Чтобы подключить нетипичные источники или уточнить вычитку данных.
Привет! Возвращаемся с форматом мини-инструкций, как эффективно решать прикладные ИБ-задачи с помощью решений «СёрчИнформ». Сегодня поговорим о том, как взять под контроль «неподконтрольное» – подключить к SIEM источник, который не может передавать данные в стандартном виде.
Мы уже рассказывали, как к «СёрчИнформ SIEM» нетипичные источники. Теперь этих возможностей стало больше: появился DatabaseConnector, который дополняет картину событий информационной безопасности.
DatabaseConnector обеспечивает чтение необходимых событий прямо из баз данных различного оборудования и ПО, куда некоторые источники записывают логи вместо классических журналов. Коннектор не требует написания скриптов: все настройки можно «накликать» в консоли SIEM. Достаточно задать тип СУБД и сервер, где она расположена, выбрать БД, таблицу и что из нее нужно импортировать: вплоть до конкретных столбцов и данных в ячейках (но об этом расскажем ниже).
Для чего нужна вычитка произвольных баз данных?
В «СёрчИнформ SIEM» за сбор данных от железа и ПО отвечают различные коннекторы. Сейчас в системе больше 40 предустановленных коннекторов для интеграции с различными элементами IT-инфраструктуры. Если их не хватает, на помощь приходят универсальные коннекторы на основе распространенных протоколов хранения и/или передачи логов и прочих данных: event log, syslog, NetFlow, SSH, SNMP.
Имеющиеся протоколы подходят для большинства источников данных, но не всегда дают достаточно детализации: например, не передают всех нужных данных, или наоборот «заваливают» SIEM лишней информацией. Кроме того, в инфраструктуре компании-заказчика могут присутствовать самописные источники, которые не поддерживают перечисленные стандарты. Зато все перечисленные источники могут записывать нужную для службы ИБ информацию в свои базы данных.
Вычитать их в «СёрчИнформ SIEM» помогает DatabaseConnector. Он подходит:
1. Для типового ПО и «железа», к которым предусмотрены персональные коннекторы. Но они могут передавать в SIEM слишком много/мало данных. При этом некоторые из этих данных не относятся к событиям безопасности, а являются журналированием нормальной работы. Эти данные не нужны для срочного реагирования и чаще всего используются для дополнения контекста инцидента при расследованиях.
DBConnector позволяет импортировать данные из БД типового источника выборочно.
2. Для ПО или «железа», которые подключены через универсальные коннекторы (event log, syslog, NetFlow, SSH, SNMP). Они позволяют подключаться к большинству оборудования и ПО. Но такие источники нередко отправляют свои логи в стандартном формате в урезанном виде, а то и вовсе – далеко не все логи.
DBConnector позволяет подключиться к тому хранилищу, откуда источники берут данные до того, как их нормализовали перед отправкой по стандарту.
В обоих сценариях коннектор позволяет получать из первоисточника те данные, которые ИБ-специалист посчитает нужными: вплоть до конкретных столбцов и ячеек в базе данных источника.
3. Для самописных источников, которые записывают логи прямо в БД, с которой работают. При этом источник, подключаемый к этой базе данных, передает данные в SIEM в неудобном или неполном виде, а нередко – вовсе не передают (учитывая, что речь идет про самописное ПО – то почти любой случай здесь будет уникальным).
DBConnector подключается напрямую к БД и позволяет вычитывать нужные данные вплоть до конкретного столбца или ячейки, который задает ИБ-специалист.
Резюмируя, DatabaseConnector позволяет взять под контроль неконтролируемые источники (самописное ПО или железо), либо конкретизировать, какие данные нужно брать из типовых источников.
Как настроить DBConnector: практический разбор
Задача: получать события из ProxWay, системы контроля и управления доступом (СКУД) в SIEM.
В одном из наших офисов используется система контроля и управления доступом (СКУД), ее нужно было взять под контроль с помощью SIEM. При этом в СКУД нет прямого механизма выгрузки данных, но система ведет журналы событий в БД под управлением MS SQL.
В SIEM нужно было получать следующие данные:
ID карт;
типы карт;
ID держателей карт;
ФИО держателей карт;
события открытия и закрытия дверей;
ошибки чтения карт;
ошибки открытия и закрытия дверей и т.д.
В других SIEM такие подключения реализуются через написание запросов на одном из скриптовых языков. Это может быть трудозатратный вариант, который к тому же потребует регулярной актуализации скрипта: каждый раз, когда само ПО или СУБД в его основе получают обновления. В «СёрчИнформ SIEM» задача решается с помощью DatabaseConnector в три простых шага.
Шаг 1. Указываем адрес источника
На первом этапе описывается тип СУБД и сервер, где она расположена. Также указывается имя пользователя, от которого будет осуществляться подключение, и его пароль.
Шаг 2. Выбираем БД, таблицу и столбец
Когда система знает тип СУБД в источнике, то может прочитать его структуру. В поле «База данных» мы получаем список БД, которые есть в заданной СУБД. После этого SIEM позволяет выбрать таблицу с нужными данными из указанной базе.
Это позволяет свободно оперировать таблицами, имеющимися внутри БД. В частности – выбрать таблицу, а также данные из каких столбцов указанной таблицы нужно импортировать в SIEM.
Шаг 3. Уточняем выборку данных
На последнем этапе, при необходимости, можно уточнить выборку данных, указав значение фильтрации по какому-либо полю.
В результате после нескольких действий с DBConnector мы:
получили данные из СКУД, несмотря на отсутствие прямого механизма выгрузки данных в источнике;
получили возможность простого выявления нарушений работоспособности СКУД;
получили сведения, которые можно коррелировать с данными из AD и выявлять инциденты безопасности: например, факты использования чужих пропусков или имитации нахождения на рабочем месте.
Итого
При помощи DatabaseConnector можно решать не только описанную задачу, но и многие другие. Ведь систем, которые пишут данные напрямую в БД – много. При этом любые данные из них могут потребоваться, чтобы дополнить картину событий информационной безопасности.
DatabaseConnector расширяет возможности SIEM-системы:
1. Уточняет контроль, если требуется импорт от источника специфических данных.
2. Экономит ресурсы, если требуется отфильтровать поток данных от источника и сосредоточиться на важном.
3. Обеспечивает контроль «бесконтрольного»: любых источников, которые не передают данные в систему стандартным способом.
4. Упрощает кастомизацию, когда нужно подключиться к нетипичным элементам инфраструктуры быстро и без дополнительных затрат: инструмент работает в графическом интерфейсе и не требует навыков программирования.
Протестировать DatabaseConnector и весь остальной функционал «СёрчИнформ SIEM» можно бесплатно 30 дней. Попробуйте – по
И не пропускайте обновления в нашем блоге: в следующих ИБ-инструкциях мы расскажем больше о возможностях SIEM, DLP и DCAP от «СёрчИнформ», а также поделимся лайфхаками, как решать практические задачи безопасности с помощью всего комплекса интегрированных инструментов.
