рисунок 1. Схема работы «СёрчИнформ SIEM»
В архитектуре системы заметных изменений нет. Как и раньше, информация из источников событий попадает на сервер SIEM, который отвечает за обработку, корреляцию и формирование ИБ-инцидентов. За сбор и анализ событий в системе отвечают коннекторы, число которых выросло: с начала года добавлены PostgreSQL, ADMonitoring, 1C и коннектор GPO.
Полный список коннекторов теперь выглядит так:
- PostgreSQLConnector вычитывает и анализирует протоколы PostgreSQL из журнала Windows «Приложения»;
- ADMonitoringConnector отслеживает изменения атрибутов и объектов Active Directory;
- 1CConnector вычитывает журналы 1C;
- GPOConnector отслеживает изменения в настройках объектов групповых политик;
- WinEventConnector вычитывает и анализирует журнал Windows Event Log, контроллеры доменов и серверов Windows, а также информацию об учетных записях (по протоколу LDAP). Поддерживает контроллеры доменов на базе Windows Server 2008 R2 и выше;
- ESEventConnector вычитывает базу данных FileController, которая содержит информацию о действиях пользователей с файлами;
- ProgramConnector собирает информацию об активности пользователей, подключаясь к базам данных ProgramController;
- DeviceConnector вычитывает базу данных DeviceController, которая содержит информацию о копируемых файлах, подключаемых внешних устройствах;
- SQLAuditConnector вычитывает и анализирует протоколы Microsoft SQL из журнала Windows «Приложения»;
- OracleConnector анализирует протоколы СУБД Oracle;
- KavEventConnector, SymantecConnector и McafeeConnector осуществляют подключения к базам данных Kaspersky Security Center, Symantec EPM и антивируса McAfee соответственно, а также чтение их записей;
- ExchangeConnector и DominoConnector вычитывают логи почтовых серверов Exchange и IBM Domino соответственно;
- SyslogConnector обеспечивает получение событий Syslog;
- VMwareConnector обеспечивает получение событий VMware ESXi;
- CiscoConnector обеспечивает получение событий сетевых устройств Cisco;
- FortigateConnector обеспечивает получение событий устройства комплексной сетевой безопасности FortiGate;
- PaloAltoConnector и CheckPointConnector обеспечивают получение событий межсетевых экранов Palo Alto и Check Point соответственно;
- LinuxConnector обеспечивает получение событий ОС Linux, веб-сервера Apache, почтового сервера Postfix и FTP-сервера Very Secure FTP Daemon;
- ESETConnector обеспечивает получение событий антивирусного программного обеспечения ESET;
- SIDLPConnector обеспечивает получение событий приложений «СёрчИнформ КИБ»;
- CWAConnector вычитывает журналы 1C и контрольно-весовых аппаратов.
В зависимости от функциональных особенностей источника сбор данных происходит по трем сценариям: прямое подключение к источнику, самостоятельная отправка данных от источника к серверу, сбор через агента (новая опция). Это позволяет применять «СёрчИнформ SIEM» в компаниях с распределенной структурой.
Информация по обнаруженным инцидентам хранится в базе данных MongoDB.
Функциональные возможности
Функциональность системы расширилась за счет новых аналитических инструментов, в том числе вкладок с графическими представлениями.
Создание правил кросс-корреляции
Функция реализована по принципу «настрой и пользуйся». Обычно создание правил кросс-корреляции требует опыта в написании скриптов и навыков программирования. В «СёрчИнформ SIEM» всё сводится к настройке в одном окне условий, по которым разные события объединяются в инцидент.
Рисунок 2. Мастер создания правил кросс-корреляции: пример создания пользовательского правила
Правила кросс-корреляции позволят настроить систему более тонко, чтобы она могла «увидеть» подозрительный след во внешне безобидных событиях (подключение нового email-адреса, вход в / выход из Active Directory). Например, один из пользователей подключился к AD и через некоторое время вышел из системы. Пока всё логично. Но что, если между логином и логаутом прошло совсем немного времени, и в это время пользователь менял пароль доступа к рабочей базе данных SQL? Это может быть тревожным звонком. Здесь в дело вступает пользовательское правило кросс-корреляции: формирует соответствующий инцидент и дает возможность администратору принять меры и предотвратить проблемы в дальнейшем.
Обнаружение новых устройств и открытых портов на сканере сети
Сканер, который появился в новой версии «СёрчИнформ SIEM», позволяет определить количество компьютеров, роутеров, свитчей, сетевых принтеров в сети, обнаружить открытые порты и отследить попытки несанкционированного подключения нового оборудования.
Визуализация инцидентов на контрольных панелях
Еще одно новшество. Настраиваемые «дашборды» показывают актуальную статистику по инцидентам в удобном для восприятия формате. Администратор может заметить изменение ситуации в системе по одному взгляду на панель.
Рисунок 3. Предустановленные виджеты на вкладке «Дашборд»
Мониторинг AD
Новый функционал, реализованный при помощи отдельного коннектора. «СёрчИнформ SIEM» делает «снимки» состояния AD через выбранные промежутки (к примеру, сегодня и неделю назад). Детальное сравнение снимков показывает количество изменений в AD по контролируемым атрибутам, количество добавленных и/или удаленных объектов. Функция помогает администратору вовремя заметить несанкционированные или подозрительные изменения в AD.
Рисунок 4. Сравнение снимков AD, сделанных в разное время в течение одного дня
Просмотр событий на карте инцидентов
Карта отображает инциденты по всем или выбранным коннекторам, ПК и пользователям в разном масштабе. Это позволяет определить центры аномальной активности, проблемные узлы сети и пользователей с большим числом инцидентов (например, свыше 100 тысяч).
Рисунок 5. Детализация выбранного ПК с указанием количества инцидентов по правилам
Вычитка событий из любого количества источников данных
«СёрчИнформ SIEM», как и прежде, контролирует любое количество источников данных и выявляет аномалии, угрозы, сбои в оборудовании и попытки несанкционированного доступа, а также сохраняет информацию о работе сети, что позволяет проводить ретроспективные расследования.
Управление правилами корреляции
В системе стало больше предустановленных правил корреляции. Список расширился за счет новых коннекторов.
Правила корреляции можно использовать «из коробки» или настроить под себя. Дополнительная настройка сэкономит время на просмотре событий. Например, по правилу «Статистика входов» программа собирает информацию обо всех входах пользователей сети в ОС и выдает длинный список событий. Разбирать его неудобно, если компания велика.
Рисунок 6. Список инцидентов по правилу «Статистика входов»
Чтобы решить проблему, в «СёрчИнформ SIEM» можно создать правила по статистике входов для каждого отдела (разбивка по отделам видна в левом меню на рис. 5). В итоге события будут рассортированы, что облегчит анализ и ускорит расследование.
Нормализация инцидентов
«СёрчИнформ SIEM» описывает инциденты очень подробно: одно событие в зависимости от типа включает от 9 до 50 полей. Разработчик изначально настроил нормализацию инцидентов для всех коннекторов под требования безопасности, так что администратору не придется самостоятельно определять важность определенного поля для события.
Фильтрация, экспорт и вывод инцидентов на печать
Применение фильтров помогает в расследованиях. На вкладках инциденты можно отфильтровать по дате, времени фиксации, имени учетной записи, IP-адресу, тексту, важности события. Пользователь может получить детализированную информацию по интересующим параметрам, убрав из представления лишние подробности.
Рисунок 7. Фильтрация инцидентов по правилу «Прочие события Linux» по дате, источнику, IP-адресу и степени важности
Как и раньше, по любому из правил можно создать отчет для печати или экспорта в другие форматы, например PDF или XLS.
Установка и настройка «СёрчИнформ SIEM»
Алгоритм установки остался прежним. Для этого используется единственный дистрибутив, который включает все компоненты, необходимые для работы продукта. Установка сводится к нескольким нажатиям на кнопку «Далее», так что с ней справится даже новичок, который видит такое программное обеспечение впервые. Аналогично происходит и установка обновлений.
В настройке системы тоже нет сложностей. В большинстве случаев администратору нужно указать несколько параметров: служебная учетная запись, электронный ящик, адрес сервера, номер порта.
В новых версиях «СёрчИнформ SIEM» появились уведомления о бездействии источников данных. Программа формирует такие уведомления, когда от источников перестает поступать информация (например, VMwareConnector «молчит» больше суток).
Рисунок 8. Настройка уведомлений о бездействии источников
«СёрчИнформ SIEM» позволит вовремя заметить отказ или ошибку системного программного обеспечения, отключение сервера источника данных, аппаратные, программные и сетевые неполадки.
Работа с продуктом
Интерфейс новой версии «СёрчИнформ SIEM» стал более современным и деловым. Впрочем, по расположению вкладок и рабочих областей он, как и прежде, напоминает продукты из семейства Microsoft Office, так что ориентироваться в нем просто.
В верхней части окна – полоса вкладок, которые делятся на три смысловые группы: настройка и управление («Меню» и «Администрирование»), основной функционал («Правила» и «Инциденты») и графические представления («Карта инцидентов», «Сканер сети», «Дашборд»).
Вкладка «Правила»
Здесь администратор может настраивать правила корреляции и просматривать инциденты по ним. В системе имеется более 300 предустановленных правил, которые начинают работать сразу после запуска «СёрчИнформ SIEM». При желании можно создавать новые через «Мастер добавления правил» (в прежних версиях программы его не было).
Рисунок 9. Добавление правила «Прочие события Syslog»
Вкладка «Инциденты»
На этой вкладке администратор может посмотреть срабатывания правил за выбранный период (вчера, неделю назад). На цветных плитках показывается число непросмотренных инцидентов (в правом верхнем углу) и их общее количество по правилу (в левом верхнем углу). Если нужны подробности — например, когда и на каком компьютере имели место попытки подбора пароля, — можно открыть описания инцидентов в виде таблицы. Для этого достаточно нажать на плитку с нужным правилом.
Рисунок 10. Вкладка «Инциденты»
Вкладка «Карта инцидентов»
В прежних версиях «СёрчИнформ SIEM» во вкладку «Инциденты» была включена и карта инцидентов, которая теперь стала самостоятельной. После переноса на отдельную вкладку работать с картой стало удобнее. Здесь администратор может увидеть все ПК и пользователей в системе с привязкой к инцидентам и определить проблемные точки. Например, можно отфильтровать компьютеры, по которым за день было больше 10 000 инцидентов.
Карта масштабируется, для удобства можно скрывать на ней всех пользователей или все компьютеры. Это упрощает анализ ситуации в крупных компаниях с большим количеством сотрудников за ПК.
Вкладка «Сканер сети»
На этой вкладке появляются результаты сканирования сети в обычном (тип, MAC- и IP-адрес устройства) и углубленном режимах (+домен и операционная система). Визуально отчет напоминает «ромашку». В центре отображается диапазон отсканированных IP-адресов и общее количество обнаруженных устройств и портов. На «лепестках» – сами устройства с информацией о них во всплывающем окне.
Также администратор может просмотреть количество принтеров или роутеров в сети, количество открытых портов по номерам, собрать все ПК в группы по IP-адресам для более удобного анализа (например, «Бухгалтерия», «Отдел продаж»). Если в сети появятся новые устройства, то они автоматически попадут в папку «Без группы».
Рисунок 11. Сгруппированные устройства на сканере сети
Вкладка «Дашборд»
Раньше рабочими вкладками в «СёрчИнформ SIEM» были «Инциденты» и «Карта инцидентов». Теперь администратору полезнее сначала зайти на «Дашборд», чтобы увидеть четкую картину всех процессов и событий в IT-инфраструктуре.
В системе 11 шаблонов виджетов, на их основе можно создавать новые. Доступны настройка частоты обновления данных на них (от 1 минуты до 1 часа) и отслеживание изменений в диапазоне от одного дня до года. Настраивать можно все виджеты сразу или по отдельности.
«Дашборд» позволяет администратору отследить инциденты по горячему следу или в динамике. Например, есть возможность определить дни, когда на ПК было обнаружено больше всего вирусов (возможно, e-mail адреса компании попали в фишинговую рассылку с вредоносами), или вычислить самых проблемных пользователей за октябрь (более 50 000 инцидентов).
Системные требования «СёрчИнформ SIEM»
Несмотря на увеличение числа коннекторов, системные требования не изменились. При этом скорость работы наиболее нагруженных коннекторов (например, WinEvent) выросла.
Минимальные требования для установки сервера SIEM:
- Microsoft Windows Server 2016, 2012 R2, 2008 R2;
- процессор: 4-ядерный с частотой 2,1 ГГц;
- оперативная память: 4 ГБ;
- жесткий диск: 200 ГБ;
- сетевая карта: 100 Мбит/с.
Требования формируются в зависимости от разветвленности и размера IT-инфраструктуры компании, которая будет использовать программу.
Хотя разработчик не предлагает готовое программно-аппаратное решение, при соблюдении рекомендаций программа стабильно работает и в виртуальной, и в аппаратной средах.
Лицензирование «СёрчИнформ SIEM»
Лицензии раздаются по количеству пользователей, компьютеров и устройств. Раздачу лицензий ведет DataCenter. Тип лицензирования зависит от коннектора.
Рисунок 12. Количество выданных, использованных и оставшихся лицензий в окне DataCenter
Каждый коннектор использует свои лицензии независимо от другого. Это означает, что общее число купленных лицензий, например 125, распределится следующим образом: каждый установленный коннектор получит по 125 лицензий для контроля пользователей, ПК и устройств.
Такой вариант лицензирования не ограничивает производительность системы, поскольку не зависит от количества событий в секунду.
Выводы
«СёрчИнформ SIEM» стала мощнее за счет новой функциональности и при этом не потеряла в скорости работы. Графические представления упростили контроль состояния IT-инфраструктуры, ускорили поиск инцидентов и расследования по ним.
Достоинства
- Быстрая и простая настройка – правила корреляции начинают работать сразу после установки системы.
- Легкая интеграция с DLP «СёрчИнформ КИБ» для углубленного расследования обнаруженных нарушений.
- Широкие возможности мониторинга общего состояния сети, узлов, программного обеспечения и оборудования, пользователей, а также возможность глубокого анализа Active Directory.
- Простое и понятное лицензирование.
- Разработка и техническая поддержка находятся в РФ, что ускоряет решение вопросов по работе с системой.
- Система сертифицирована ФСТЭК и внесена в Единый реестр российского программного обеспечения.
Недостатки
- Нет встроенных правил поведенческого анализа.
- Управление только из приложения (нет web-интерфейса).
- Нет встроенного сканера угроз.