В веб-интерфейсе добавляются следующие разделы:
Кроме того, появляются дополнительные возможности в других разделах интерфейса, в корреляции, в отчетах, на дашбордах.
Например, появляется возможность делать сложные комплексные отчеты, такие как " All the src.ip addresses that touched more than 1000 destination ports below 1024 for 24 hours«. Для дашбордов — появляется возможность построения статистики с использованием аналитики.
Наверняка вы получали хотя бы раз оповещение от Google, Dropbox, VK и других сервисов что вы вошли с такого то IP адреса, браузера? Мы реализовали подобное но с упором на коммерческих потребителей и настраиваемое для любого кейса.
Например, возможно создать правило с указанием ключа, симптома входа и выхода из системы, связки атрибутов сравнения.
К примеру, возможно создать любое правило, которое будет отслеживать признаки входа, выхода применительно для любой вашей системы. В атрибуты сравнения вы добавите вы добавляете имя клиентского приложения, имя сервера приложения, src.ip, имя пользователя. Если пользователь вдруг входит с другого IP адреса или приложения на этот сервер или с этого src.ip входит другой новый пользователь — будет сформирован инцидент, об инциденте уйдет оповещение операторам. Признаки входа возможно определить любые.
Ведется статистика по активным сессиям и в истории по произошедшим.
Данный раздел справочный и содержит список всех известных уязвимостей. Возможен детальный просмотр уязвимостей, поиск по фразам, по CVE/CVSS, сортировка и просмотр CVE. Обновляется несколько раз в день. Доступ к обновлению — в рамках технической поддержки. Уязвимости используются в активах.
Данный раздел предназначен для организации Standard Compliance и Policy Compliance. Имеется предзаданный стандарт PCI DSS 3.1, содержащий технические контроли для аудита. Пользователь может создавать свой стандарт, указывать в нем контроли, указать scope и строить отчет в разделе отчетов. В отчете за выбранный период для каждого технического контроля указывается соответствие или несоответствие.
Аналитика в модуле RuSIEM Analytics имеет несколько подмодулей.
Первый, управляемый пользователем, основан на DL (Data Learning) и называется Baseline.
Для Baseline указываются правила, содержащие:
Теперь смоделируем следующую ситуацию. Пользователь user111 ежедневно удаляет примерно 20 файлов по понедельникам, примерно 40 по четвергам. Мы создаем правило, содержащее уникальную связку src.user.name + symptoms.id, устанавливаем дельту в 40% и указываем учет уникальности дня недели. Baseline начинает учитывать количество уникальных связок src.user.name + symptoms.id по дням недели. Сюда попадают все пользователи и также другие symptoms.id, включая старт служб, входы, запуск приложений и прочие. Внезапно, пользователь user111 или user444 удаляют не как обычно
С помощью правила с ключами «http.status.code + symptoms.id» возможно мониторить, к примеру, количество ошибок, доступность сайта, попытки зайти на запрещенный ресурс, состояние прокси сервера и многое другое. С ключами «hostname + symptoms.id» — от количества неуспешных попыток до количества заказов на сайте.
Количество правил — не лимитировано. Количество наблюдаемых ключей в правиле — до 21. Для корректной работы модуля рекомендуется накопленная выборка от 3х недель.
Для Baseline в разделе Аналитика имеются также виджеты для работы с модулем. На них можно вынести любые показатели для анализа тенденций.
Модуль ML (Machine learning) работает в автоматическом режиме, без вмешательства и настройки со стороны оператора. Модуль работает по Симптоматике ® и смотрит согласно заложенным алгоритмам агрегаты весов симптомов в разрезе объектов (хостов, пользователей, сервисов и прочее). Модуль имеет свою обучающую индивидуальную выборку, накапливаемую в ходе работы модуля. В случае накопления критического веса в разрезе объекта (частое повторение критичного события, шквал критичных или не критичных, растянутое по времени повторение, множественное распределение) — формируется событие и через процесс корреляции формируется инцидент.
Возможно также подключение пользовательской PMML (Predictive Model Markup Language) модели для модуля ML.
Активы — раздел ИТ активов. Структура активов предопределена, но может быть изменена пользователем. Наполняются в режиме реального времени из событий. Это Windows/*nix события, события о трафике, от систем мониторинга и других. События с актива могут приносить информацию об установленном ПО, патчах, версии OC, службах и процессах. События с сетевого трафика — какие приложения используются, браузеры, в том числе, и portable software, а также информацию об используемых портах и протоколах. Сканеры типа nmap — информацию об открытых портах, сервисах. Arp scanners — об аппаратном оборудовании. Все данные поступают в виде событий на модуль аналитики и формируют в режиме реального времени активы.
К примеру, в Windows Application log/System log записывается информация об установленном ПО, патчах и события поступают в режиме реального времени на аналитику. Если такое ПО уже есть в списке на активе — обновляется его время последнего обнаружения. Если нет — к активу дописывается данное ПО, версия.
Подключается пользователь по сети к удаленному серверу по ssh — сетевое приложение видит это, присылает информацию об используемом ПО для подключения и информацию об удаленном сервисе.
Для увеличения информации об активе и окружении в RuSIEM существуют инструменты:
Возможно подключение любого «говорящего» источника, приносящего полезные данные. Естественно, такими событиями можно оперировать и на уровне выборок и в правилах корреляции и в отчетах.
Помимо наполнения активов, существует ряд процессов:
Чтобы ограничить количество активов — задаются границы инфраструктуры. А для идентификации задаются критерии идентификации активов. В настройках системы устанавливаются параметры устаревания активов.
Для быстрой и удобной работы с активами существуют статические группы, допускающие мульти вложенность и динамические группы с условиями формирования. Например, возможно создать динамическую группу с условием по открытому порту 22 или с наличием определенной службы TeamViewer и данная группа всегда будет содержать актуальный список активов по критерию.
Фиды (intelligence feeds) содержат ip, url, fqdn, sha1, md5 угроз и потенциально опасных объектов: malware, exploits, phishing, file share, tor exit node, proxy и прочие. Сверка с фидами событий осуществляется в режиме реального времени в модуле аналитики. При совпадении — формируется событие и через уточнение в правиле корреляции формируется инцидент. Обновляются списки автоматически, в рамках технической поддержки.
Возможно добавление пользовательских значений как по одному, так и массово. Возможен импорт сторонних фидов.
Описаны поверхностно только основные возможности модуля аналитики. Возможности постоянно расширяются. Остались вопросы? Обращайтесь support@rusiem.com
Установка возможна на гипервизоры или физические сервера.
Продукт может быть установлен только на Ubuntu 14.04×64.
Рекомендуется установка на свежую установленную операционную систему.
Performance / Hardware Resources |
Up to 2000 EPS |
2 000 — 5 000 EPS |
5 000 — 10 000 |
10 000 — 30 000 |
30 000 — 90 000 |
---|---|---|---|---|---|
CPU, core count |
|
4-6/per CPU |
|
|
14+ |
CPU count |
1 |
1 |
2+ |
|
4+ |
CPU, MHz |
2+ |
2,4+ |
2+ |
2.4+ |
3.2+ |
RAM, GB |
16 |
32 |
|
|
|
HDD, speed |
7200+ |
7200+ |
7200+ |
7200+ |
7200+ |
HDD, mode |
Stand-alone, SAS/SATA |
Stand-alone, SAS/SATA, dedicated for server |
Stand-alone, SAS/SATA or raid mirror-mode. Dedicated. |
Raid 5+, dedicated. |
Raid 5+ performance, SSD for system disk |
HDD, size for OS |
100 GB |
100+ GB |
300 GB |
500+ GB |
700+ GB |
HDD, size for data |
300+ GB |
300+ GB |
600+ GB |
1+ TB |
3+ TB |
MIPS |
4700 |
8000 |
10000+ |
12000+ |
12000+ |