TS Solution
TS Solution
4 апреля 2022

7 частых вопросов о RuSIEM

Ответы на вопросы аудитории вебинара «SIEM-система как аналитический центр безопасности компании».

    Вы найдёте информацию о:

    Расскажите о лицензировании подробнее. Что означает «количество событий в единицу времени»? Что будет, если их число будет превышено?

    Мощность системы определяется количеством событий информационной безопасности, которое она обрабатывает в секунду (EPS – events per second). Каждый источник событий, каждая подсистема информационной безопасности генерирует события, которые могут фиксироваться в том или ином виде в каком-то журнале (журнале логов).

    Оценивая ТЗ на пилотный проект, мы предварительно можем сказать, что, к примеру, у вас на систему будет нагрузка максимум 5 тысяч событий в секунду. Эта оценка приблизительная. Точно будет понятно на пилоте, когда мы подключим все источники и настроим их для пересылки информации в SIEM-систему при работе в штатном режиме. Дальше можем констатировать, что SIEM-система обрабатывает, допустим, 3 тысячи событий в секунду. Что будет, если их станет больше? Если придет 3001-е событие, система его обработает. Она не выключится, мы не будем звонить и требовать срочно расширить лицензию. Здесь другой важный момент: часто оборудование подбирается именно под нагрузку. То есть если у вас лицензия на 3000 EPS, то, скорее всего, вы также приобретёте соответствующее железо или выделите виртуальный хост. Если в действительности у вас будет 4000 EPS или, не дай Бог, 10000 EPS, то с этим должно будет справляться именно само оборудование. Если его мощностей будет недостаточно, события будут накапливаться в очередь, и оно будет работать нестабильно. Если у вас лицензия за 3000 EPS, и их число регулярно увеличивается до 4000, то ничего страшного: мы просто вам аккуратно посигналим и скажем, что при обновлении лицензии вам лучше будет ее расширить, потому что иначе будет выше риск пропустить атаку. Но с точки зрения лицензирования, с точки зрения гибкости лицензионной политики мы всегда идем навстречу своим заказчикам.

    По поводу внедрения, подключения и написания коннекторов: является ли это частью внедрения и сколько стоит?

    Да, это является частью внедрения. Большую часть коннекторов и парсеров мы разрабатываем на пилотном проекте, если мы проводим его перед внедрением, либо на самом внедрении. Зачастую можно просто посмотреть, чего не хватает в данной конкретной ИТ-инфраструктуре, и четыре-пять источников и парсеров написать в рамках внедрения. Если мы понимаем, что у вас какая-то уникальная ИТ-инфраструктура и там нужна не настройка правил политики, а именно разработка парсеров, то мы можем отдельно выделить работу вместе с нашими коллегами, партнерами. В 95% случаев это всё входит в поставку лицензии.

    Мониторите ли вы, контролируете систему удаленно?

    Нет, мы этого не делаем. Вопрос, наверное, не в том, делаем мы это или нет, а в том, может ли система существовать изолированно от сети, обновляться и так далее. SIEM-система находится в ИТ-инфраструктуре заказчика, но обновляться может двумя способами. Первый – это через подключение к Интернету. Как, например, антивирус.

    Если у вас жесткие требования по периметровой части, закрытые контуры и никто к вам не может подключаться, – к вам приезжает инженер и обновляет систему со своего носителя. Как я уже сказал, у нас самые разные заказчики, самые разные требования к работе с ИТ-инфраструктурой. Поэтому обязательного требования, чтобы наша система была подключена куда-то наружу, – нет.

    Может ли система определять средства удаленного подключения, удаленного доступа?

    Да, такая возможность есть. Мы можем работать и с VPN, можем выявлять подключение к сети TOR. Само по себе такое подключение не является свидетельством заражения сети, однако, если это сделал кто-то из сотрудников, возникает вопрос «зачем?». Также есть возможность отслеживать доступ к Outlook в Интернете с помощью IP-адресов за территорией России, проверять подключение по SMTP- и IMAP-серверам.

    В ходе работы с заказчиками и расследования инцидентов мы часто сталкиваемся с новыми инцидентами, которые позволяют нам разрабатывать новые правила корреляции и добавлять их в систему. В прошлом году, расследуя один и инцидентов, мы добавили возможность отражать атаки на web-сайты и автоматически реагировать на атаки в режиме реального времени. Например, с помощью скрипта выводить из эксплуатации те активы, которые были занесены в черный список.

    Нам нужно создать свое правило корреляции. Это сложно?

    Создание правила корреляции довольно простой процесс, потому что все делается в едином интерфейсе. Вам не нужно пользоваться языками программирования, что-то знать в технической части – все делается через конструктор. Кроме того, у нас есть аналитики, которые могут помочь. Кстати, при создании нового правила корреляции можно сразу добавлять скрипты, которые будут запускаться автоматически. Например, будут автоматически блокировать атаку, либо отправлять оповещения в телеграмм-канал при создании нового инцидента.

    У нас есть понимание необходимости консолидации событий, но нет понимания, какие именно события необходимы. Как быть?

    Во-первых, всегда есть определенные best practices, которые аналогичны для всех компаний. Это те события, которые точно необходимо видеть в SIEM-системе. Назовем их событиями из первой группы источников. Вторая группа – это источники, необходимые для конкретной компании, для ее бизнес-логики и для конкретного заказчика.

    SIEM позволяет сокращать срок обнаружения инцидентов информационной безопасности, устранять их и нивелировать последствия. В рамках пилота мы подключаем определенный пул источников и событий и видим, какие логи попали в систему.

    Дружелюбный интерфейс RuSIEM позволяет писать правила корреляции или создавать симптоматику для событий намного проще, чем кажется. Это большой плюс системы. Все SIEM-системы, по определению, не самые простые, и работа с ними требует определенных навыков и умений. Сейчас ведется уклон на то, чтобы снизить порог вхождения специалиста в работу с системой, и это то, что сейчас необходимо рынку.

    На что обращать внимание при выборе партнера и работе с ним?

    При выборе партнера нужно обращать внимание на его компетентность. От компетентности будет зависеть, насколько полно и оперативно вы сможете оценить продукт и, в конечном итоге, успех его внедрения.

    С партнером необходимо сразу обговорить цели и задачи пилотного проекта. Если это не сделано в самом начале, то обязательно нужно это сделать через определенный период времени (а пилотный проект SIEM-системы — это не пара дней, как мы понимаем). У партнера нужно спросить, можно ли сразу пропилотировать продукт в той среде, с теми источниками, либо с учетом тех требований, которые есть у конкретного заказчика, чтобы результат четко отражал необходимую действительность. Чтобы это не был пилот ради пилота, а именно по необходимым критериям.

    Остались вопросы?