Новое в «СёрчИнформ SIEM»: интеграция с ГосСОПКА, таск-менеджмент и веб-интерфейс

В 2020 году «СёрчИнформ» получил грант Российского фонда развития информационных технологий (РФРИТ) на развитие своей SIEM-системы. За год в программе увеличено количество новых источников данных, расширен функционал расследований, решение стало еще удобней в управлении.

Источники данных
«СёрчИнформ SIEM» теперь поддерживает обмен данными со всеми самыми распространенными типами сетевых устройств.

Под контролем системы может быть любое оборудование (маршрутизаторы, коммутаторы, серверы, принтеры и пр.) и ПО, которое работает по протоколу SNMP (Simple Network Management Protocol – простой протокол сетевого управления). Благодаря SNMPTrap Connector система получает уведомления о критических событиях от этих источников: например, об отключении порта, изменении сети маршрутизации, переходе к питанию от батареи, сигнале тревоги и пр. Это экономичный формат обмена данными, чтобы не перегружать SIEM событиями, не требующими внимания.


NetFlow Connector собирает данные о сетевом трафике в стандартизированном формате NetFlow. С ним система получает информацию об объемах и направлении трафика в сети компании, статистику подключений, сбоев и т.п. Общую картину движения трафика можно выгрузить в отчет.

Появились коннекторы к специфическим источникам. Так, RusGuard Connector помогает получать информацию от умной системы контроля доступа: авторизации сотрудников, ошибки считывания пропусков, статистику распознавания лиц, нарушения физического периметра и т.п. Реализован Azure Connector, которые позволяют корректно получать события ИБ от баз данных, которые мигрировали в облако MS Azure. Таким образом, «СёрчИнформ SIEM» теперь сможет проводить комплексный мониторинг безопасности для облачной инфраструктуры.


Сканер уязвимостей
В сканере сети появилась новая функция: поиск уязвимостей для обнаруженных портов. Отчет доступен по клику по названию хоста. Он показывает список уязвимостей, актуальных для данного ПО или устройства, благодаря вычитке vulnerability-баз в реальном времени. Это позволяет оперативно узнавать о потенциальных угрозах, чтобы вовремя их устранить.


Еще более продвинутый сканер уязвимостей можно подключить с помощью Red Check Connector. Он передает в SIEM информацию о конкретных проблемах в корпоративной сети, выделяя уровень опасности. Готовый набор правил корреляции позволяет контролировать результаты аудита отдельных типов источников: СУБД, сетевых приложений, рабочих станций, а также следить за конфигурацией оборудования и управлять обновлениями. Для корректной работы сканера требуются дополнительные лицензии Red Check.



Корреляция событий
Для всех новых коннекторов в «СёрчИнформ SIEM» доступны готовые правила корреляции. Набор правил постоянно расширяется и для «классического» набора коннекторов.

Так, в 2021 году расширился список предустановленных правил для Linux Connector: теперь они лучше работают с отечественными ОС семейства. Для KavEvent Connector, который контролирует антивирусы Kaspersky, появилась возможность отображать события сервера администрирования Kaspersky Security Center с разными уровнями важности («информационные сообщения», «отказ функционирования», «предупреждения», «критические», «прочие события»). Для Cisco Connector в группу «Cisco. Основные события» добавлено правило, чтобы контролировать, как осуществляются подключения по VPN-каналу через сетевой шлюз Cisco ASA.

ИБ-специалисты также могут создавать собственные правила корреляции, а теперь это стало еще проще. В редакторе правил обновился конструктор регулярных выражений: в нем удобнее создавать запросы благодаря готовым элементам формулы, подсказкам и проверочному режиму.

Разные запросы можно объединять в многоуровневые правила: механизм кросс-корреляции теперь доступен для всех 30+ коннекторов «СёрчИнформ SIEM». Сервис кросс-корреляции представлен в виде интерактивного конструктора: чтобы создать сложное правило, не нужно знать языки программирования и возиться с кодом. Обновление еще расширило возможности сервиса: добавился новый логический оператор «НЕ», который научит систему распознавать инцидент, когда нарушились легитимные процессы и не произошло важное событие. Например, если человек не проходил через СКУД, но работает за компьютером, это повод разобраться: это санкционированный удаленный доступ или вторжение. Фактически новый оператор увеличивает спектр применения правил кросс-корреляции в два раза при использовании двух событий для формирования инцидента, и в шесть раз – при использовании трех.



Простое масштабирование
В «СёрчИнформ SIEM» появилась возможность экономично контролировать распределенные сети – например, в компаниях со множеством филиалов. До сих пор в распределенных сетях применялся сбор данных центральным сервером, куда поступала информация напрямую от устройств и ПО в филиалах. Это могло создавать излишнюю нагрузку на сеть и приводить к потере данных при сборе событий из источников с пассивным сбором. Теперь в системе появился специальные буферизующие агенты, которые собирают и нормализуют данные «на местах» и передают в «головной» SIEM уже в подготовленном виде. Вот, как это работает:

1. Устройства в удаленных филиалах передают информацию о событиях ИБ в буферизирующий агент.
2. Буферизирующий агент собирает события в филиале, нормализирует их и выявляет среди них инциденты.
3. «Чистые» данные из филиала передаются в центральный офис по выделенному каналу.
4. Сервер SIEM в центральном офисе получает и хранит «чистые» данные от филиалов с готовой разметкой: что, когда и где произошло.
   

   В результате растет производительность и отказоустойчивость системы: с одной стороны, передача готовых данных по одному выделенному каналу экономит ресурсы, с другой – данные от устройств надежно сохраняются локально на буферизирующем агенте в филиале.
Расследования и отчетность
Процесс расследования инцидентов в «СёрчИнформ SIEM» упрощает новый инструмент – таск-менеджер. Он позволяет объединять разные инциденты в одно расследование, назначать ответственных сотрудников службы ИБ, присваивать статусы хода расследования, добавлять комментарии и подводить итоги.
Инструмент полезен, чтобы определять границы инцидента и выявлять цепочки событий, которые объединены одной атакой или сбоем. На основе выводов расследований удобно создавать новые правила кросс-корреляции.
Кроме того, теперь можно комментировать каждый инцидент в отдельности. В комментарии можно добавить любой текст, автоматически в них включится имя автора и время добавления. Доступно автозаполнение. Администратор системы может гибко настроить права доступа к комментированию для разных ИБ-специалистов, которые работают с SIEM. Комментарии будут являться неотъемлемой частью инцидента, и заодно дублироваться в логи.

Результаты расследований, информацию о работе SIEM и аналитику по отдельным источникам выгружаются в кастомизируемые отчеты. Добавилась возможность формировать отчеты по любому правилу, выгружать их по расписанию и отправлять на электронную почту.

А для компаний, которые должны отчитываться о состоянии ИБ перед регулятором, реализована возможность напрямую передать отчеты в НКЦКИ в стандартизированном формате. В SIEM реализован функционал прямого экспорта в ГосСОПКА, который позволяет информировать регулятора не о событиях или промежуточных результатах расследований, а представлять картину атаки/сбоя целиком.


Удобство и безопасность

Систему стало проще развернуть и настроить.
Во-первых, заказчикам теперь проще рассчитать конечную стоимость внедрения программы. Новая схема лицензирования «СёрчИнформ SIEM» опирается на количество узлов, которые будут передавать данные – компаниям не нужно «прикидывать на глаз» пиковые объемы трафика (EPS), легче оценить свои потребности в количестве лицензий.
Во-вторых, при внедрении добавилась возможность «разбить» БД SIEM на мощности нескольких серверов, чтобы повысить производительность. Поддержка кластерной модели работы позволяет системе обрабатывать одновременно больше информации и делать это быстрее. Все настройки кластера осуществляются из одной консоли – это удобнее, чем индивидуально настраивать базу из интерфейса СУБД.
Проверить работоспособность основных коннекторов перед «боевым» запуском можно в тестовом режиме. Например, для коннектора WinEvent разработан механизм генерации всех типов тестовых событий, чтобы без усилий провести полную проверку настроек аудита данных на источнике. Особенно это актуально, чтобы убедиться в корректности правил аудита Active Directory.

Чтобы обезопасить систему – ведь она хранит максимум информации о составе и «тонких местах» в инфраструктуре компании – реализованы ограничения при работе администраторов SIEM. Так, переработан механизм авторизации: теперь можно ограничить список узлов, с которых можно подключиться к серверу системы. Если злоумышленникам удастся завладеть данными для авторизации, они не смогут подключиться к SIEM из-за пределов корпоративного периметра, или с IP, который не задан как доверенный.

А чтобы контролировать, как взаимодействуют с SIEM легитимные пользователи, все действия юзеров после авторизации в системе подробно логируются. Руководитель службы ИБ может просмотреть, кто, когда и что делал в SIEM, а также задать роли своих сотрудников в системе. Это поможет выявить ошибки или подозрительные действия внутренних пользователей.
Новый интерфейс
В обновленной версии «СёрчИнформ SIEM» стала дружелюбнее к пользователю: внешний вид системы и выдачу данных можно кастомизировать почти без ограничений. Например, можно менять порядок расположения виджетов способом drag - and - drop. А во всех вкладках консоли стало больше фильтров, группировки по любым параметрам, возможности экспорта данных и отправки на печать.


Появилась карта подключений, которая визуализирует, какие пользователи авторизованы на каких устройствах. Граф формируется на основе событий по правилу «Статистика входов в систему» (WinEventConnector) и отображается на отдельной вкладке. Карта подключений позволяет просматривать для каждого компьютера/пользователя:

• связи с другими объектами сети;  
• тип и статус подключений: интерактивный, сетевой и др.  
• детальную информацию о подключениях за выбранный период времени.
  

Все дашборды и графы теперь доступны онлайн в веб-представлении. Аналитическую информацию можно будет просмотреть с любого устройства – видео-стены, телевизора, дополнительного монитора и пр.