Подписаться
Читать в телеграм
Как правило, внедрение централизованной системы мониторинга событий ИБ на базе ArcSight разделяется на 2 этапа: сбор событий и настройка системы.
Для успешного завершения первого этапа необходимо максимально подробно провести обследование систем заказчика. Нужно четко понимать с каких устройств мы будем получать события, какие версии источников событий используются у заказчика. Исходя из этой информации, принимается решение об использовании стандартных коннекторов ArcSight, их доработке либо разработке новых. Основная сложность в данном случае – корректная настройка аудита на всех источниках событий.
Критерий завершения этапа по сбору событий – подключение всех источников к ArcSight и настройка правил, отчетов и консолей для мониторинга состояния подключенных систем и наличия событий.
Второй этап более сложный, так как требует более тесного взаимодействия с заказчиком и его участия в процессе разработки правил корреляции, отчетов, консолей. Процесс настройки достаточно длительный, он может занимать несколько месяцев. Важно помнить, что после завершения внедрения продукта процесс мониторинга и донастройки не должен прекращаться. И если не выполнять этого условия, в ArcSight будет много ложных срабатываний и эффективность системы резко снизится.
Если говорить о конкретных задачах и этапах в проекте по внедрению системы мониторинга, то, на наш взгляд, наиболее оптимальным будет изначально определить несколько конкретных задач, которые должен решать ArcSight. На основании этого нужно выбрать только те источники событий, которые необходимы для решения каждой конкретной задачи. В дальнейшем можно расширять систему, добавляя новые источники и решая новые задачи.
Например, поставлена задача отслеживания использования административных привилегий и управления учетными записями. Для ее решения, скорее всего, понадобятся данные из следующих систем:
- Контроллеров домена.
- Операционных систем серверов, на которых данную активность нужно отслеживать.
- Межсетевых экрановсетевых устройств.
- Систем авторизации.
- Баз данных.
- IDM -системы.
При этом подключение антивирусных средств, систем IDSIPS можно оставить на будущее.
В зависимости от состава и полноты источников событий для системы мониторинга можно говорить об эффективности обработки событий и выявления инцидентов ИБ.
Так, например, полезным будет подключить к системе мониторинга не только базовые элементы обеспечения ИБ, такие как антивирусы и межсетевые экраны, но и другие системы управления ИБ. Например, довольно эффективна интеграция системы мониторинга со сканерами уязвимостей. Результаты сканирования MaxPatrol лишь дополняют и расширяют возможности ArcSight. При этом следует отметить, что из MaxPatrol в ArcSight или Symantec SIM попадает только информация о найденных сервисах и уязвимостях (режимы Pentest и Audit). Режим compliance в данном случае остается незатронутым, и отчеты по нему можно получить только в MaxPatrol.
На мой взгляд, интеграция систем мониторинга и систем управления уязвимостями оправдана в следующий случаях:
- В ArcSight полностью сформирована сетевая модель, и есть необходимость в использовании сканера безопасности для заполнения информации об уязвимостяхиспользуемых сервисах в Assets. В этом случае ArcSight сможет автоматически подстраивать приоритеты событий, использовать данные об уязвимостяхсервисах в корреляционных правилах и отчетах.
- В случае необходимости построения сетевой модели и заведения списка устройств. Для этого при выпуске отчета MaxPatrol включаются только данные об уязвимостях с уровнем «Informational».
Более сложные системы, а также программное обеспечение собственной разработки, требуют особого внимания и разработки специальных коннекторов к ним. Для реализации сбора событий с нестандартных источников нужно досконально изучить систему логирования источника. Каким образом система ведет логирование событий (база данных, файл, отправка событий по syslogsnmp и т.д.)? Какая информация есть в этих журналах? Есть ли возможность доработки системы логирования? Если это файлы, то можно ли их забирать удаленно и как часто они перезаписываются?В идеальной ситуации каждое событие, которое генерирует источник, должно быть распознано коннектором. В противном случае должен быть определен перечень необходимых для обработки событий, а остальные игнорироваться.
Как правило, для успешной разработки от Заказчика необходимо получить следующие данные:
- документацию на систему логирования иили контакты разработчиков системы;
- выборку из логов системы за достаточно длительный промежуток времени;
- возможность доступа к самой системе либо построения аналогичной на наших стендах.
С точки зрения использования системы мониторинга и управления ИБ в качестве средства выявления угроз, финансовых рисков и утечки информации, наиболее интересны:
- функции и отчеты по отслеживанию использования «чужих» учетных записей для аутентификации в системе;
- изменения конфигурации систем;
- создание пользователей с административными привилегиями на короткий промежуток времени;
- отчеты по удалениюкопированию пользователями данных.
