Стратегия 6. Часть 6. Управление информацией и событиями безопасности (SIEM) и Log Management

Инструменты SIEM собирают, агрегируют, фильтруют, хранят, сортируют, сопоставляют и отображают данные, относящиеся к безопасности, как для изучения в режиме реального времени, так и для анализа данных за прошлые периоды. Процесс обработки в SIEM нацелен на использование в различных моделях SOC, начиная от ситуативных команд безопасности до гибридных централизованных/распределенных моделей. Лучшие в своем классе SIEM приумножают ресурсы, позволяя небольшой команде опытных аналитиков извлекать события безопасности из больших массивов данных. Сложно обеспечить своевременное, согласованное или устойчивое решение этой задачи другими средствами. Другими словами, цель SIEM – сбор большого количества данных и их обработка, чтобы аналитик мог использовать эту информацию для работы.

Благодаря надежной масштабируемой архитектуре и набору функций, SIEM поддерживает ряд сценариев использования:

  • Мониторинг периметра сети. Классический мониторинг клиентских организаций на наличие вредоносных программ и внешних угроз.
  • Внутренние угрозы и аудит. Сбор и корреляция данных, позволяющие обнаруживать и отслеживать подозрительные профили внутренних нарушителей.
  • Обнаружение APT-угроз. Агрегация разрозненных данных, указывающих на скрытое присутствие злоумышленника, удаленный доступ, управление и контроль, а также утечки данных.
  • Контроль конфигураций. Оповещение о любых изменениях в конфигурации корпоративных серверов и систем, от изменения пароля до критических изменений реестра Windows.
  • Процесс обработки и эскалация. Контроль жизненного цикла событий и инцидента целиком, в том числе управление тикетами/кейс-менеджмент, приоритизация и разрешение.
  • Анализ инцидентов и сетевые расследования. Просмотр и хранение данных журнала.
  • Объединение данных киберразведки. Интеграция подсказок и сигнатур из каналов данных киберразведки.
  • Выявление трендов. Для анализа долгосрочных закономерностей и изменений в поведении системы или сети.
  • Ситуационная осведомленность. Понимание ландшафта угроз в масштабах всей организации.
  • Соблюдение требований политик. Встроенный и настраиваемый контент, который помогает в соблюдении требований законодательства и предоставлении отчетности.
Рис. 21. Обзор SIEM

Продукты SIEM существуют на рынке с начала 2000-х годов. Они доказали свою ценность на практике многих корпоративных SOC промышленных компаний. Однако для некоторых организаций ценность SIEM не вполне очевидна в значительной степени из-за исторической сложности и уязвимости некоторых решений. В этом разделе мы фокусируемся на возможностях и проблемах в использовании SIEM и предложим ряд стратегий для достижения успеха.

На рынке представлено множество поставщиков продуктов класса SIEM и LM. Их слишком много для того, чтобы перечислять здесь, поэтому не будем публиковать полный список решений, а сошлемся на магический квадрант Gartner для SIEM, который выпускается ежегодно.

8.4. 1 Преимущества и ценность

SIEM может быть крупным вложением, часто исчисляющим миллионы долларов на приобретение программного и аппаратного обеспечения, а также месяцы и годы работы, необходимые для ее интеграции в процессы SOC. При таких больших инвестициях хочется ожидать большой отдачи. Некоторые SOC считают SIEM всего лишь агрегатором огромных объемов журнальных данных, но это только начало. Чтобы полностью реализовать весь потенциал SIEM, нужно использовать систему на протяжении всего жизненного цикла события, как показано на рисунке 22.

Рис. 22. SIEM: поддержка полного жизненного цикла события

Рисунок 22, по сути, представляет часть рабочего процесса SOC, изображенного на рисунке 1 в разделе 2.2, повернутую на бок. Перемещаясь слева направо по этой диаграмме, мы сводим миллионы событий, возможно, всего к нескольким потенциальным случаям. В этом процессе SIEM переходит от автоматизации в левой части через корреляцию и сортировку к поддержке процесса обработки и таких функций, как детализация событий, кейс-менеджмент и эскалация в правой части.

Поскольку SIEM действует как мультипликатор силы, меньшее число аналитиков может выполнить за смену больше работы, если считать, что SIEM использует правильные каналы данных и хороший контент. Можно предположить, что качественная реализация SIEM уменьшит количество аналитиков, которое нужно в SOC. Однако, это далеко от истины. Вспомните утверждение из Раздела 2.7: невозможно заменить живого аналитика. На практике оказывается, что после внедрения SIEM SOC фактически начинает распознавать всю активность в своих журналах, которая ранее оставалась незамеченной. Поэтому вместо сокращения штата, он растет, поскольку возрастает рабочая нагрузка.

Рис. 23. Ценность SIEM, кадровое обеспечение SOC и зрелость

Наилучшая ситуация для SOC — это правая часть рисунка 23, когда зрелая инсталляция SIEM позволяет небольшой команде аналитиков достичь результатов, которые были бы не по силам команде из тысячи аналитиков без помощи технологий. Даже учитывая затраты на несколько дополнительных сотрудников для поддержания и написания контента для SIEM, они более чем компенсируются благодаря полученным возможностям и повышению эффективности.

Чтобы внедрение SIEM в SOC было успешным, необходимо поддерживать достаточные вложения в персонал, чтобы использовать ее эффективно.

8.4.2 Архитектура

Хотя каждый поставщик решений предлагает рынку уникальные возможности, можно выделить некоторые общие особенности архитектуры:

  • Программный компонент обрабатывает данные о событиях от одного или нескольких конечных устройств; этот компонент часто называется «агентом» или «коллектором» и находится:
    • Либо на устройстве, где у него есть прямой доступ к журналам, например, через CSV или XML-файлы.
    • Либо удаленно, тогда он либо запрашивает данные на одном или нескольких устройствах (pull), либо принимает данные, отправленные ему (push). Агент может собирать эти данные с помощью различных собственных протоколов, таких как системный журнал, SNMP, Java Database Connectivity (JDBC) или, в некоторых случаях, проприетарных методов, таких как удаленный вызов процедур Microsoft (в случае журналов Windows).
  • Данные собираются агентом, нормализуются, им присваивается приоритет/критичность, и далее они отправляются в SIEM, обычно с действующими элементами управления (например, сеансы SSL с взаимной аутентификацией), чтобы обеспечить успешную доставку и избежать перехвата или повреждения.
  • Данные собираются в центральном хранилище. Они могут храниться в традиционной СУБД, специализированном серверном приложении, которое поддерживает высокоскоростные запросы и уплотняет хранилище на диске, или через распределенную архитектуру, в которой используются методы, аналогичные MapReduce.
  • SIEM может уменьшить объем данных в нескольких точках своей архитектуры:
    • Агрегация может применяться, если несколько событий соответствуют заданному набору критериев. В этом случае сохраняется только одно событие. Это уменьшает требования к хранилищу, но и сокращает данные, доступные для использования в дальнейшем.
    • Благодаря использованию фильтров, как в исходном агенте, так и в точке сбора данных SIEM, нежелательные данные можно удалить из-за избыточного объема, повтора или отсутствия ценности для аналитика.
  • SIEM пропускает нормализованные данные через механизм корреляции в режиме реального времени, используя правила, ориентированные на сценарии сетевой защиты, внутренних угроз, соблюдения требований и другие для выявления неоднозначного поведения или возможных инцидентов.
    • Некоторые SIEM также позволяют пользователю запускать правила корреляции для исторических данных.
    • При надлежащей нормализации, приоритизации и категоризации SIEM может полностью использовать различные потоки данных независимо от устройства.
    • Приоритеты событий могут повышаться или понижаться при срабатывании правил корреляции или в результате сравнения с данными сканирования уязвимостей.
    • Правила корреляции могут запускать другие настраиваемые пользователем действия, такие как создание кейса в SIEM и присоединение к нему события, запуск скрипта или отправка электронной почты аналитикам.
  • Традиционно SIEM работает только с данными, основанными на событиях, такие как NetFlow, предупреждения IDS и данные журнала. Система может подключать другие инструменты, позволяя аналитику запускать внешние команды с помощью скриптов в несколько кликов из консоли и использовать сторонние инструменты, собирающие данные сканирования уязвимостей, образцы вредоносных программ, хост-телеметрию или PCAP.
  • Некоторые SIEM фактически могут автоматизировать более сложные действия, возникающие в результате срабатывания правил корреляции (например, деактивация VPN-соединения или изменение правила межсетевого экрана). Использование таких функций часто имеет те же последствия, что и перевод IPS в режим активной блокировки: плохо настроенные правила корреляции могут привести к отказу в обслуживании.
  • Необработанные и/или нормализованные данные хранятся в рамках контрольного журнала и базы знаний для исследований, анализа моделей и отчетов о тенденциях.
  • Аналитики взаимодействуют с данными через различные выходные каналы, либо через отображающиеся в реальном времени оповещения, визуализацию событий (гистограмма, круговая диаграмма, древовидные карты, графики событий и т. д.), либо с помощью статических средств, таких как генерация отчетов на текущий момент или по расписанию.
  • Система обеспечивает определенный уровень регистрации инцидентов или отслеживания кейсов, позволяя пользователям подтверждать и проводить эскалацию предупреждений и кейсов.
  • Пользователи SIEM могут просматривать контент, созданный другими пользователями SIEM. Доступ к контенту контролируется с помощью групп и разрешений. Это относится как к «базовому» контенту, предоставляемому поставщиком, так и к пользовательским отчетам, правилам, фильтрам, информационным панелям и другому контенту.
  • Некоторые продвинутые SIEM предоставляют пользователям возможность экспорта и импорта контента. Эта функциональность может быть дополнительно расширена с помощью онлайн-сообществ пользователей SIEM, где пользователи могут обмениваться контентом и совместно работать над ним.
  • Передовые SIEM поддерживают многоуровневые, пиринговые/кластерные или отказоустойчивые сценарии развертывания:
    • При многоуровневом сценарии SIEM может пересылать некоторые или все свои данные предупреждений в родительскую SIEM, используя ту же систему агентов или коллекторов, которая собирает данные с конечных хостов.
    • При пиринге или кластеризации каждая SIEM собирает различный набор данных, и когда пользователь выполняет запрос, работа распределяется по нескольким SIEM, что ускоряет время обработки запроса.
    • В отказоустойчивых сценариях несколько экземпляров SIEM могут получать одни и те же данные, например, путем «двойной отчетности» одного агента перед нескольким SIEM или благодаря синхронизации между различными узлами SIEM.
    • В любом случае, можно масштабировать корпоративные инсталляции для обработки более сотен миллионов событий в день, при этом предоставляя аналитику значимые данные с разумным временем обработки запросов.

На рисунке 24 представлено несколько вариантов доставки данных, а также экземпляры SIEM или LM с балансировкой нагрузки или резервированием.

Рис. 24. Варианты доставки данных журналов и уровни SIEM

В этом примере данные NIDS, МСЭ и данные рабочей станции собираются с помощью родных для каждого устройства протоколов – JDBC, syslog или удаленного вызова процедур Windows. Агент может находиться либо в системе, генерирующей данные (как на примере с контроллером домена), либо удаленно (как в примере с данными МСЭ и событиями IDS). Суть в том, что передовые SIEM должны гарантировать несколько вариантов доставки и сбора данных, а также резервирование и отказоустойчивость.

8.4.3 Управление журналами (Log Management)

Сбор и запрос событий из разрозненного набора систем или приложений не всегда требует функций полноценной SIEM. Часто система сбора логов (LM), которая проще в настройке и использовании, оказывается наилучшим выбором. Системы LM включают в себя возможности накопления, хранения и отчетности, имеющиеся в SIEM, но у них существенно оптимизированы интерфейсы, упрощена аналитика и меньше корреляции.

Многие поставщики утверждают, что их системы LM обладают функциями, присутствующими в полномасштабном SIEM. Поэтому иногда сложно понять, к какому классу продуктов относится решение – SIEM или LM.

Описанная выше архитектура SIEM также справедлива для большинства LM решений. Можно отметить следующие различия:

  • В системах LM обычно отсутствует надежный механизм корреляции, расширенная долгосрочная аналитика, полноценный процесс обработки и поддержка эскалации.
  • Системы LM обычно выполняют меньшую предобработку и нормализацию каналов данных, сосредотачиваясь на возможностях очень быстрого специального поиска. Для надежной корреляции обычно требуется SIEM-система, чтобы понять значения различных элементов данных в каждом событии, а большинство систем LM не осуществляют полный анализ своих данных. Вместо этого они фокусируются на быстром полнотекстовом поиске или извлечении только определенных функций, поэтому надежная корреляция либо невозможна, либо требует гораздо большей работы со стороны автора контента.
  • Поскольку системы LM не выполняют такого количества предобработки или постобработки данных, они могут обрабатывать их значительно быстрее, с меньшей базой исходного кода. Это сознательный компромисс и, как мы видим, у него есть свои плюсы и минусы.

Во многих отношениях эти два продукта дополняют друг друга. Большинство SOC, которые внедрили SIEM, начинали с базового LM и расширяли возможности получения данных и запросов по мере расширения своей деятельности.

Многие малые SOC, не имеющие миллионных бюджетов на SIEM, могут расширить свои консоли IDS с помощью устройства сбора логов, тем самым получая некоторые из преимуществ SIEM, но с небольшими затратами. Кроме того, обычно ИТ подразделения или NOC разворачивают системы LM самостоятельно, не преследуя цели обеспечения защиты сетей. Наконец, организации из сферы безопасности могут развернуть LM для своих собственных целей аудита. В любом случае, полезно объединить ресурсы SOC с этими группами, чтобы унифицировать архитектуру сбора данных. Мы упоминали об этом в разделе 2.4.

Чтобы подчеркнуть разницу между полнофункциональными устройствами SIEM и устройствами сбора логов (LM), давайте рассмотрим некоторые их ключевые параметры. Хотя конкретное SIEM или LM решение может расходиться с таблицей 12 в одной или двух функциях, можно сделать некоторые обобщения:

Таблица 12.  Сравнение SIEM и систем сбора логов.

ПараметрSIEMLM
Типы данныхШирокий выборШирокий выбор, но в чем-то более ограниченный
Нормализация данныхОбычно надежнаяОбычно упрощенная
Хранилище данныхКоммерческая база данных или пользовательскоеОбычно пользовательское
КорреляцияНадежнаяПростая/отсутствует
Уведомление в реальном времениПревосходноеУмеренное или отсутствует
Отслеживание трендовХорошее или отличноеУмеренное или хорошее
Ситуативный запрос данных Умеренный или хорошийОтличный
ОтчетыХорошие или превосходныеХорошие или превосходные
Скорость получения событийУмеренная или хорошаяХорошая или отличная
Скорость структурированных запросовУмеренная или хорошаяХорошая или отличная
Скорость неструктурированных (полнотекстовых) запросовОтсутствует или плохаяХорошая или отличная
Интерфейс клиентаКомплексный/ полнофункциональный, на основе Java или Web 2.0Простой и сложный на основе Web 2.0
Форм-факторПрограммное обеспечение, виртуальное устройство, аппаратное устройствоПрограммное обеспечение, виртуальное устройство, аппаратное устройство
Типичная стоимость (за экземпляр)$50,000–$1,000,000+$0–$100,0001

1 – Стремясь повысить узнаваемость продукта и конкурентоспособность, некоторые поставщики LM предлагают бесплатные или «почти бесплатные» урезанные версии своего продукта. Эти предложения естественно не предназначены для крупных развертываний, поскольку из них обычно удаляются функции, ориентированные на крупные организации, или они ограничены с точки зрения количества поступающих или хранимых событий.

Несмотря на некоторые пересечения с системами управления сетью, SIEM и LM, SIEM охватывает несколько ключевых для обеспечения безопасности сетей областей функциональности, которые отсутствуют в системах LM (см. Рисунок 25).

Рис. 25. Пересечения между функциональностью SIEM, системы управления сетью и LM

Один из способов понять разницу между полноценными системами SIEM и LM состоит в том, что SIEM может служить основой, обеспечивающей рабочий процесс по защите сетей, а система LM не может. Вспомните обсуждение организационных моделей SOC из Раздела 2.3.2. Во многих клиентских организациях защита сетей выполняется ситуативно (например, командой безопасности). В таких организациях ресурсы ограничены и не выделяется много штатных сотрудников на эту работу. Поэтому их потребности хорошо удовлетворяются устройством LM. Полноценный SIEM требует вложений, которые могут обеспечить только средние и большие SOC.

Поделиться записью: