Эволюция SIEM-системы

Как мы уже писали в данном блоге, работа SIEM-системы теряет смысл без постоянной эволюции детектирующей логики. Ландшафт угроз непрерывно изменяется, а это значит, что для эффективного анализа данных приходится регулярно добавлять новые правила. Разумеется, львиная доля правил корреляции неизбежно дорабатывается на стороне внутренней ИБ-команды, однако для облегчения этого процесса важно иметь актуальные правила, поставляемые из коробки. Еще один важный момент: SIEM-система должна уметь адаптироваться к эволюции информационной инфраструктуры компании; быть готовой к работе с новыми источниками событий, каждому из которых зачастую требуется новый нормализатор (механизм приведения данных от произвольных источников к единому формату). Мы постоянно ведем работу по этим направлениям и добавляем в Kaspersky Unified Monitoring and Analysis Platform (KUMA) новые нормализаторы и правила корреляции. В этом посте рассказываем о том, что было добавлено в версии 3.0.3.

Новые и доработанные нормализаторы

С момента релиза KUMA 2.1 до релиза KUMA 3.0.3 мы выпустили 99 пакетов обновлений с новыми или улучшенными нормализаторами. Среди них 63 обновлений, обеспечивающих поддержку новых источников событий, и 38 — улучшающих текущие нормализаторы. В них была добавлена поддержка дополнительных типов событий, а также реализованы различные доработки и исправления. Остальные обновления содержат постоянно улучшаемые правила корреляции, фильтры и другие ресурсы, ориентированные на повышение удобства использования.

В числе прочего в нашу SIEM-систему добавили нормализаторы, позволяющие работать со следующими источниками событий:

• Cisco Prime (для событий системы Cisco Prime версии 3.10, поступающих по syslog);
• PowerDNS (для обработки событий PowerDNS Authoritative Server версии 4.5, поступающих по Syslog);
• Microsoft Active Directory Federation Service (AD FS) (для обработки событий Microsoft AD FS; нормализатор поддерживает работу с данным источником событий в KUMA, начиная с версии 3.0.1);
• Microsoft Active Directory Domain Service (AD DS) (для обработки событий Microsoft AD DS; нормализатор также поддерживает работу с данным источником событий в KUMA, начиная с версии 3.0.1);
• NetApp ([OOTB] NetApp syslog — для обработки событий системы NetApp версии ONTAP12, поступающих по syslog, а также [OOTB] NetApp file — для обработки событий системы NetApp версии ONTAP 9.12, хранящихся в файле);
• RedCheck Desktop (для обработки журналов системы RedCheck Desktop версии 2.6, хранящихся в файле);
• ИВК — Кольчуга-К;
• А-реал — Интернет Контроль Сервер;
• КриптПро — Ngate;
• Сетевые устройства MikroTik;
• СУБД PostgreSQL;
• СУБД MySQL;
• Солар — Дозор;
• Vmware — ESXi;
• Кибер Бэкап 16.5;
• Microsoft Office365.

Кроме того, наши эксперты доработали следующие нормализаторы:

• для продуктов компании Microsoft: переработана структура нормализатора, добавлена поддержка новых продуктов и дополнительных типов событий;
• для системы PT NAD: реализована поддержка событий актуальной версии продукта;
• для UNIX-подобных операционных систем — реализована поддержка дополнительных типов событий;
• для событий сетевых устройств Juniper (этот нормализатор был значительно переработан и оптимизирован);
• для системы Citrix NetScaler — реализована поддержка дополнительных типов событий.

Обновление правил корреляции

Мы значительно улучшили наполнение всех существующих корреляционных правил из пакета SOC Content на русском языке — акцент был сделан на проверке логики правил и их доработке на основе реального опыта использования нашими заказчиками. Также мы улучшили качество описания правил, в том числе в части полей описания инцидентов.

Наряду с обновлением русскоязычного пакета SOC Content мы выпустили и полноценный пакет SOC Content на английском языке, полностью синхронизирующий его контент с русскоязычной версией. С этого момента мы планируем осуществлять синхронное обновление пакетов на двух языках.

Сейчас на платформе доступно более 500 правил наряду с дополнительными инструментами, необходимыми для их работы, такими как активные листы, фильтры и словари.

Формат правил корреляции

В ближайшее время мы планируем добавить разметку текущих правил в соответствии с методами и тактиками атак MITRE. Это позволит расширить функции системы, чтобы визуализировать степень защиты от всех известных угроз.

При выборе направлений развития мы вообще ориентируемся на MITRE ATT&CK Knowledge Base, являющуюся де-факто отраслевым стандартом. Кроме того, мы учитываем обратную связь от наших заказчиков (информацию от которых получаем при проведении пилотных внедрений, интеграций, консалтинге или даже в письмах от клиентов аккаунт-менеджеру) и опыт нашего собственного SOC, который является одной из самых успешных и опытных команд в отрасли.

Как обновления доставляются в SIEM-систему KUMA

Весь разрабатываемый контент распространяется через подсистему распространения обновлений Kaspersky Update Servers, что сокращает время его доставки до потребителей. Подсистема в автоматическом режиме запрашивает обновления и информирует о них, но решение о применении обновлений остается за оператором. Это позволяет администраторам быстро получать информацию о доступных пакетах контента, анализировать содержимое каждого обновления и принимать решение о внедрении новых ресурсов в инфраструктуру или об обновлении существующих ресурсов.

Подсистема обновлений значительно расширяет возможности KUMA по быстрому реагированию на изменения ландшафта угроз и инфраструктуры. Кроме того, возможность ее использования без прямого доступа к Интернету гарантирует, что обрабатываемые SIEM-системой данные не покинут периметр и будут защищены, а пользователи смогут получать последние обновления контента системы.

Kaspersky Update Servers: информация о доступных обновлениях

С полным перечнем поддерживаемых источников событий в Kaspersky Unified Monitoring and Analysis Platform версии 3.0.3 можно ознакомиться в разделе технической поддержки, где также доступна информация о правилах корреляции. Разумеется, обновление нашей SIEM-системы не ограничивается только лишь новыми нормализаторами и детектирующей логикой — недавно мы также писали об улучшении пользовательского интерфейса, и автоматизации рутинных процессов.