Как мы уже писали в данном блоге, работа SIEM-системы теряет смысл без постоянной эволюции детектирующей логики. Ландшафт угроз непрерывно изменяется, а это значит, что для эффективного анализа данных приходится регулярно добавлять новые правила. Разумеется, львиная доля правил корреляции неизбежно дорабатывается на стороне внутренней ИБ-команды, однако для облегчения этого процесса важно иметь актуальные правила, поставляемые из коробки. Еще один важный момент: SIEM-система должна уметь адаптироваться к эволюции информационной инфраструктуры компании; быть готовой к работе с новыми источниками событий, каждому из которых зачастую требуется новый нормализатор (механизм приведения данных от произвольных источников к единому формату). Мы постоянно ведем работу по этим направлениям и добавляем в Kaspersky Unified Monitoring and Analysis Platform (KUMA) новые нормализаторы и правила корреляции. В этом посте рассказываем о том, что было добавлено в версии 3.0.3.
Новые и доработанные нормализаторы
С момента релиза KUMA 2.1 до релиза KUMA 3.0.3 мы выпустили 99 пакетов обновлений с новыми или улучшенными нормализаторами. Среди них 63 обновлений, обеспечивающих поддержку новых источников событий, и 38 — улучшающих текущие нормализаторы. В них была добавлена поддержка дополнительных типов событий, а также реализованы различные доработки и исправления. Остальные обновления содержат постоянно улучшаемые правила корреляции, фильтры и другие ресурсы, ориентированные на повышение удобства использования.
В числе прочего в нашу SIEM-систему добавили нормализаторы, позволяющие работать со следующими источниками событий:
- Cisco Prime (для событий системы Cisco Prime версии 3.10, поступающих по syslog);
- PowerDNS (для обработки событий PowerDNS Authoritative Server версии 4.5, поступающих по Syslog);
- Microsoft Active Directory Federation Service (AD FS) (для обработки событий Microsoft AD FS; нормализатор поддерживает работу с данным источником событий в KUMA, начиная с версии 3.0.1);
- Microsoft Active Directory Domain Service (AD DS) (для обработки событий Microsoft AD DS; нормализатор также поддерживает работу с данным источником событий в KUMA, начиная с версии 3.0.1);
- NetApp ([OOTB] NetApp syslog — для обработки событий системы NetApp версии ONTAP12, поступающих по syslog, а также [OOTB] NetApp file — для обработки событий системы NetApp версии ONTAP 9.12, хранящихся в файле);
- RedCheck Desktop (для обработки журналов системы RedCheck Desktop версии 2.6, хранящихся в файле);
- ИВК — Кольчуга-К;
- А-реал — Интернет Контроль Сервер;
- КриптПро — Ngate;
- Сетевые устройства MikroTik;
- СУБД PostgreSQL;
- СУБД MySQL;
- Солар — Дозор;
- Vmware — ESXi;
- Кибер Бэкап 16.5;
- Microsoft Office365.
Кроме того, наши эксперты доработали следующие нормализаторы:
- для продуктов компании Microsoft: переработана структура нормализатора, добавлена поддержка новых продуктов и дополнительных типов событий;
- для системы PT NAD: реализована поддержка событий актуальной версии продукта;
- для UNIX-подобных операционных систем — реализована поддержка дополнительных типов событий;
- для событий сетевых устройств Juniper (этот нормализатор был значительно переработан и оптимизирован);
- для системы Citrix NetScaler — реализована поддержка дополнительных типов событий.
Обновление правил корреляции
Мы значительно улучшили наполнение всех существующих корреляционных правил из пакета SOC Content на русском языке — акцент был сделан на проверке логики правил и их доработке на основе реального опыта использования нашими заказчиками. Также мы улучшили качество описания правил, в том числе в части полей описания инцидентов.
Наряду с обновлением русскоязычного пакета SOC Content мы выпустили и полноценный пакет SOC Content на английском языке, полностью синхронизирующий его контент с русскоязычной версией. С этого момента мы планируем осуществлять синхронное обновление пакетов на двух языках.
Сейчас на платформе доступно более 500 правил наряду с дополнительными инструментами, необходимыми для их работы, такими как активные листы, фильтры и словари.
Формат правил корреляции
В ближайшее время мы планируем добавить разметку текущих правил в соответствии с методами и тактиками атак MITRE. Это позволит расширить функции системы, чтобы визуализировать степень защиты от всех известных угроз.
При выборе направлений развития мы вообще ориентируемся на MITRE ATT&CK Knowledge Base, являющуюся де-факто отраслевым стандартом. Кроме того, мы учитываем обратную связь от наших заказчиков (информацию от которых получаем при проведении пилотных внедрений, интеграций, консалтинге или даже в письмах от клиентов аккаунт-менеджеру) и опыт нашего собственного SOC, который является одной из самых успешных и опытных команд в отрасли.
Как обновления доставляются в SIEM-систему KUMA
Весь разрабатываемый контент распространяется через подсистему распространения обновлений Kaspersky Update Servers, что сокращает время его доставки до потребителей. Подсистема в автоматическом режиме запрашивает обновления и информирует о них, но решение о применении обновлений остается за оператором. Это позволяет администраторам быстро получать информацию о доступных пакетах контента, анализировать содержимое каждого обновления и принимать решение о внедрении новых ресурсов в инфраструктуру или об обновлении существующих ресурсов.
Подсистема обновлений значительно расширяет возможности KUMA по быстрому реагированию на изменения ландшафта угроз и инфраструктуры. Кроме того, возможность ее использования без прямого доступа к Интернету гарантирует, что обрабатываемые SIEM-системой данные не покинут периметр и будут защищены, а пользователи смогут получать последние обновления контента системы.
С полным перечнем поддерживаемых источников событий в Kaspersky Unified Monitoring and Analysis Platform версии 3.0.3 можно ознакомиться в разделе технической поддержки, где также доступна информация о правилах корреляции. Разумеется, обновление нашей SIEM-системы не ограничивается только лишь новыми нормализаторами и детектирующей логикой — недавно мы также писали об улучшении пользовательского интерфейса, и автоматизации рутинных процессов.