Системы класса SIEM могут быть вполне применимы не только для информационной безопасности, но и ИТ персоналом, разработчиками для своевременного обнаружения и предотвращения инцидентов

1. Олеся Шелестова
oshelestova@rusiem.com
SIEM
и для ИТ!

2. Что такое SIEM
• Security Information and Event Management
Сменим аббревиатуру?
• Ну к примеру, СIEM – Continuous Information Event Manager
3

3. CIEM (SIEM)
• На входе всегда события. Это минимальная и необходимая
единица измерения, повествование о чем либо (не важно о чем).
• События приводятся к единому формату key:value
• Обогащаются метаинформацией
• Аггрегируются (схлопываются)
• Коррелируются по правилам написанным пользователем
• Анализируются различными методами и алгоритмами
• На выходе – не 100 алертов, а 1 инцидент о коренной проблеме.
• Инцидент фиксируется во встроенной или внешней системе
4

4. • Фактически, не важно какими данными кормить систему
• Результат зависит от качества входных данных, набора правил
обработки и анализа «внутри»
• Именно поэтому, SIEMы уже широко применяются для анализа
финансовых потоков, анти-фрода, целевого маркетинга и для
прочих целей
5

5. SIEM: мифы
• SIEM только для информационной безопасности
• Дорого стоит
• Zabbix/Nagios «хватает»
• «MTTR не для нас»
• В SIEM не пускает ИБ
• «Захламляете вашими ИТ-шными логами/нет лицензии на EPS»
6

6. • В аббревиатуре SIEM есть «security». Но ставить на этом акцент не
нужно.
• В логах есть информация полезная для ИТ
• Системы мониторинга дают много ложных уведомлений
• Системы мониторинга не могут связать в логическую цепочку
разрозненные алерты
7

7. • Проблемы с дисковыми подсистемами
• Зависшие и неработающие приложения
• Ошибки приложений
• Отсутствие соединения до бек-энда
• Внезапные сбои в работе веб-приложений
• Ошибки сети
• Проблемы с маршрутизацией
• Проблемы с доступами и блокировками
• Флип-флоп интерфейсов приводящие к различным проблемам
• Проблемы аутентификации из за сбоев
• Отслеживание изменение конфигураций и обновлений
• Многочисленные проблемы инвентаризации
• Многочисленные ошибки доставки электронной почты
• И многое другое
8

8. Как обходимся, коллеги?
• cat/grep/tail логов
• Ни дай бог если это «тяжелый» лог или windows event log на
загруженном сервере
• Приходится просить коллег, так как доступа на
сервер/приложение/базу данных - нет
• Если сервер упал или что то с диском – не узнаем причин
• Смотрим когда «все уже плохо»
• Форенсикой занимаются другие и может уйти значительное
время
• «Бревна в глазу не видим»
9

9. Что даст CIEM?
• Снижение времени реакции на возникающие инциденты
• Предотвращение инцидентов на ранних стадиях
• Видимость происходящего в инфраструктуре
• Инвентаризация программного обеспечения, оборудования,
процессов, сервисов, групп и пользователей, прав доступа, ip
адресации
10

10. Что даст CIEM?
• Централизованный сбор в автоматическом режиме
• Удобные методы и инструменты поиска по событиям
• Понятный вид событий
• Графические представления
• Отчеты с автоматической доставкой
• Корреляция – вы будете видеть корень проблемы, а не миллионы
уведомлений и логов
• Фиксация инцидентов с возможностью постановки задач для
оперативного реагирования
11

11. Какие события можно послать?
• Фактически – любые
• Текстовые w3c/txt/csv/cef/etc логи с разделителями ключей и
значений
• Syslog tcp/udp любого формата согласно syslog rfc, в том числе
plain/json/msgpack/cef/etc
• Windows event log
12

12. Цены
• В зависимости от набора и количества компонент
• В среднем, для SMB варьируется 600 000р – 3 500 000
13

13. Можно и «дешевле»
14

14. Но придется наступать на грабли
• «Виснет»
• Падает при накоплении объема и висит на выборке
• Ограничение на объем или количество источников
• Не всякий источник можно подключить
• Приобретение сторонних лицензий (Click-view, MS SQL, etc)
• Логи теряются
• Json поля без вложенности
15

15. «Напильник»
• Корреляцию писать вам самим
• Нормализацию источников писать самим
• Сторонние транспорты для сбора – самим
• Отчеты – скорее всего самим
Все это не так просто. Многим ли под силу? Что произойдет если
уйдет сотрудник писавший это? Посчитайте затраты.
16

16. Что в итоге экономии?
• Вы будете видеть только логи
• Отсутствует интерпретация событий понятным языком
• Может удастся создать какие то алерты с уведомлением на почту
• Почтовые уведомления вы перестанете читать через 4 дня
17

17. Возможности в RuSIEM
18

18. Дашборды
• Наборы настраиваемых виджетов
• Настройки индивидуальны для каждого пользователя
• Автоматическое обновление данных
• Импорт/экспорт другим пользователям
• Наборы страниц с виджетами для быстрого анализа
• Возможность отображения данных как по базе данных событий,
так и по аналитике
19

19. Навигация по событиям
• Графическое отображение событий
• Быстрая выборка событий
• Проваливание по графику в интересующий интервал
• Полнотекстовый и точечный поиск
• Быстрый поиск внутри выбранных данных
• Составной поиск через операторы and/or/not и другие
• Группировка и сортировка
• Вывод только интересующих полей в определенном порядке
• Выгрузка отобранных событий в csv файл
• Поиск через симптоматику без знания как выглядят события (например, «Ошибки сети»,
«Ошибки диска», «Неуспешные входы»)
• Подсчет траффика или других количественных характеристик с группировкой по любому
полю
20

20. Симптоматика
• Подпись каждому событию русским текстом – о чем оно с
возможностью использования этих тегов во всех компонентах
системы
• Весовые параметры критичности
• Событие может попадать под несколько симптомов, добавляя
подписи мета-тегов и увеличивая/уменьшая суммарную
критичность события
• Последовательные цепочки симптомов для выявления коренной
или итоговой проблемы
• Возможность добавления симптомов пользователем
21

21. Корреляция
• Real-time Rule based reasoning корреляция
• Графический понятный конструктор
• По одному событию (например, message:”disk full”)
• По серии событий (count.message:”http.error>500” >= 100/60 sec)
• По последовательности событий (service.stopped and not started in 5 minutes)
• Логические объединяемые условия с drag-and-drop перестановкой
• Подсчет уникальных значений
• Группировка по одному или нескольким полям и значениям через and/or
• Возможность использования симптоматики вместо сложных выражений
• Учет времени. К примеру – в определенные дни недели в указанное время.
• Возможность запуска скрипта с передачей значений. Например, для автоматического патча или
блокирования.
• Установка приоритета и исполнителей инцидента с ограничением видимости другими
пользователями
• Правила может редактировать и создавать пользователей
22

22. Встроенный инцидент-менеджмент
• Инциденты формируются в результате срабатывания правил корреляции
• Уведомление об инциденте и задачах по электронной почте со ссылкой на инцидент
• Ограничение видимости инцидента другими пользователями системы
• Постановка задач с открытием видимости другим сотрудникам/группам
• Эскалация инцидента
• Статусы инцидента: назначен, в работе, эскалирован, приостановлен, закрыт
• При эскалации меняется область видимости инцидента
• Повторно по одному и тому же объекту группировки инцидент не открывается до тех пор пока
текущий не закрыт, пополняется уже открытый
• События отвязаны от инцидента, но поиск породивших инцидентов возможен по ссылке на любом
поле внутри инцидента
• Подсчет количества попаданий по каждому полю в рамках инцидента
• Веса инцидента и количество событий
• Быстрое закрытие инцидента «по кнопке» - ложное срабатывание/решен
• Просмотр правила корреляции из инцидента
23

23. Аналитика
• Агрегация весов симптоматики по объектам
(host/process.name/user.name и прочим) с формированием
инцидента в случае превышения суммарного веса
• Baseline по любым параметрам. От одного до 4х параметров в
каждом правиле. Например, количество ошибок в связке с хостом
по каждому хосту в событиях. При превышении указанной дельты
(то есть в случае всплеска) – формируется инцидент.
• Поведенческий анализ
• Прочие алгоритмы для обнаружения аномалий и инцидентов
• Правила могут редактироваться и создаваться пользователем
24

24. Взаимосвязи
• Построение графического представления связей для быстрой аналитики
• Указание уточняющего запроса sql-like с фильтрацией
• Ограничение запроса по «топ 10-500000»
• Возможность построения по любым критериям, симптомам, полям.
Например:
• пользователь-группа отобразит в какие группы входит.
• Пользователь-хост отобразит куда пользователь входил за указанный интервал
времени.
• Симптомы-пользователь покажет что делал пользователь за указанный период
времени, какие ошибки возникали.
• Geoip-хост покажет с каких стран/городов были соединения с данным хостом
25

25. Отчеты
• Пред-заданные шаблоны отчетов и возможность добавление
пользователем
• Наборы графиков, таблиц в отчете. В том числе, возможность
добавления различных наборов в одном отчете.
• Формирование по расписанию отчета с возможностью отправки
по электронной почте указанным получателям.
• Построение отчетов по базе данных событий и аналитике.
26

26. Контактная информация:
Сайт разработчика: https://www.rusiem.com
Инфо: info@it-task.ru , support@rusiem.com
Максим Степченков m.stepchenkov@it-task.ru
Олеся Шелестова oshelestova@rusiem.com (skype, mail)
Официальный дистрибьютор:
СПАСИБО ЗА ВНИМАНИЕ
Остались вопросы?
Обращайтесь!
105082, Россия, г. Москва
ул. Большая Почтовая, 55/59с1
Телефон: +7 (495) 972-98-26
E-mail: info@it-task.ru
27