Аббревиатуре SIEM около 20 лет и за это время технология явно созрела [1]. На российском рынке представлены SIEM на любой вкус, но многие все еще думают, что данный класс решений существует исключительно для компаний, имеющих серьезные бюджеты и большую команду ИБ-специалистов. В статье мы опровергнем распространенный миф и разберем ключевые преимущества готовящейся к выходу новой версии KOMRAD Enterprise SIEM 4.5.
Автор: Александр Дорофеев, ССК, CISSP, CISA, CISM, АО “Эшелон Технологии”
Работа с SIEM-системой начинается с ее развертывания. В нашем случае продукт устанавливается менее чем за пять минут на один сервер с ОС Astra Linux 1.7/1.8, РЕД ОС 8 или ОС Альт 10 СП.
SIEM обрабатывает события из множества источников. В KOMRAD Enterprise SIEM легко подключить любой источник самым оптимальным способом. Сбор событий возможен без агентов как в пассивном режиме (Syslog, NetFlow, sFlow, SNMP, HTTP), так и в активном (SQL, SNMP, SSH, HTTP). Дополнительно имеются агенты для Windows (wmi) и Linux (eBPF, Auditd). Таким образом, практически любые ОС, СЗИ и сетевое оборудование могут стать объектами мониторинга за считанные минуты.
Поступающие события необходимо привести к нормализованному виду, чтобы можно было формировать унифицированные правила фильтрации и корреляции. Коллекторы KOMRAD Enterprise SIEM 4.5 автоматически разберут события, если они приходят в формате Syslog CEF/RFC5424/RFC3164, а для других форматов есть механизм встроенных плагинов-коннекторов (например, Auditd, Suricata, Zeek) и возможность создать свой плагин, используя такие открытые технологии как регулярные выражения, GROK, CEL, JSONPath и т.п. В продукт встроены эвристические анализаторы, позволяющие отладить правила нормализации на примере события прямо в интерфейсе. Таким образом, KOMRAD Enterprise SIEM 4.5 работает с событиями из любого источника.
Правила фильтрации и нормализации создаются с помощью графического конструктора, который превращает логические выражения в код на Luа (фильтры) или Yaml-файл (директивы корреляции). Lua был выбран из-за его простоты и широкого распространения в сфере кибербезопасности, он используется в Nmap, Suricata, Wireshark и др.
Применение открытых технологий позволяет упростить погружение в продукт новых членов команды. Пакеты экспертизы (плагины, фильтры, директивы корреляции) доступны как от центра кибербезопасности ГК «Эшелон», так и от наших партнеров, а также их можно легко создавать самостоятельно.
Отличительной особенностью KOMRAD Enterprise SIEM 4.5 стала возможность импорта открытых правил SIGMA, которых уже более 5 тыс. Созданные фильтры можно использовать как для отбора событий для корреляции, так и в режиме ретроспективного поиска угроз.
Срабатывание директив корреляции ведет к формированию карточки инцидента, которая при необходимости может быть отправлена в ГосСОПКА. Реализована возможность привязки к срабатыванию правила выполнение скрипта на Python или bash, что обеспечивает базовую автоматизацию реагирования.
Аналитические возможности KOMRAD Enterprise SIEM 4.5 расширены благодаря переработанной системе настраиваемых виджетов (см. рис.), а также включению в состав модуля Grafana, который визуализирует данные в любом разрезе. Простота развертывания и использование общепринятых стандартных технологий сделало SIEM доступной для специалистов, имеющих даже базовый ИТ-бэкграунд [2].
Что касается доступности применения SIEM в части необходимого железа, то на текущий момент у KOMRAD Enterprise SIEM нет равных. Благодаря тому, что система изначально разрабатывалась для ОС Linux и использует самую последнюю версию СУБД ClickHouse, на обработку 1000 событий в секунду с использованием 100 потоковых фильтров затрачивается 1 Гбайт RAM и 1 ядро СPU.
Таким образом, KOMRAD Enterprise SIEM разворачивается и настраивается с минимальными затратами, а благодаря доступным пакетам экспертиз практически сразу обеспечивает прозрачность инфраструктуры.
Выполнить требования по обеспечению безопасности ГИС, ИСПДн, КИИ в текущей обстановке стало еще проще для компании любого масштаба, а время тяжеловесных SIEM, требующих дорогостоящего железа и постоянного общения с вендором, безвозвратно уходит.
Марков А., Фадин А. Конвергенция средств защиты информации // Защита информации. Инсайд. – 2013. – № 4 (52). – С.80-81
Дорофеев А.В., Марков А.С. Применение отечественных технологий для мониторинга информационной безопасности в условиях импортозамещения // Защита информации. Инсайд. – 2023. – № 3 (111). – С.20-26.
ITSec_articles