76

RuSIEM Analytics

RuSIEM Analytics представляет собой модуль для коммерческой версии, который дополняет AI (искусственный интеллект), DL (обучение данных), управление активами и многие другие функции, чтобы повысить способность своевременно обнаруживать различные угрозы, решать многие кейсы и визуализировать данные.

Добавляемые разделы в интерфейсе с модулем аналитики

В веб-интерфейсе добавляются следующие разделы:

  • Отслеживание аутентификации
  • Уязвимости
  • Compliance
  • Аналитика
  • Активы
  • Фиды

Кроме того, появляются дополнительные возможности в других разделах интерфейса, в корреляции, в отчетах, на дашбордах.

Например, появляется возможность делать сложные комплексные отчеты, такие как " All the src.ip addresses that touched more than 1000 destination ports below 1024 for 24 hours«. Для дашбордов — появляется возможность построения статистики с использованием аналитики.


Отслеживание аутентификации

Наверняка вы получали хотя бы раз оповещение от Google, Dropbox, VK и других сервисов что вы вошли с такого то IP адреса, браузера? Мы реализовали подобное но с упором на коммерческих потребителей и настраиваемое для любого кейса.

Например, возможно создать правило с указанием ключа, симптома входа и выхода из системы, связки атрибутов сравнения.

К примеру, возможно создать любое правило, которое будет отслеживать признаки входа, выхода применительно для любой вашей системы. В атрибуты сравнения вы добавите вы добавляете имя клиентского приложения, имя сервера приложения, src.ip, имя пользователя. Если пользователь вдруг входит с другого IP адреса или приложения на этот сервер или с этого src.ip входит другой новый пользователь — будет сформирован инцидент, об инциденте уйдет оповещение операторам. Признаки входа возможно определить любые.

Ведется статистика по активным сессиям и в истории по произошедшим.


Уязвимости

Данный раздел справочный и содержит список всех известных уязвимостей. Возможен детальный просмотр уязвимостей, поиск по фразам, по CVE/CVSS, сортировка и просмотр CVE. Обновляется несколько раз в день. Доступ к обновлению — в рамках технической поддержки. Уязвимости используются в активах.


Compliance

Данный раздел предназначен для организации Standard Compliance и Policy Compliance. Имеется предзаданный стандарт PCI DSS 3.1, содержащий технические контроли для аудита. Пользователь может создавать свой стандарт, указывать в нем контроли, указать scope и строить отчет в разделе отчетов. В отчете за выбранный период для каждого технического контроля указывается соответствие или несоответствие.


Аналитика

Аналитика в модуле RuSIEM Analytics имеет несколько подмодулей.

Первый, управляемый пользователем, основан на DL (Data Learning) и называется Baseline.

Для Baseline указываются правила, содержащие:

  • наблюдаемую связку ключей (от 1 до 21)
  • использовать или нет исторические данные
  • период исторических данных (как правило, 21 день)
  • период накопления исторических данных (день или час)
  • использовать или нет уникальность дня (вторники сравнивать со вторниками, среды со средами или нет)
  • допустимый процент отклонения от нормы

Теперь смоделируем следующую ситуацию. Пользователь user111 ежедневно удаляет примерно 20 файлов по понедельникам, примерно 40 по четвергам. Мы создаем правило, содержащее уникальную связку src.user.name + symptoms.id, устанавливаем дельту в 40% и указываем учет уникальности дня недели. Baseline начинает учитывать количество уникальных связок src.user.name + symptoms.id по дням недели. Сюда попадают все пользователи и также другие symptoms.id, включая старт служб, входы, запуск приложений и прочие. Внезапно, пользователь user111 или user444 удаляют не как обычно 20-30 файлов, а 200 за час. Аналитика видит это отклонение, формирует событие и отправляет на корреляцию. Корреляция с учетом возможных уточнений в правилах формирует инцидент, где ключами является src.user.name+symptoms.id (только значение будут примерно «user111 + удаление_файлов»). При этом, данное правило аналитики будет также смотреть за другими уникальными связками в данном контексте. Например, «Admin + неуспешный вход», «Admin + изменение конфигураций» и прочее. Таким образом, создав некое распределение с уникальными ключами мы покрываем достаточно большой объем кейсов. И неважно, что произойдет. Это может быть частый краш приложений, количество отправленных электронных писем, количество отказанных в доступе попыток и многое другое! Нет необходимости придумывать миллионы кейсов, когда это можно описать десятком-других правил. Ведь если случаются вирус, атака, сбои — образуется хоть небольшой, но все же всплеск по количеству событий.

С помощью правила с ключами «http.status.code + symptoms.id» возможно мониторить, к примеру, количество ошибок, доступность сайта, попытки зайти на запрещенный ресурс, состояние прокси сервера и многое другое. С ключами «hostname + symptoms.id» — от количества неуспешных попыток до количества заказов на сайте.

Количество правил — не лимитировано. Количество наблюдаемых ключей в правиле — до 21. Для корректной работы модуля рекомендуется накопленная выборка от 3х недель.

Для Baseline в разделе Аналитика имеются также виджеты для работы с модулем. На них можно вынести любые показатели для анализа тенденций.

Модуль ML (Machine learning) работает в автоматическом режиме, без вмешательства и настройки со стороны оператора. Модуль работает по Симптоматике ® и смотрит согласно заложенным алгоритмам агрегаты весов симптомов в разрезе объектов (хостов, пользователей, сервисов и прочее). Модуль имеет свою обучающую индивидуальную выборку, накапливаемую в ходе работы модуля. В случае накопления критического веса в разрезе объекта (частое повторение критичного события, шквал критичных или не критичных, растянутое по времени повторение, множественное распределение) — формируется событие и через процесс корреляции формируется инцидент.

Возможно также подключение пользовательской PMML (Predictive Model Markup Language) модели для модуля ML.


Активы

Активы — раздел ИТ активов. Структура активов предопределена, но может быть изменена пользователем. Наполняются в режиме реального времени из событий. Это Windows/*nix события, события о трафике, от систем мониторинга и других. События с актива могут приносить информацию об установленном ПО, патчах, версии OC, службах и процессах. События с сетевого трафика — какие приложения используются, браузеры, в том числе, и portable software, а также информацию об используемых портах и протоколах. Сканеры типа nmap — информацию об открытых портах, сервисах. Arp scanners — об аппаратном оборудовании. Все данные поступают в виде событий на модуль аналитики и формируют в режиме реального времени активы.

К примеру, в Windows Application log/System log записывается информация об установленном ПО, патчах и события поступают в режиме реального времени на аналитику. Если такое ПО уже есть в списке на активе — обновляется его время последнего обнаружения. Если нет — к активу дописывается данное ПО, версия.

Подключается пользователь по сети к удаленному серверу по ssh — сетевое приложение видит это, присылает информацию об используемом ПО для подключения и информацию об удаленном сервисе.

Для увеличения информации об активе и окружении в RuSIEM существуют инструменты:

  • модуль агента WmiSoftStat, собирающий как локально, так и со множества указанных хостов без агентным методом информацию об установленном ПО и патчах Windows
  • модуль агента HashLog, собирающий информацию локально о процессах и их хэш суммах
  • nmap сканирования по указанному диапазону и с ключами
  • arp_scan, собирающий данные об устройствах, подключенных к сети
  • сетевой сенсор, собирающий информацию о: сетевых соединениях, сертификатах, DNS запросах и ответах, http запросах, DPI для части основных используемых протоколов, информацию о передаваемых файлах по сети и прочее.

Возможно подключение любого «говорящего» источника, приносящего полезные данные. Естественно, такими событиями можно оперировать и на уровне выборок и в правилах корреляции и в отчетах.



Помимо наполнения активов, существует ряд процессов:

  • Обнаружение уязвимостей по данным активов с базой уязвимостей в режиме реального времени. В случае нахождения уязвимости — формируется сущность узвимости и инцидент
  • проверка по фид-листам
  • оповещение о новых элементах актива
  • склеивание активов

Чтобы ограничить количество активов — задаются границы инфраструктуры. А для идентификации задаются критерии идентификации активов. В настройках системы устанавливаются параметры устаревания активов.

Для быстрой и удобной работы с активами существуют статические группы, допускающие мульти вложенность и динамические группы с условиями формирования. Например, возможно создать динамическую группу с условием по открытому порту 22 или с наличием определенной службы TeamViewer и данная группа всегда будет содержать актуальный список активов по критерию.



Фиды

Фиды (intelligence feeds) содержат ip, url, fqdn, sha1, md5 угроз и потенциально опасных объектов: malware, exploits, phishing, file share, tor exit node, proxy и прочие. Сверка с фидами событий осуществляется в режиме реального времени в модуле аналитики. При совпадении — формируется событие и через уточнение в правиле корреляции формируется инцидент. Обновляются списки автоматически, в рамках технической поддержки.

Возможно добавление пользовательских значений как по одному, так и массово. Возможен импорт сторонних фидов.

Описаны поверхностно только основные возможности модуля аналитики. Возможности постоянно расширяются. Остались вопросы? Обращайтесь support@rusiem.com

Возможности

  • устанавливается как модуль для коммерческой версии RuSIEM
  • обнаружение аномалий и угроз без обязательного составления правил корреляции посредством AI (Artificial Intelligence)/DL (Data Learning) в режиме реального времени
  • возможность применения ML (Machine Learning) через PMML стандарт
  • baseline по анализируемым показателям через правила аналитики
  • управление правилами аналитики пользователем через графический интерфейс
  • вывод на виджеты показателей по baseline аналитики
  • регистрация инцидентов в результате обнаружений аномалий и инцидентов
  • управление активами
  • динамическое формирование активов (установленное ПО, процессы, службы, патчи, mac адреса, информация об ОС) из событий в режиме реального времени, активными и пассивными методами опроса
  • создание статических и динамических групп в активах
  • аудит изменения активов в режиме реального времени с формированием событий и возможностью регистрации через инцидент
  • Standard comliance (PCI DSS) и Policy compliance формирование отчетов о соответствии
  • возможность создания пользовательского стандарта или политики (технических контролей) и построение отчета по ним
  • отслеживании аутентификации аудита входов в приложение/ОС с сравнением атрибутов по истории
  • формирование инцидента при входе с других IP/браузера
  • управление правилами и возможность добавления оператором правил отслеживания аутентификации
  • фидлисты, содержащие IP/FQDN/URL/Hash списки с угрозами
  • анализ по фидам в режиме реального времени с формированием инцидентов в случае обнаружения
  • возможность добавления пользовательских фидов
  • возможность организации черных и белых списков через фиды
  • формирование событий работы аналитики и срабатываний
  • доуточнение условий срабатываний вывода модуля аналитики для снижения ложных срабатываний через правила корреляции
  • Vulnerability management в режиме реального времени по событиям активными и пассивными методами опроса
  • просмотр уязвимостей по встроенной базе данных и поиск по ним
  • отображение на активах информации об обнаруженных уязвимостях
  • регистрация инцидента при обнаружении уязвимости

Масштабирование

  • Масштабируется вертикально (по филиалам и регионам)
  • Масштабируется горизонтально (увеличение производительности)
  • Кластер базы данных может быть установлен на несколько серверов (без дополнительных лицензий)
  • Возможно разделить компоненты по нескольким серверам

Аппаратные требования

Требования к платформе

Установка возможна на гипервизоры или физические сервера.

Операционная система

Продукт может быть установлен только на Ubuntu 14.04×64.
Рекомендуется установка на свежую установленную операционную систему.

Минимальные аппаратные требования

Performance / Hardware Resources

Up to 2000 EPS

2 000 — 5 000 EPS

5 000 — 10 000

10 000 — 30 000

30 000 — 90 000

CPU, core count

4-8

4-6/per CPU

4-6

8-14

14+

CPU count

1

1

2+

2-4

4+

CPU, MHz

2+

2,4+

2+

2.4+

3.2+

RAM, GB

16

32

24-32

64-128

64-128+

HDD, speed

7200+

7200+

7200+

7200+

7200+

HDD, mode

Stand-alone, SAS/SATA

Stand-alone, SAS/SATA, dedicated for server

Stand-alone, SAS/SATA or raid mirror-mode. Dedicated.

Raid 5+, dedicated.

Raid 5+ performance, SSD for system disk

HDD, size for OS

100 GB

100+ GB

300 GB

500+ GB

700+ GB

HDD, size for data

300+ GB

300+ GB

600+ GB

1+ TB

3+ TB

MIPS

4700

8000

10000+

12000+

12000+