Development

В RuSIEM добавлена возможность передачи событий в CEF формате и шифрование при передаче во внешние системы

В релизе RuSIEM 4.9.5 добавлена поддержка передачи событий в другие системы в формате CEF и возможность шифрования данных при передаче в другие системы по незащищенным каналам.

Ранее, мы писали, что RuSIEM принимает и обрабатывает CEF syslog в структурированный формат key-value json, используемый в системе. При этом на вход могут подаваться любые произвольные поля и модификации CEF.
Теперь мы шагнули вперед для интеграции с другими системами и SOC.

Примеры когда может применяться подобная схема:

  • взаимодействие с другими системами (прием и дублирование событий в другие системы).
  • для передачи в SOC событий и инцидентов
  • взаимодействие географически распределенных систем
  • взаимодействие компонентов в недоверенной среде (например, при передаче по незащищенным каналам, через сеть Интернет)

Возможно использовать как оригинальный формат CEF, так и кастомные его варианты.

При этом возможно:

  • передавать все события в формате CEF
  • передавать только события с весом (критичностью) выше указанной
  • передавать события по паттерну(ам)
  • передавать инциденты
  • использовать комбинированные условия

Допускается одновременная передача как на одну внешнюю систему, так и на несколько различных, в том числе, в различных форматах.

Передача может осуществляться:

  • в plain text syslog text (без CEF)
  • в plain text syslog json (без CEF)
  • plain text syslog CEF
  • через зашифрованный канал без верификации (the transportation channel is encrypted, no additional verification is performed)
  • через зашифрованный канал с валидацией по ключам (besides encrypting the channel, the server certificate is validated to verify its identity. Must have the certificate verification chain (CA + subCAs) in order to make the validation)
  • посредством зашифрованного канала с аутентификацией и валидацией (Encrypted channel + peer checking + client authentication: like the previous option but, additionally, the user is uniquely authenticated and verified via client certificate. rsyslog must have access to the client certificate public and private keys)

Методы шифрования и передачи данных совместимы с rsyslog, syslog-ng, stunnel.
Может применяться также ГОСТ шифрование. Доупускается использовать самоподписанные сертификаты и использовать корпоративные CA (certification authority).
Взаимодействие компонентов RuSIEM, включая агента была защищена стойкими алгоритмами и методами шифрования ранее.

RuSIEM Release 4.8.0

Вышел очередной релиз RuSIEM Release 4.8.0

Изменения:

  • SDEE коннектор (http/https с аутентификацией)
  • WMI модуль агента с формированием ответа команды в события
  • Контроль дискового пространства в ОС агента
  • Автоматический контроль сбора событий
  • Парсеры: MS Exchange RPC Client Access, CheckPoint Appliance, MS ISA, MS Forefront, MS Radius Server, Cisco PIX, Algosec FW, Trend Micro Control Manager и многие другие. 
  • Добавлена возможность изменения своего логотипа в отчете в формате PNG/JPG в графическом конструкторе отчетов
  • Добавлена возможность изменения шрифтов отчета в графическом конструкторе отчетов
  • Добавлена первая версия ассет-менеджмента:
    • формирование ассета на основе информации в событиях в режиме реального времени
    • конструктор ассета: возможность изменения структуры ассета
    • статические и динамические группы ассетов. Вы можете сделать динамическую группу с условием. К примеру, ассеты с установленным ПО "Adobe Acrobat" или содержашие службу "Google Updater" и группа будет автоматически обновляться в режиме реального времени.
    • границы инфраструктуры (ip диапазоны, домены и т.п.). Для ограничения списка контролируемых ИТ-ассетов.
    • быстрый поиск по ассетам
    • возможность выбора иконок для элементов ассета