• Лицензирование и развертывания RuSIEM/RvSIEM free

     

    Мы объявляли об открытом тестировании коммерческой версии - RuSIEM до 20 сентября 2017 года. "И все?!" - скажете вы. Нет!

    Естественно, выкладывая свежие версии коммерческой версии и предоставляя свободный доступ через них мы рискуем:

  • Обновление RvSIEM free 5.4.3

    Обновление RvSIEM free 5.4.3 (свободно распространяемой версии) :
    - Перевод с redis-mq на rusiem-mq (повышение производительности и стабильности)
    - Добавлен модуль агента для сбора локально и удаленно с Windows данных об установленном ПО и патчах
    - Массовое добавление источников для агента
    - Изменение API для агента
    - Обновление версии агента и модулей
    - Интеграция с LDAP
    - Расширение таксономии

  • Кейс: Интерактивный вход в системы без прохода в офис

     

    Мы добавили в релизную версию реализацию кейса "Интерактивный вход в системы без прохода в офис". (Пояснение: интерактивным входом является вход в систему непосредственно с клавиатуры, включая включение компьютера или вход с разблокировкой экрана)

    Как и зачем? Нам поступило большое число обращений от наших заказчиков. Казалось бы простой кейс, но с ним связано множество инцидентов:

  • Аудит доступа пользователей в системы

    Получали ли вы когда нибудь письмо от Google, Dropbox, Facebook о том что вы вошли с другого браузера или IP адреса? Мы реализовали нечто подобное, но более универсальное, управляемое и применимое для корпоративных систем в нашем модуле RuSIEM Analytics.

  • Утилита для проверки по сети MS17-010 (используемой WanaCry)

    В связи с массовой эпидемией криптолокера WanaCrypt и его модификаций - мы оперативно выпустили утилиту для массовой проверки по сети smbv1/smbv2 и установленных обновлений для всех версий операционной системы Microsoft Windows.
    Проверки проводятся аутентифицированно (для исключения злонамерянного использования) через WMI.
    Утилита не требует лицензий и необходимости установки.

  • Отчет команды RuSIEM за 2016 год

    Наша команда дышит, работает, преуспевает и прилагает максимальные усилия для развития полноценного продукта.
    Мы работаем над созданием полноценного продукта, без использования сторонних open-source LM/SIEM решений.

    Вот только малая доля того, что было реализовано за 2016 год:

    • Полноценный workflow согласно ITIL
    • Возможность постановки задач в инцидентах
    • Перекрытие области видимости при эскалации инцидента
    • Перекрытие области видимости инцидента при назначении задач
    • Изменили модель клейки событий с инцидентами, гальванически развязав на агрегаты
    • Аналитика: по baseline динамическому окну
    • Аналитика: по агрегатам симптоматики
    • Аналитика: возможность сложных расчетов для отчетов
    • Фиды с пополнением контента
    • Запуск команд из правил корреляции
    • Передача массивов ключей командам при срабатывании правил корреляции
    • Ассет-менеджмент: извлечение данных в режиме реального времени из событий для динамического обновления ИТ-ассетов
    • Ассет-менеджмент: возможность изменения в интерфейсе системы шаблона ассета
    • Ассет-менеджмент: статические и динамические группы с многочисленной вложенностью
    • Рефакторили и оптимизировали корреляцию
    • Добавили многочисленную группировку по объектам в правилах корреляции
    • Счетчики уникальных значений в правиле корреляции
    • Масштабируемость корреляции
    • Сделали триггерную последовательную корреляцию
    • Добавили возможность использования списков и массы операторов в правиле корреляции
    • Оптимизировали симптоматику
    • Написали свою внутреннюю очередь событий между компонентами системы
    • Операторы и функции для нормализации сложных событий
    • Возможность передачи CEF в другие системы
    • Шифрование каналов передачи событий во внешние системы
    • Агент: сбор данных о запущенных процессах и получение хэшей
    • Агент: добавили возможность WMI Query запросов с передачей результата в событиях
    • Агент: локальная своя база данных для временного хранения событий при недоступности сервера
    • Агент: контроль свободного пространства на диске
    • Агент: возможность sql запросов к базам данных с использованием множества переменных (параметров)
    • Агент: добавили SDEE и http api
    • Агент: добавили Hash модуль для получения md5/sha1/sha256 контрольных сумм файлов
    • Агент: синхронная и асинхронная передача
    • Агент: шифрование локальной БД и каналов передачи событий
    • Агент: возможность указания из веб-консоли сервера-приемника событий
    • Агент: автоматическое отключаемое обновление агента и модулей с управляющего сервера
    • Контроль работы источников событий с семафором
    • Экспорт, резервное копирование и восстановление системы и данных по-компонентно.
    • Возможность использования собственных лого в отчетах
    • Аггрегация и группировка данных в отчетах
    • Возможность калькуляции и группировки данных в отчетах (например, подсчет трафика по пользователю/ip)
    • Выгрузка больших отчетов в фоновом режиме
    • Выгрузка отчетов в различных форматах
    • Многочисленная группировка в отчетах и выборках по событиям
    • Применение симптоматики в отчетах и выборках по событиям
    • Построение взаимосвязей по двум любым полям (пользователь-хост, src.ip-dst.ip и так далее)
    • Взаимосвязи с учетом логического составного условия
    • Рефакторили ролевую модель доступа к системе
    • Добавили виджеты, настройки виджетов для дашбордов с возможностью построения как по базе данных событий, так и по аналитике
    • Оптимизировали обновление системы
    • Добавили множество интеграций с различными источниками и парсерами


    И это не все!
    Год не закончился. Скоро:

    • Standard Compliance (PCI DSS, SOX)
    • управление полями-агрегатами инцидента из веб-интерфейса
    • вынос части параметров конфигурационных файлов в веб-интерфейс

    и некоторые другие возможности.

  • В RuSIEM добавлена возможность передачи событий в CEF формате и шифрование при передаче во внешние системы

    В релизе RuSIEM 4.9.5 добавлена поддержка передачи событий в другие системы в формате CEF и возможность шифрования данных при передаче в другие системы по незащищенным каналам.

    Ранее, мы писали, что RuSIEM принимает и обрабатывает CEF syslog в структурированный формат key-value json, используемый в системе. При этом на вход могут подаваться любые произвольные поля и модификации CEF.
    Теперь мы шагнули вперед для интеграции с другими системами и SOC.

    Примеры когда может применяться подобная схема:

    • взаимодействие с другими системами (прием и дублирование событий в другие системы).
    • для передачи в SOC событий и инцидентов
    • взаимодействие географически распределенных систем
    • взаимодействие компонентов в недоверенной среде (например, при передаче по незащищенным каналам, через сеть Интернет)

    Возможно использовать как оригинальный формат CEF, так и кастомные его варианты.

    При этом возможно:

    • передавать все события в формате CEF
    • передавать только события с весом (критичностью) выше указанной
    • передавать события по паттерну(ам)
    • передавать инциденты
    • использовать комбинированные условия

    Допускается одновременная передача как на одну внешнюю систему, так и на несколько различных, в том числе, в различных форматах.

    Передача может осуществляться:

    • в plain text syslog text (без CEF)
    • в plain text syslog json (без CEF)
    • plain text syslog CEF
    • через зашифрованный канал без верификации (the transportation channel is encrypted, no additional verification is performed)
    • через зашифрованный канал с валидацией по ключам (besides encrypting the channel, the server certificate is validated to verify its identity. Must have the certificate verification chain (CA + subCAs) in order to make the validation)
    • посредством зашифрованного канала с аутентификацией и валидацией (Encrypted channel + peer checking + client authentication: like the previous option but, additionally, the user is uniquely authenticated and verified via client certificate. rsyslog must have access to the client certificate public and private keys)

    Методы шифрования и передачи данных совместимы с rsyslog, syslog-ng, stunnel.
    Может применяться также ГОСТ шифрование. Доупускается использовать самоподписанные сертификаты и использовать корпоративные CA (certification authority).
    Взаимодействие компонентов RuSIEM, включая агента была защищена стойкими алгоритмами и методами шифрования ранее.