SIEM – сложно и дорого? Уже нет!
SIEM – сложно и дорого? Уже нет!
Александр Дорофеев , 22/10/24
Аббревиатуре SIEM около 20 лет и за это время технология явно созрела [1]. На
российском рынке представлены SIEM на любой вкус, но многие все еще думают,
что данный класс решений существует исключительно для компаний, имеющих
серьезные бюджеты и большую команду ИБ-специалистов. В статье мы опровергнем
распространенный миф и разберем ключевые преимущества готовящейся к выходу
новой версии KOMRAD Enterprise SIEM 4.5.
Автор: Александр Дорофеев , ССК, CISSP, CISA, CISM, АО “Эшелон Технологии”
Работа с SIEM-системой начинается с ее развертывания. В нашем случае продукт
устанавливается менее чем за пять минут на один сервер с ОС Astra Linux
1.7/1.8, РЕД ОС 8 или ОС Альт• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Альт (операционная система)
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Альт (операционная система)
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Альт (операционная система) 10 СП.
SIEM обрабатывает события из множества источников. В KOMRAD Enterprise SIEM
легко подключить любой источник самым оптимальным способом. Сбор событий
возможен без агентов как в пассивном режиме (Syslog, NetFlow, sFlow, SNMP,
HTTP), так и в активном (SQL, SNMP, SSH, HTTP). Дополнительно имеются агенты
для Windows• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows (wmi• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows » WMI
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows » WMI
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Операционные Системы Майкрософт » Microsoft Windows » WMI) и Linux• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Ядра операционных систем » Linux (ядро)
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux » Linux (ядро)
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Ядра операционных систем » Linux (ядро)
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux » Linux (ядро)
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Ядра операционных систем » Linux (ядро)
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux » Linux (ядро) (eBPF, Auditd). Таким образом, практически любые ОС,
СЗИ и сетевое оборудование могут стать объектами мониторинга• Информационные технологии » Мониторинг за считанные
минуты.
Поступающие события необходимо привести к нормализованному виду, чтобы можно
было формировать унифицированные правила фильтрации и корреляции. Коллекторы
KOMRAD Enterprise SIEM 4.5 автоматически разберут события, если они приходят в
формате Syslog CEF/RFC5424/RFC3164, а для других форматов есть механизм
встроенных плагинов-коннекторов (например, Auditd, Suricata, Zeek) и
возможность создать свой плагин, используя такие открытые технологии как
регулярные выражения, GROK, CEL, JSONPath и т.п. В продукт встроены
эвристические анализаторы, позволяющие отладить правила нормализации на
примере события прямо в интерфейсе. Таким образом, KOMRAD Enterprise SIEM 4.5
работает с событиями из любого источника.
Правила фильтрации и нормализации создаются с помощью графического
конструктора, который превращает логические выражения в код на Luа (фильтры)
или Yaml-файл (директивы корреляции). Lua был выбран из-за его простоты и
широкого распространения в сфере кибербезопасности, он используется в Nmap,
Suricata, Wireshark и др.
Применение открытых технологий позволяет упростить погружение в продукт новых
членов команды. Пакеты экспертизы (плагины, фильтры, директивы корреляции)
доступны как от центра кибербезопасности ГК "Эшелон", так и от наших
партнеров, а также их можно легко создавать самостоятельно.
Отличительной особенностью KOMRAD Enterprise SIEM 4.5 стала возможность
импорта открытых правил SIGMA, которых уже более 5 тыс. Созданные фильтры
можно использовать как для отбора событий для корреляции, так и в режиме
ретроспективного поиска угроз.
Срабатывание директив корреляции ведет к формированию карточки инцидента,
которая при необходимости может быть отправлена в ГосСОПКА. Реализована
возможность привязки к срабатыванию правила выполнение скрипта• Информационные технологии » Информатика » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки на Python или
bash• Информационные технологии » Информатика » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки » Bash
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки » Bash
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования » Скриптовые Языки » Bash, что обеспечивает базовую автоматизацию реагирования.
Аналитические возможности KOMRAD Enterprise SIEM 4.5 расширены благодаря
переработанной системе настраиваемых виджетов (см. рис.), а также включению в
состав модуля Grafana, который визуализирует данные в любом разрезе. Простота
развертывания и использование общепринятых стандартных технологий сделало SIEM
доступной для специалистов, имеющих даже базовый ИТ-бэкграунд [2].
Что касается доступности применения SIEM в части необходимого железа, то на
текущий момент у KOMRAD Enterprise SIEM нет равных. Благодаря тому, что
система изначально разрабатывалась для ОС Linux• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Ядра операционных систем » Linux (ядро)
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux » Linux (ядро)
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Ядра операционных систем » Linux (ядро)
• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux » Linux (ядро)
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Ядра операционных систем » Linux (ядро)
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Юникс-подобные операционные системы » Linux » Linux (ядро) и использует самую последнюю
версию СУБД ClickHouse, на обработку 1000 событий в секунду с использованием
100 потоковых фильтров затрачивается 1 Гбайт RAM и 1 ядро СPU.
Таким образом, KOMRAD Enterprise SIEM разворачивается и настраивается с
минимальными затратами, а благодаря доступным пакетам экспертиз практически
сразу обеспечивает прозрачность инфраструктуры.
Выполнить требования по обеспечению безопасности ГИС, ИСПДн, КИИ в текущей
обстановке стало еще проще для компании любого масштаба, а время тяжеловесных
SIEM, требующих дорогостоящего железа и постоянного общения с вендором,
безвозвратно уходит.
Марков А., Фадин А. Конвергенция средств защиты информации // Защита
информации• Информационные технологии » Информатика » Защита информации. Инсайд. – 2013. – № 4 (52). – С.80-81
Дорофеев А.В., Марков А.С. Применение отечественных технологий• Экономика » Мировая экономика » Международная торговля » Импортозамещение
• Экономика » Международная торговля » Импортозамещение
• Политика » Геополитика » Международные отношения » Международная торговля » Импортозамещение
• Политика » Экономическая политика » Импортозамещение
• Торговля » Международная торговля » Импортозамещение для мониторинга• Информационные технологии » Мониторинг
информационной безопасности• Безопасность » Информационная безопасность в условиях импортозамещения• Экономика » Мировая экономика » Международная торговля » Импортозамещение
• Экономика » Международная торговля » Импортозамещение
• Политика » Геополитика » Международные отношения » Международная торговля » Импортозамещение
• Политика » Экономическая политика » Импортозамещение
• Торговля » Международная торговля » Импортозамещение // Защита информации• Информационные технологии » Информатика » Защита информации.
Инсайд. – 2023. – № 3 (111). – С.20-26.