В прошлой статье мы обсудили технологии web-интерфейса и разобрали его основные возможности. А в этом материале мы с вами изучим работу с событиями и активами в MaxPatrol SIEM.
Статью подготовили инженеры внедрения и технической поддержки Группа компаний «TS Solution» решает задачи по проектированию и внедрению комплексных проектов в сфере ИТ и ИБ на основе отечественных и зарубежных решений.Основные направления деятельности: – Аудит, соответствие требованиям регуляторов, категорирование объектов КИИ; – Полный спектр работ по построению системы ИБ; – Построение IT-инфраструктуры;– Проектирование и внедрение инфраструктурных решений, серверные технологии и системы хранения данных; – Работы требующие аттестации ФСТЭК и ФСБ; – Предоставление 1-й и 2-й линии технической поддержки и полное техническое сопровождение проектов; – Проведение авторизованных и авторских курсов и программ обучения |
Статические и динамические группы
В MaxPatrol SIEM используется иерархическая структура групп активов, в которой предусмотрены следующие типы групп:
- системные группы;
- пользовательские группы: динамические или статические.
1. Статические группы
Формируют логическую структуру. Группы создаются таким образом, чтобы объединять активы на основе обобщающего признака, например, по территориальному признаку или используемой ОС. Статические группы наполняет активами оператор: вручную или с использованием динамических групп.
2. Динамические группы
Служат для поиска активов на основе имеющихся в MaxPatrol SIEM сведений: например, на основе типа узла, IP-адреса, DNS-имени, открытых портов, ОС, состава ПО.
Поиск выполняется на основе фильтров, задаваемых оператором при создании группы. Например: можно создать статическую группу «ОС» в состав которой будут входить динамические группы (каждая из которых будет отдельно осуществлять поиск активов под управлением Windows, Unix или macOS).
Создадим статическую группу Example. Группа будет располагаться в корне иерархии:
В корне иерархии создадим динамическую группу Windows (3389) на основе созданного выражения PDQL.
В данную группу попадут все активы, удовлетворяющие фильтру:
Группировку активов рекомендуется использовать для решения следующих задач процесса управления активами:
- систематизация сведений об активах;
- присвоение значимости активам;
- автоматизация поиска и аудита активов;
- мониторинг состояния активов
В MaxPatrol SIEM можно фильтровать активы с помощью запросов на языке PDQL.
В системе предусмотрены готовые запросы для фильтрации активов. Эти запросы расположены в папках, вложенных в стандартную папку «Стандартные запросы».
Пользовательские запросы
Для решения рабочих задач вы можете создавать свои пользовательские запросы и папки и помещать их в стандартную папку «Пользовательские запросы».
К пользовательским запросам и папкам не имеет доступа никто, кроме их создателя.
Кроме того: вы можете создавать в стандартной папке «Общие запросы» вложенные папки (или перемещать туда пользовательские папки) и запросы, к которым будут иметь доступ все пользователи системы.
Создадим пользовательский запрос по поиску узлов, у которых не было аудита:
Добавим фильтр «not Host.@AuditTime» и отсортируем по следующим полям:
- узел;
- ОС;
- дата и время создания актива и последнего обновления актива
В итоге были найдены следующие активы:
Таким образом, можно создавать любые необходимые запросы и фильтровать активы.
Карточки активов
При работе на вкладке «активы» в правой части экрана расположены карточки активов. Карточка актива содержит полную информацию об активе.
Перейти в карточку можно из таблицы активов, щелкнув по названию актива:
В карточке актива содержится следующая информация:
- краткая сводка об активе;
- полная конфигурация;
- требования к метрикам cvss;
- история изменений;
- уязвимости (только при наличии лицензии на MaxPatrol VM)
На вкладке «Уязвимости» есть возможность посмотреть уязвимости, связанные с выбранным активом:
Вкладка «Конфигурация» содержит подробную информацию об аппаратном и программном обеспечении актива:
На вкладке «Метрики CVSS» отображаются контекстные метрики CVSS.
Можно устанавливать и изменять значения для метрик, в том числе при настройке группы, в которую входит актив:
Также есть в карточке актива есть возможность построения фильтров PDQL и динамических групп исходя из параметров актива:
Сбор данных
Сбор данных в MaxPatrol SIEM выполняется компонентом MP 10 Agent. Как упоминалось в первой статье: в зависимости от используемых модулей агент может выполнять различные задачи по сбору данных.
Модули можно разделить по типам собираемых данных на следующие группы:
- модули аудита: предназначены для поиска активов и сбора информации о них;
- пассивного сбора событий: предназначены для приема событий, отправляемых источниками;
- мониторинга: предназначены для сбора событий сразу после регистрации их на источниках;
- модули для периодического сбора событий сохраненных на источниках
Сбор данных об активе
Работа с системой начинается со сбора сведений об активах. Это позволяет получить представление об информационной инфраструктуре предприятия.
В MaxPatrol SIEM создается задача на сбор данных, указывается цель сканирования и профиль сканирования.
Создадим задачу по обнаружению узлов в сети.
Для этого на вкладке «Сбор данных"→ «Задачи» создаем задачу «Who is there?». Целью сканирования указываем локальную сеть (например, 10.0.1.0/24), профиль: «Inventory Profile».
Далее нажимаем кнопку «Сохранить и запустить»:
В процессе выполнения задачи в меню можно увидеть ее статус:
По мере выполнения задачи на вкладке «Активы» → «Конфигурация» в системной группе «Unmanaged hosts» должны появляться активы.
Аналогичным способом создадим задачу «Where Windows?».
На этот раз дополнительно зададим опцию «Выполнить обнаружение узлов до начала сбора данных» и выберем профиль обнаружения узлов «HostDiscovery»:
Проведение аудита активов
Следующим шагом проведем аудит Windows.
Для этого необходимо сначала создать учетные записи типа «логин-пароль».
На вкладке «Сбор данных» → «Учетные записи» создадим учетную запись «Windows Auditor», отметим метки SMB/ Windows audit/ Windows logs, укажем логин «Administrator», пароль «P@ssw0rd».
Далее создадим и запустим задачу «Windows Audit».
В качестве целей сканирования укажем группу активов Windows, полученную ранее:
| TS University делает большой шаг в сторону доступности знаний. Мы открыли самые популярные статьи для вас. Теперь вы можете свободно изучать и делиться понравившимися материалами с коллегами без регистрации на сайте! |
