McAfee Enterprise Security Manager

Представляем краткий обзор продукта класса "Security information and event management" от компании McAfee, одними из интересных особенностей которого является довольно удобный и простой интерфейс и большое количество преднастроенных правил и дашбордов, что позволяет начать работать с системой практически сразу после её установки, даже не имея опыта работы с продуктами класса SIEM.

1. Архитектура и основной функционал составных элементов продукта
Архитектура продукта представлена на рис.1

Продукт состоит из следующих компонентов, часть из которых обязательна, часть рекомендована
к использованию, чтобы воспользоваться всем функционалом McAfee SIEM:

• McAfee Enterprise Security Manager — основной компонент системы (обязателен)
• McAfee Event Receiver — сбор и нормализация сырых событий (обязателен)
• McAfee Enterprise Log Manager — хранение сырых событий (рекомендован)
• McAfee Enterprise Log Search — роиск по сырым событиям (опционален)
• McAfee Advanced Correlation Engine (McAfee ACE) — дополнительные возможности по корреляции событий (рекомендован)
• McAfee Application Data Monitor — мониторинг данных 7-го уровня OSI для обнаружения угроз на уровне приложений (опционален)

2. Дашборды и Content Packs

После установки McAfee пользователю сразу доступны наборы дашбордов (рис. 2), среди которых
для начала работы потребуются "Normalized Dashboard" – чтобы отобразить нормализованные
события в системе и "Incidents Dashboard" – чтобы отобразить скоррелированные события.

Из полезных особенностей:

• Конечно же возможность кастомизации виджетов и дашбордов
• Возможности для более детального анализа данных виджета - "Drilldown" (рис. 3).

К примеру, у нас есть виджет "Event Summary". Мы можем воспользоваться функцией "Drilldown" и перегруппировать информацию по типу устройств, с которых получены события и далее посмотреть конкретные события с нужного типа устройства (рис. 4).

• Возможности открыть кейс в встроенной системе ведения тикетов напрямую из дашборда
• Возможности добавить данные по событию в "Watch list" напрямую из дашборда
• Возможность запустить "Remote Command" напрямую из дашборда

Также у системы есть возможность бесплатно загружать "Content Pack" – наборы преднастроенных правил, дашбордов итп для каких-то целей или работы с конкретными источниками.

Примеры:

• "Content Pack - User Behavior Analytics Content Pack" (для работы данного " Content Pack" обязателен компонент "McAfee ACE") содержит дашборды, отчеты и правила для выявления аномального поведения пользователей, среди которых:

— UBA - Increase in Authentication Events 7-days
— UBA - Login Attempt from Locked or Disabled Account
— UBA - Login Attempt from User with Expired Password
— UBA - Login from Account that Does Not Require Password
— UBA - Login from User with Non-Expiring Password
— UBA - Suspicious Privileged Logon
— UBA - Username ending with Dollar Sign
— UBA - User Logon from Multiple Geolocations
— UBA - User Logon from Multiple Hosts
— UBA - User Logon from Multiple IP Addresses

• "Content Pack - Firewall Content Pack" содержит различные правила корреляции, отчеты и дашборды для анализа событий с различных NGFW. В качестве примера посмотрим на дашборд для NGFW Check Point (рис. 5)

3. Подключение источников

Прежде чем получить события и производить их анализ нам необходимо добавить источники. Это можно сделать несколькими способами:

• Система слушает на интерфейсе, с каких источников приходят события и по какому протоколу. После получения каких-либо событий можно или в автоматизированном, или в ручном режиме добавить эти источники (рис. 6)

Добавить источник событий вручную из большого перечня готовых коннекторов, выбирая
производителя и протокол передачи событий (рис. 6). Посмотрим на примере добавления
событий Fortigate (рис. 7)

4. Threat Intelligence

Для выявления инцидентов нам могут потребоваться различные индикаторы компрометации и различные внешние фиды. Фиды можно подключить через функционал "Cyber Threat Feeds": мы выбираем источник информации, способ подключения (к примеру, TAXII), частоту обращения и указываем какую конкретно информацию в каких "Watch list" мы добавляем. ("Watch list" – это статические или динамические наборы данных. Которые мы можем использовать, к примеру, в правилах корреляции для выявления инцидентов).

Для примера добавим динамический "Watch list" с IP адресами (рис. 8), для этого:

• Создаем новый "Watch list", задаем ему имя, период обновления, тип – динамический
• Выбираем источник данных и метод обращения
• Задаем регулярное выражение, чтобы выбрать необходимую информацию
• Указываем тип данных

Теперь мы можем использовать данные IP адреса в наших правилах корреляции.

5. Правила корреляции

Правила корреляции служат для выявления инцидентов. У McAfee ESM есть, конечно же, преднастроеннные правила, которые доступны сразу после установки продукта. Мы посмотрим, как они отрабатывают, а также попробуем написать свои собственные правила и посмотрим насколько удобен этот процесс.

Для того, чтобы посмотреть отработку правил корреляции, произведем попытку подбора пароля
ssh и попытку доступа на вредоносные IP адреса из "Watch list", созданного ранее (рис. 9)

Написание собственных правил корреляции происходит в графическом интерфейсе с
использованием фильтров и логических элементов:

• Собственное правило детектирования неудачных попыток входа в систему: задаем имя правила, критичность, таксономию, поле, по которому группируются события, логический элемент "И", в котором укажем параметры срабатывания, и сам фильтр, где указываем что же мы хотим детектировать (в нашем примере это неудачные попытки входа в по ssh) (рис. 10).

Теперь посмотрим как McAfee ESM отреагировал на попытку подбора пароля. Для этого перейдем в дашборд "Incidents Dashboard" и увидим там, помимо прочего, срабатывание стандартных правил "Login – Successful Login to Local Host after Multiple Failed Login Attempts" и "Login - Multiple Failed Login Attempts on Local Host", а также созданные вручную правила "my_new_correlation_rule_1" и "my_new_correlation_rule_2". (рис. 12).

6. Оповещения

В продукте, конечно же, присутствует возможность гранулированного создания отчетов, но мы посмотрим немного более интересный функционал:

• Отсылка оповещений в telegram: создаем "Alarm" в котором указываем имя, критичность, триггер запуска (в нашем примере это срабатывание одного из созданных правил корреляции), выполнение удаленных команд – и указываем ссылку для отправки информации в наш telegram канал (рис. 13)

7. Работа с инцидентами

После того, как мы получили события с источников, выявили инцидент, получили оповещение, нам нужно назначить сотруднику новый инцидент, по которому он будет вести работу и в завершение закроет данный инцидент. McAfee может как интегрироваться со сторонними системами обработки тикетов, так и имеет встроенную систему создания кейсов по работе с инцидентами и их отслеживание. В самом начале мы отметили возможность создать тикет вручную из события в дашборде, но также можно настроить автоматизированное создание кейсов согласно нужным критериям. Это происходит через создание "Alarm", но в действие указываем "Create Case" и указываем кому из сотрудников назначать данные кейсы и какую информацию добавить в описание кейса (рис. 15).

Отслеживать, в каком статусе и кому назначены инциденты, можно из дашборда "Case Management
Summary" (рис. 16).

8. API

У McAfee ESM есть API, которым можно воспользоваться для интеграции продукта со сторонними системы или для автоматизации каких-либо задач.

Первым шагом необходимо пройти этап аутентификации, после чего уже можно будет отправлять запросы на выполнение каких либо операций.

Попробуем залогинится через API, используя Postman:

• Отправляем POST запрос https://mcafee_ip/rs/esm/v2/login, содержащий в теле запроса логин/пароль в кодировке base64 - {"username": "name_in_base64", "password": "password_in_base_64", "locale": "en_US"}

• В ответе получаем JWTToken и Xsrf-Token, которые нам потребуются для отправки следующих запросов в рамках открытой сессии.
• Проверяем, что у пользователя "Loki", под именем которого мы отправляли запрос, открыта сессия (рис. 17)

9. Заключение

Посмотрев на работу McAfee SIEM можно отметить, что система интересна большим количеством
контента доступным «из коробки», дружелюбностью интерфейса и простотой настройки базового
функционала:

• Большое количество различных интерактивных дашбордов
• Большое количество конекторов для стандартных систем с простой процедурой их включения
• Графический интерфейс настройки правил корреляции
• Возможности выполнения удаленных команд по различным критериям
• Встроенная система ведения тикетов

Система отлично впишется в любую инфраструктуру. А если вы уже задумались о необходимости выявлений инцидентов информационной безопасности, но не имеете большого опыта работы с системами класса SIEM, этот продукт станет отличным решением: вы увидите пользу от внедренения McAfee Enterprise Security Manager в самое короткое время.