RuSIEM IoC

Подключить сервер, ПК или смартфон к зараженным узлам собственной сети, чтобы развивать атаку – любимая тактика злоумышленников. Понимайте намерения хакеров до того, как захват ими конкретных устройств приведет к ощутимым ИБ-последствиям. RuSIEM IoC укажет на возможность развития подобных инцидентов. Модуль подгружает в SIEM данные об IP-адресах, доменах, URL, хэшах вредоносного ПО. Как только система фиксирует в сетевом потоке или хостовой активности обращение к ресурсам из базы, она сообщает об этом оператору, указывая, какой именно элемент ИТ-инфраструктуры скомпрометирован и требует «лечения».

RuSIEM IoC – это модуль SIEM-системы, позволяющий выявить угрозу для корпоративных устройств в виде попыток связаться с вредоносной инфраструктурой злоумышленника. Модуль подгружает в систему информацию об IP-адресах, доменах, url, хэшах вредоносного ПО (ВПО). Это и есть индикаторы компрометации – признаки, позволяющие выявлять вредоносные коммуникации и зараженные устройства. Как только SIEM-система фиксирует в сетевом потоке или хостовой активности обращение к данным ресурсам, которые есть в базе, она сообщает об этом оператору, указывая, какой конкретно элемент ИТ-инфраструктуры скомпрометирован и требует «лечения».

В рамках SIEM-системы созданы статические списки, куда каждую ночь подгружаются новые индикаторы компрометации. Для каждого списка существует свой собственный TTL – time to leave, то есть срок истечения для каждой записи. Это позволяет автоматически удалять индикаторы из списка, по прохождению времени, через которое данный индикатор уже перестает быть вредоносным, тем самым уменьшая количество ложных срабатываний. При этом если индикатор все еще активен, он будет обновлен при обновлении индикаторов, и время его жизни будет увеличено.
Выявление вредоносных коммуникаций происходит на основе уже настроенных общих правил корреляции. Если решения заказчика имеют нетипичную конфигурацию (например, используются нестандартные прокси-сервера, или другие информационные системы), в рамках RuSIEM можно создать свои правила корреляции и использовать их с учетом особенностей своей инфраструктуры.
Модуль RuSIEM IoC настраивается автоматически. Когда Firewall или иное СЗИ фиксирует факт взаимодействия устройства с внешним узлом, оно передает данные в SIEM-систему. Система, в свою очередь, анализирует их с помощью правил корреляции и устанавливает, является ли IP или домен, с которым взаимодействовало устройство, вредоносным. После того, как установлена угроза, в системе создается инцидент.

Можно ли подгружать индикаторы других поставщиков или создать свои правила корреляции?
Технически можно, например, – фиды и индикаторы ФинЦЕРТ Банка России. Но для этого созданы отдельные модули, которые устанавливаются по запросу организаций, подписавших соглашение с этими организациями.

• Анализирует данные из более чем 260 открытых источников
• Сбор индикаторов происходит из социальных сетей (Telegram, Twitter), репозиториев Github, а также данных публичных TI-отчетов
• На текущий момент система насчитывает более 250 тысяч уникальных индикаторов в сутки, при этом 30 тысяч из которых имеют наивысший уровень опасности
• Интеллектуальная нормализация, очистка, обогащение индикаторов
• Определение степени опасности каждого индикатора на базе уникальной математической модели ранжирования

Согласно результатам исследования SANS 2021/2022 Cyber Threat Intelligence Survey, интерес к TI, собираемого из открытых источников, растет из года в год. Так, в 2021 году 66,3% опрошенных использовали открытый TI, а в 2022 году – 71,7%

Подробности можно запросить у менеджеров технической поддержки компании RuSIEM, направив запрос на support@rusiem.com.