Москва, 25 ноября 2024 года. – Завершен проект по интеграции SIEM-системы RuSIEM в инфраструктуру российской ИТ-компании «Криптонит». Новая система предоставляет ИБ-администраторам полную, своевременную и достоверную информацию о событиях и инцидентах информационной безопасности.
SIEM-система RuSIEM позволяет специалистам «Криптонит» централизованно выполнять сбор, мониторинг и агрегирование информации о событиях от различных источников: сетевого и телекоммуникационного оборудования, серверных систем и персональных рабочих станций, систем защиты информации, серверных и пользовательских операционных систем, систем разработки ПО и др., а также производить нормализацию и фильтрацию информации, коррелировать данные, сфокусировав внимание на действительно важных событиях. Решение даёт возможность проактивного реагирования на события ИБ, обнаруживает на основе анализа событий внешние и внутренние угрозы, включая известные виды атак и предполагаемые злонамеренные действия. Компании «Криптонит» удалось не только грамотно интегрировать систему в рабочие процессы, но и дать рекомендации по её улучшению. Так по запросу заказчика разработчики RuSIEM оперативно добавили функционал динамических таблиц.
Мониторинг событий информационной безопасности происходит на постоянной основе и уже превысил 1500 EPS в потоке и 4000 EPS в пике. Архитектура очередей устроена так, что при пиковых нагрузках данные очереди автоматически буферизуются на диск, что предотвращает их потерю.
Несмотря на то, что большинство поступающих данных от различных источников событий корректно обрабатывались в системе, не все задекларированные источники при парсинге давали результат, нужный специалистам «Криптонита». Такая ситуация наблюдалась при анализе событий, поступающих от OpenVPN, MikroTik, интерфейсов управления платформой (IPMI) и бэкап-сервисов. Также присутствовали и нераспарсенные сообщения, требующие индивидуального подхода, например, у таких сервисов, как Nexus, GitLab, Passwork, MyTeam.
В рамках решения возникшей задачи специалисты компании «Криптонит» провели работы по написанию собственных и изменению имеющихся парсеров RuSIEM. Данные работы стандартизированы и не вызвали дополнительных затрат. Подключение сервиса к SIEM, исследование источника и подготовка технического задания заняли у заказчика 3 дня, а написание парсера и правил корреляции (1-5 шт.) – от нескольких часов до одного дня.
Когда было достигнуто журналирование всех ключевых сервисов, ИБ-специалисты сконцентрировались на оптимизации и совершенствовании правил корреляции, в результате которых было прописано более 100 необходимых для мониторинга событий ИБ правил корреляции. В частности, 9 новых правил были добавлены в репозиторий для хранения артефактов Nexus и 20 правил корреляции – в систему отработки событий ИБ, полученных от контроллеров домена и локальных рабочих станций, которые связаны с учётными записями пользователей.
«При небольшом опыте в написании регулярных выражений нам удалось достаточно эффективно использовать предложенный функционал и привести данные к универсальному формату, подходящему для дальнейшей работы. Теперь любой запрос на создание собственного парсера или правила корреляции выполняется оперативно, и в данных вопросах мы никак не зависим от технической поддержки, хотя она у RuSIEM работает быстро», – рассказывает Павел Боглай, руководитель отдела информационной безопасности компании «Криптонит».
Помимо классического использования, SIEM-система позволяет компании «Криптонит» осуществлять автоматизированный мониторинг и сбор информации о состоянии всех компонентов ИТ-инфраструктуры и инвентаризировать её, мониторить изменения в настройках активного сетевого оборудования и сетевых средств защиты, следить за соответствием политики безопасности, проводить анализ и идентификацию подключенных устройств, отслеживать почтовые коммуникации, вести учёт офисной техники, а также проводить инвентаризацию учётных записей.
«Внедрение системы RuSIEM в инфраструктуру компании «Криптонит» позволило эффективно выявлять инциденты информационной безопасности и представлять информацию о них в удобной и понятной форме. Это способствует быстрому принятию решений и оперативному реагированию на угрозы, что дает возможность не только устранять инциденты, но и минимизировать возможные риски. В результате удалось повысить общий уровень информационной безопасности в организации», – уверен Павел Боглай, руководитель отдела информационной безопасности компании «Криптонит».
«Мы всегда рекомендуем заказчикам проактивно подходить к работе в SIEM-системе, предлагать доработки для повышения удобства использования нашего продукта. Помимо оперативной технической поддержки, у нас есть канал RuSIEM community в TG, позволяющий оперативно получать помощь как от команды разработчиков, так и от сообщества пользователей RuSIEM», – подчеркивает Даниил Вылегжанин, руководитель отдела предпродажной подготовки компании RuSIEM.
SIEM-система RuSIEM позволяет специалистам «Криптонит» централизованно выполнять сбор, мониторинг и агрегирование информации о событиях от различных источников: сетевого и телекоммуникационного оборудования, серверных систем и персональных рабочих станций, систем защиты информации, серверных и пользовательских операционных систем, систем разработки ПО и др., а также производить нормализацию и фильтрацию информации, коррелировать данные, сфокусировав внимание на действительно важных событиях. Решение даёт возможность проактивного реагирования на события ИБ, обнаруживает на основе анализа событий внешние и внутренние угрозы, включая известные виды атак и предполагаемые злонамеренные действия. Компании «Криптонит» удалось не только грамотно интегрировать систему в рабочие процессы, но и дать рекомендации по её улучшению. Так по запросу заказчика разработчики RuSIEM оперативно добавили функционал динамических таблиц.
Мониторинг событий информационной безопасности происходит на постоянной основе и уже превысил 1500 EPS в потоке и 4000 EPS в пике. Архитектура очередей устроена так, что при пиковых нагрузках данные очереди автоматически буферизуются на диск, что предотвращает их потерю.
Несмотря на то, что большинство поступающих данных от различных источников событий корректно обрабатывались в системе, не все задекларированные источники при парсинге давали результат, нужный специалистам «Криптонита». Такая ситуация наблюдалась при анализе событий, поступающих от OpenVPN, MikroTik, интерфейсов управления платформой (IPMI) и бэкап-сервисов. Также присутствовали и нераспарсенные сообщения, требующие индивидуального подхода, например, у таких сервисов, как Nexus, GitLab, Passwork, MyTeam.
В рамках решения возникшей задачи специалисты компании «Криптонит» провели работы по написанию собственных и изменению имеющихся парсеров RuSIEM. Данные работы стандартизированы и не вызвали дополнительных затрат. Подключение сервиса к SIEM, исследование источника и подготовка технического задания заняли у заказчика 3 дня, а написание парсера и правил корреляции (1-5 шт.) – от нескольких часов до одного дня.
Когда было достигнуто журналирование всех ключевых сервисов, ИБ-специалисты сконцентрировались на оптимизации и совершенствовании правил корреляции, в результате которых было прописано более 100 необходимых для мониторинга событий ИБ правил корреляции. В частности, 9 новых правил были добавлены в репозиторий для хранения артефактов Nexus и 20 правил корреляции – в систему отработки событий ИБ, полученных от контроллеров домена и локальных рабочих станций, которые связаны с учётными записями пользователей.
«При небольшом опыте в написании регулярных выражений нам удалось достаточно эффективно использовать предложенный функционал и привести данные к универсальному формату, подходящему для дальнейшей работы. Теперь любой запрос на создание собственного парсера или правила корреляции выполняется оперативно, и в данных вопросах мы никак не зависим от технической поддержки, хотя она у RuSIEM работает быстро», – рассказывает Павел Боглай, руководитель отдела информационной безопасности компании «Криптонит».
Помимо классического использования, SIEM-система позволяет компании «Криптонит» осуществлять автоматизированный мониторинг и сбор информации о состоянии всех компонентов ИТ-инфраструктуры и инвентаризировать её, мониторить изменения в настройках активного сетевого оборудования и сетевых средств защиты, следить за соответствием политики безопасности, проводить анализ и идентификацию подключенных устройств, отслеживать почтовые коммуникации, вести учёт офисной техники, а также проводить инвентаризацию учётных записей.
«Внедрение системы RuSIEM в инфраструктуру компании «Криптонит» позволило эффективно выявлять инциденты информационной безопасности и представлять информацию о них в удобной и понятной форме. Это способствует быстрому принятию решений и оперативному реагированию на угрозы, что дает возможность не только устранять инциденты, но и минимизировать возможные риски. В результате удалось повысить общий уровень информационной безопасности в организации», – уверен Павел Боглай, руководитель отдела информационной безопасности компании «Криптонит».
«Мы всегда рекомендуем заказчикам проактивно подходить к работе в SIEM-системе, предлагать доработки для повышения удобства использования нашего продукта. Помимо оперативной технической поддержки, у нас есть канал RuSIEM community в TG, позволяющий оперативно получать помощь как от команды разработчиков, так и от сообщества пользователей RuSIEM», – подчеркивает Даниил Вылегжанин, руководитель отдела предпродажной подготовки компании RuSIEM.
