Skip to main content

Инфраструктура

Средства защиты

Мониторинг ИБ автоматизируют с помощью LM/SIEM, UBA/UEBA, IRP/SOAR, TIP, IDS/IPS, NTA, EDR, XDR, DDP. Постоянно развивается.

Log Management

Может быть в виде специализированного решения или унифицированного варианта, типа Elastic Stack. Централизованное хранилище журналов событий различных источников, приведенные к единой модели данных. Простой, гибкий и производительный поиск по событиям, отчёты и визуальные панели (дашборды) на основе таких поисков, но без корреляции событий на потоке. LM дешевле SIEM решение. Может работать рядом с SIEM. Задачи Log Management;

  • Изучение логов в производительной среде. 
  • Оценка нагрузки на источник от передачи событий в стороннюю систему. Можно изучить и нагрузку на сеть. Помню случай, когда трафик проходил через межсетевой экран по пути от одной подсети сегмента в другую. Поток Syslog-событий большого объёма привёл к отказу в обслуживании на данном файрволе.
  • Понимание необходимости дополнительных логгеров на существующих источниках по результатам расследований. События Sysmon могут быть информативнее событий Windows. А Auditbeats фиксирует то же, что и auditd, но не дробит единое событие на четыре строки, что требует дополнительной корреляции и лицензионной квоты.
  • Оценка потока событий. У интеграторов и производителей есть калькуляторы, которые позволяют теоретически оценить какое количество событий в среднем генерирует каждый тип источника событий. На практике генерация событий источниками зависит от их функций и нагруженности.
  • Привести инфраструктуру в соответствие с политиками и регламентами. Для большинства этих кейсов корреляция не требуется. LM позволит выявлять несоответствие политикам (использование неразрешенного ПО, не регламентированных подключений к сетевым портам и т.д.). 
  • Организовать Threat Hunting и расследование инцидентов. LM для данной задачи — единственная необходимая платформа. Например, вы видите вредоносный DNS-запрос на межсетевом экране, в журнале МЭ фигурирует в качестве инициатора контроллер домена, для выявления хоста инициатора необходимо еще проанализировать журналы DNS-сервера для определения какой хост выполнял запрос и на нем анализировать вредоносный процесс.

Security Information and Event Management(SIEM)

Система управления информацией и событиями в системе безопасности. Объединяет в одной точке данные об инцидентах ИБ. Собирает информацию из журналов событий средств защиты, сетевого оборудования, рабочих станций сотрудников и других ресурсов — тем самым исключает необходимость проверять их по отдельности и снижает риск возникновения слепых зон. Задачи SIEM:

  • нормализация данных различных источников в единообразный и пригодный для обработки формат;
  • мониторинг и консолидация событий безопасности со всех систем и устройств корпоративной сети;
  • обогащение данных о событиях связанной информацией из других ресурсов;
  • регистрация инцидентов на основе заданных правил корреляции — взаимосвязей между событиями и их цепочками, в том числе из разных источников;
  • информирование оператора об инциденте через чат-бот, email-сообщение, уведомление в интерфейсе системы и другими способами;
  • хранение исторических данных о всех событиях ИБ и поддержка при расследовании инцидентов;
  • анализ и управление рисками безопасности, проверка на соответствие стандартам и требованиям регуляторов;
  • формирование отчетных документов для внутренних целей и контролирующих органов.

Компоненты SIEM

  • агенты, устанавливаемые на инспектируемую информационную систему (актуально для операционных систем (агент представляет собой резидентную программу (сервис, демон), которая локально собирает журналы событий и по возможности передает их на сервер);
  • коллекторы на агентах, которые, по сути, представляют собой модули (библиотеки) для понимания конкретного журнала событий или системы;
  • серверы-коллекторы, предназначенные для предварительной аккумуляции событий от множества источников;
  • сервер-коррелятор, отвечающий за сбор информации от коллекторов и агентов и обработку по правилам и алгоритмам корреляции;
  • сервер баз данных и хранилища, отвечающий за хранение журналов событий.

ServiceDesk, IRP, SOAR

Система обработки заявок. Изначально при построении SOC, может не быть Incident Response Platform(IRP) или Security Orchestration, Automation and Response(SOAR), но каким-то образом нужно фиксировать и описывать детали инцидента, для это в минимальном формате подходит ServiceDesk.
IRP/SOAR — это специализированный ServiceDesk с функцией исполнения скриптов. Если у вас получится закрыть часть требований встроенным функционалом, вам необходимо получить более простые и стабильные способы работы со скриптами или дать службе мониторинга отдельный от ИТ инструмент со специализированным интерфейсом.

Автоматизация способна ускорить реагирование на часть кейсов на 1-2 порядка, но далеко не в каждом случае. Второй вариант использования — учёт действий аналитика. Если в инциденте участвует критичный актив, например, АСУ ТП, каждый шаг должен быть выполнен компетентным сотрудником, который ответственен за решение, ничего не должно быть пропущено, действия должны журналироваться.

Основные функции IRP, SOAR
Единая регистрация всех инцидентов безопасности в системе. Incident Response Platform поддерживает работу в режиме «одного окна» с использованием единой рабочей среды, где происходит создание, выполнение задач, контроль их состояния.
Ускорение отклика на инциденты. Достигается путем автоматизированного анализа, сбора дополнительной информации для расследования инцидентов путем интеграции различных СЗИ. То же самое касается автоматизированной обработки и расширения карточек инцидентов безопасности, проведения коррекции ответных мер на основании анализа разных источников угроз.
Своевременное оповещение соответствующих лиц в системе о наступлении критически важных инцидентов. Реализуется благодаря использованию разнообразных механизмов оповещения: локальные сообщения в местных интерфейсах, электронная почта, мессенджеры, sms.
Предоставление актуальной статистики, иллюстрирующей текущее состояние IT-активов, число инцидентов, уязвимостей. IRP предоставляют пользователю дашборды, сводки, которые содержат выборку данных по требующимся метрикам.
Предоставление единого централизованного инструмента для выполнения инвентаризации IT-активов компании. Посредством IRP можно собрать полную информацию о текущих IT-активах на базе одного решения, предоставить пользователям права доступа в систему на основе разграничения прав. Эти процессы автоматизированы, затрагивают полный жизненный цикл IT-активов, что в разы повышает удобство и эффективность управления ими.
Пример карточки инцидента с полями


Пример карточки инцидента SecurityVision

На рисунке выше в карточке инцидента можно увидеть детальную информацию, в которой отображены:

время первого и последнего события;

плановые сроки взятия в работу и решения;

таймлайн событий инцидента и общее количество событий;

критичность;

признак массового инцидента;

принадлежность к техникам и тактикам;

тэги инцидента и другое.

Жизненный цикл инцидента
Жизненный цикл инцидента

Для оценки уровня реагирования на инциденты ИБ необходимо понимание жизненного цикла инцидента. Рассмотрим на рисунке выше из каких основных метрик состоит жизненный цикл инцидента:

Среднее время регистрации заявки с подозрением на инцидент(МTTD). На этом этапе происходит отправка события ИБ в SIEM, регистрация заявки в IRP, предобработка, обогащение данными.
Среднее время подтверждение инцидента(MTTA). На этом этапе аналитик берет инцидент в работу, анализирует и подтверждает инцидент.
Среднее время локализация инцидента(MTTC). На этом этапе проводятся работы по изоляции зараженного хоста от рабочего сегмента сети.
Cреднее время, необходимое на восстановление работоспособности системы после получения сигнала о сбое или кибератаке(МTTR).

Back to top