MaxPatrol SIEM Getting Started. Статья 4. Описание системы

Приветствуем вас в четвертой статье цикла «MaxPatrol SIEM Getting Started». В прошлых статьях мы изучили процесс установки и базовой настройки компонентов системы. В этой же части мы поговорим о схеме системы мониторинга, web-интерфейсе и в подробностях разберем возможности продукта.

Схема системы мониторинга

В первой статье мы с вами уже обсуждали компоненты, из которых состоит MaxPatrol SIEM.

Алгоритм его работы следующий:

     1. Коллекторы собирают данные об IT-инфраструктуре предприятия:

• модули компонента Collector сканируют IT-инфраструктуру, собирают сведения о сетевых узлах и события с источников;
  
• компонент MP NAD Sensor собирает сведения о сетевых соединениях
  

      Собранные данные коллекторы передают в MP SIEM Server и MP 10 Core.

     2. Компонент MP 10 Core обрабатывает и хранит результаты сканирования с подробной информацией              об обнаруженных ОС, ПО, службах, портах и прочими сведениями об узлах и связях между ними

Также компонент хранит:параметры задач на сбор данных, профилей сканирования и транспортов,данные и сценарии справочников. И осуществляет контроль доступа к этим данным, связываясь с остальными компонентами системы для выполнения пользовательских запросов.

Собранные события передаются на MP SIEM Server для нормализации, агрегации, обогащения и корреляции.

     3. Компонент MP SIEM Server обрабатывает входящий поток событий, приводит их к единому формату           (нормализует)

Затем выполняет корреляцию событий по заданным правилам.

В результате этого процесса поток событий может обогатиться новыми событиями, полученными из-за действия правил корреляции. MP SIEM Server передает компоненту MP SIEM Events Storage поступившие события в исходном (необработанном) и в нормализованном виде для хранения.

     4. Компонент Knowledge Base содержит базу знаний, необходимых MaxPatrol SIEM для                                          структурирования сведений, собранных от источников событий и объектов инфраструктуры

     5. Компонент PT MC обеспечивает доступ к системе через сервис единого входа и журналирует                          действия пользователей

     6. Для управления системой, просмотра данных, построения отчетов и мониторинга пользователь                    подключается к компоненту MP 10 Core через веб-интерфейс в соответствии с правами, которые                  назначены в PT MC

     7. Компонент PT CP доставляет данные об угрозах информационной безопасности и индикаторах                      компрометации
     
     8. Компонент PT RC обеспечивает возможность ретроспективной проверки полученных ранее                          событий,  используя новые правила корреляции и данные из табличных списков

     9. Компонент PT UCS обеспечивает обновление компонентов системы и базы знаний

Основной обзор web-интерфейса представлен в статье «Обзор возможностей» в курсе MaxPatrol VM Getting Started . В данной статье мы рассмотрим его дополнительные возможности.


Инциденты




На данной вкладке происходит основная работа с инцидентами.

Здесь можно:
— создавать, изменять, удалять инциденты;
— экспортировать или импортировать инциденты в унифицированном формате: JSON;
— просматривать на топологии, связанные с выбранным инцидентом активы и сети;
— группировать инциденты

Инциденты можно группировать по следующим параметрам:

• Все инциденты;
  
• Непривязанные инциденты;
  
• Мои инциденты;
  
• По группам активов
  

В части Фильтры отображаются варианты фильтров, которые позволяют выполнять поиск инцидентов по определенным параметрам:

• Все инциденты;
  
• Стандартные фильтры;
  
• Пользовательские фильтры
  

Для каждого инцидента указан набор параметров:

• Опасность: уровень опасности инцидента. Уровень опасности может быть низким, средним или высоким;
  
• ID: идентификационный номер инцидента;
  
• Инцидент: наименование инцидента;
  
• Категория: классификация инцидента по категории;
  
• Тип: классификация инцидента по типу. Тип инцидента зависит от присвоенной ему категории;
  
• Статус: статус инцидента. Возможные значения: Новый, Утвержден, Разрешен, Закрыт, Закрыт (ложное срабатывание);
  
• Создан: день и время создания инцидента;
  
• Ответственный: пользователь системы, который назначен ответственным за инцидент
  

Задачи

На этой странице можно:

• создавать задачи;
  
• сортировать список задач;
  
• посмотреть подробную информацию по выбранной задаче;
  
• изменять задачу
  

Для каждой задачи указан набор параметров:

• Название: наименование задачи.
  
• Тип: тип задачи. Возможные значения: Расследование, Сбор доказательств, Восстановление.
  
• Статус: статус задачи. Возможные значения: Новая, Назначена, В работе, Закрыта.
  
• Ответственный: пользователь системы, который назначен ответственным за выполнение задачи.
  
• Дедлайн: дата и время, к которому задача должна быть выполнена
  

Статистика


В данном разделе можно просматривать собранную MaxPatrol SIEM статистику:

• общее количество новых инцидентов с распределением по времени;
  
• общее количество закрытых инцидентов с распределением по времени;
  
• общее количество инцидентов не закрытых на начало заданного периода;
  
• общее количество не закрытых инцидентов с распределением по времени и по уровню опасности инцидентов;
  
• среднее время устранения инцидентов с распределением по времени
  

По умолчанию данные на диаграммах обновляются раз в 5 минут.

Сбор данных


На данной вкладке происходит основная работа по настройке сбора событий с источников, аудита активов и тонкой настройке анализа полученных данных.

Некоторые разделы были описаны в статье , которую мы упоминали выше. Сейчас же рассмотрим дополнительные возможности MaxPatrol SIEM.

Правила корреляции



Раздел предназначен для просмотра правил корреляции, статистики срабатывания, включения и отключения правил.

Для чего они нужны и как писать правила корреляции мы обсудим уже в заключительной статье курса. А сейчас просто рассмотрим, как они выглядят.




При необходимости есть возможность посмотреть само правило и отредактировать его в частных случаях.



Для правил в основных параметрах указаны: системное название, идентификатор, тип правила, источник, статусы и описание.

Правила обогащения



Раздел предназначен для просмотра, включения и отключения правил обогащения.

Обогащение событий — заполнение полей нормализованных, агрегированных и корреляционных событий согласно правилам обогащения. Поля заполняются данными, указанными в правиле обогащения или полученными из табличных списков.


Также есть возможность посмотреть само правило. Правила обогащения бывают стандартными и пользовательскими.

Стандартные правила обогащения разработаны специалистами по информационной безопасности Positive Technologies и не могут быть изменены. Вы можете просматривать стандартные правила обогащения и копировать их для создания пользовательских правил.

Пользовательские правила вы можете создавать, изменять, копировать и удалять.



Как и в правилах корреляции, у правил обогащения есть основные параметры.

Табличные списки



Раздел предназначен для просмотра записей табличных списков и работы с записями табличных списков для правил корреляции и обогащения (если такая возможность была предусмотрена при создании табличного списка).

Табличный список — двухмерный массив данных, хранящийся в памяти MaxPatrol SIEM и доступный для использования в правилах корреляции и правилах обогащения.

В зависимости от назначения существуют следующие типы табличных списков:

• Данные об активах: предназначены для хранения информацией об активах, используемой в правилах обогащения и корреляции.
  
• Заполняются правилами корреляции: предназначены для хранения данных, используемых в правилах обогащения и корреляции. Заполняются автоматически при выполнении правил корреляции.
  
• Заполняются правилами обогащения: предназначены для хранения данных, используемых в правилах обогащения и корреляции. Заполняются автоматически при выполнении правил обогащения.
  
• Репутационные списки: предназначены для хранения репутационных списков, получаемых из системы Cyber Security Intelligence.
  
• Справочник: предназначены для хранения справочной информации, используемой в правилах обогащения и корреляции.
  

Мониторинг источников



Источники и форвардеры появляются в системе автоматически по мере сбора событий с активов и их идентификации.

На странице «Мониторинг источников» пользователь системы может просмотреть состояние источников и параметры потока данных от них или состояние форвардеров и параметры находящихся в них источников.


Knowledge Base


При входе в веб-интерфейс «Knowledge Base» открывается страница «Статистика» которая предназначена для отслеживания изменения количества объектов в используемой БД.



Базы данных

Страница предназначена для работы с БД Knowledge Base.

В данном разделе есть следующие инструменты:

• Создать ветку: для дочерней пользовательской БД;
  
• Сделать установочной: для назначения установочной базы и установки объектов БД в MaxPatrol SIEM;
  
• Импорт ревизии: для импорта изменений из родительской БД;
  
• Загрузить обновления: для загрузки обновлений из файла (доступна только для стандартной БД);
  
• Управление: для изменения параметров БД и удаления пользовательской БД
  

Пакеты экспертизы



Пакет экспертизы представляет собой совокупность правил нормализации, корреляции или других объектов, объединенных одной темой. Например: предназначенных для выявления атак на некоторую систему или использующих определенную тактику.

Можно детально изучить информацию о каждом правиле и о пакете в целом: новые возможности, правила заполнения полей, настройка правил и так далее.



О любом пакете экспертизы из «Knowledge Base» можно получить такую сводку, что отличает MaxPatrol SIEM от других систем:




Макросы

Страница предназначена для настройки макросов.

Макрос представляет собой фрагмент кода, содержащий условие для отбора событий. Макросы могут использоваться при создании правил корреляции.

Схема полей событий

Любое событие MaxPatrol SIEM представляет собой совокупность полей, заполненных значениями, определяющими это событие. Схема полей событий содержит перечень всех полей и их допустимых значений. Страница предназначена для просмотра схемы полей событий.


Заключение

На этом четвёртая статья подошла к концу. Мы узнали: как пошагово работает система мониторинга, посмотрели на дополнительные возможности Web-интерфейса и ознакомились с большей частью возможностей MaxPatrol SIEM в теории.

В следующей статье мы займемся практикой и, наконец, начнем прямую работу с продуктом. До встречи!