TS Solution
TS Solution
Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies 🍪
Настройки cookie
Обязательные cookies
Эти файлы cookie необходимы для того, чтобы вы могли пользоваться сайтом и его функциями. Их нельзя отключить. Они устанавливаются в ответ на ваши запросы, такие как настройка ваших предпочтений конфиденциальности, вход в систему или заполнение форм.
Аналитические cookies
Disabled
Эти файлы cookie собирают информацию, чтобы помочь нам понять, как используются наши веб-сайты или насколько эффективны наши маркетинговые кампании, или чтобы помочь нам настроить наши веб-сайты для вас.
Рекламные cookies
Disabled
Эти файлы cookie предоставляют рекламным компаниям информацию о вашей активности в Интернете, чтобы помочь им предоставлять вам более релевантную онлайн-рекламу или ограничивать количество показов рекламы. Эта информация может быть передана другим рекламным компаниям.
краткий обзор продукта класса "Security information
and event management" от компании McAfee
13 МАЯ 2020

McAfee Enterprise Security Manager

Представляем краткий обзор продукта класса "Security information and event management" от компании McAfee, одними из интересных особенностей которого является довольно удобный и простой интерфейс и большое количество преднастроенных правил и дашбордов, что позволяет начать работать с системой практически сразу после её установки, даже не имея опыта работы с продуктами класса SIEM.

1. Архитектура и основной функционал составных элементов продукта
Архитектура продукта представлена на рис.1

Рис.1 Архитектура продукта
Продукт состоит из следующих компонентов, часть из которых обязательна, часть рекомендована
к использованию, чтобы воспользоваться всем функционалом McAfee SIEM:

  • McAfee Enterprise Security Manager — основной компонент системы (обязателен)
  • McAfee Event Receiver — сбор и нормализация сырых событий (обязателен)
  • McAfee Enterprise Log Manager — хранение сырых событий (рекомендован)
  • McAfee Enterprise Log Search — роиск по сырым событиям (опционален)
  • McAfee Advanced Correlation Engine (McAfee ACE) — дополнительные возможности по корреляции событий (рекомендован)
  • McAfee Application Data Monitor — мониторинг данных 7-го уровня OSI для обнаружения угроз на уровне приложений (опционален)

2. Дашборды и Content Packs

После установки McAfee пользователю сразу доступны наборы дашбордов (рис. 2), среди которых
для начала работы потребуются "Normalized Dashboard" – чтобы отобразить нормализованные
события в системе и "Incidents Dashboard" – чтобы отобразить скоррелированные события.
Рис.2 Стандартные дашборды «из коробки»
Из полезных особенностей:
  • Конечно же возможность кастомизации виджетов и дашбордов
  • Возможности для более детального анализа данных виджета - "Drilldown" (рис. 3).
К примеру, у нас есть виджет "Event Summary". Мы можем воспользоваться функцией "Drilldown" и перегруппировать информацию по типу устройств, с которых получены события и далее посмотреть конкретные события с нужного типа устройства (рис. 4).
Рис.3 "Drilldown"
Рис.4 "Drilldown" отображение необходимых событий
  • Возможности открыть кейс в встроенной системе ведения тикетов напрямую из дашборда
  • Возможности добавить данные по событию в "Watch list" напрямую из дашборда
  • Возможность запустить "Remote Command" напрямую из дашборда
Также у системы есть возможность бесплатно загружать "Content Pack" – наборы преднастроенных правил, дашбордов итп для каких-то целей или работы с конкретными источниками.

Примеры:

  • "Content Pack - User Behavior Analytics Content Pack" (для работы данного " Content Pack" обязателен компонент "McAfee ACE") содержит дашборды, отчеты и правила для выявления аномального поведения пользователей, среди которых:
— UBA - Increase in Authentication Events 7-days
— UBA - Login Attempt from Locked or Disabled Account
— UBA - Login Attempt from User with Expired Password
— UBA - Login from Account that Does Not Require Password
— UBA - Login from User with Non-Expiring Password
— UBA - Suspicious Privileged Logon
— UBA - Username ending with Dollar Sign
— UBA - User Logon from Multiple Geolocations
— UBA - User Logon from Multiple Hosts
— UBA - User Logon from Multiple IP Addresses

  • "Content Pack - Firewall Content Pack" содержит различные правила корреляции, отчеты и дашборды для анализа событий с различных NGFW. В качестве примера посмотрим на дашборд для NGFW Check Point (рис. 5)
Рис.5 Дашборд Check Point
3. Подключение источников

Прежде чем получить события и производить их анализ нам необходимо добавить источники. Это можно сделать несколькими способами:
  • Система слушает на интерфейсе, с каких источников приходят события и по какому протоколу. После получения каких-либо событий можно или в автоматизированном, или в ручном режиме добавить эти источники (рис. 6)
Рис.6 Автоопределение источников событий
Добавить источник событий вручную из большого перечня готовых коннекторов, выбирая
производителя и протокол передачи событий (рис. 6). Посмотрим на примере добавления
событий Fortigate (рис. 7)
Рис.7 Добавление источника вручную
4. Threat Intelligence

Для выявления инцидентов нам могут потребоваться различные индикаторы компрометации и различные внешние фиды. Фиды можно подключить через функционал "Cyber Threat Feeds": мы выбираем источник информации, способ подключения (к примеру, TAXII), частоту обращения и указываем какую конкретно информацию в каких "Watch list" мы добавляем. ("Watch list" – это статические или динамические наборы данных. Которые мы можем использовать, к примеру, в правилах корреляции для выявления инцидентов).

Для примера добавим динамический "Watch list" с IP адресами (рис. 8), для этого:
  • Создаем новый "Watch list", задаем ему имя, период обновления, тип – динамический
  • Выбираем источник данных и метод обращения
  • Задаем регулярное выражение, чтобы выбрать необходимую информацию
  • Указываем тип данных
Рис.8 Добавление "Watch list"
Теперь мы можем использовать данные IP адреса в наших правилах корреляции.

5. Правила корреляции

Правила корреляции служат для выявления инцидентов. У McAfee ESM есть, конечно же, преднастроеннные правила, которые доступны сразу после установки продукта. Мы посмотрим, как они отрабатывают, а также попробуем написать свои собственные правила и посмотрим насколько удобен этот процесс.

Для того, чтобы посмотреть отработку правил корреляции, произведем попытку подбора пароля
ssh и попытку доступа на вредоносные IP адреса из "Watch list", созданного ранее (рис. 9)
Рис.9 Подбор пароля и доступ на вредоносные IP адреса
Написание собственных правил корреляции происходит в графическом интерфейсе с
использованием фильтров и логических элементов:
  • Собственное правило детектирования неудачных попыток входа в систему: задаем имя правила, критичность, таксономию, поле, по которому группируются события, логический элемент "И", в котором укажем параметры срабатывания, и сам фильтр, где указываем что же мы хотим детектировать (в нашем примере это неудачные попытки входа в по ssh) (рис. 10).
Рис.10 Собственное правило корреляции детектирования неудачных попыток входа по ssh
  • Собственное правило детектирования доступа к вредоносным IP адресам из IOC (загрузку данных IOC мы уже сделали на предыдущем шаге и сейчас сможем воспользоваться созданным "Watch list"): задаем имя правила, критичность, таксономию, поле по которому группируются события, логический элемент "И" в котором укажем параметры срабатывания, и сам фильтр, где указываем что же мы хотим детектировать (в нашем примере это попытки доступа на вредоносные IP адреса из "Watch list"). (рис. 11)
Рис.11 Собственное правило корреляции детектирования обращения на вредоносные IP адреса
Теперь посмотрим как McAfee ESM отреагировал на попытку подбора пароля. Для этого перейдем в дашборд "Incidents Dashboard" и увидим там, помимо прочего, срабатывание стандартных правил "Login – Successful Login to Local Host after Multiple Failed Login Attempts" и "Login - Multiple Failed Login Attempts on Local Host", а также созданные вручную правила "my_new_correlation_rule_1" и "my_new_correlation_rule_2". (рис. 12).
Рис.12 Дашборд "Incidents Dashboard"
6. Оповещения

В продукте, конечно же, присутствует возможность гранулированного создания отчетов, но мы посмотрим немного более интересный функционал:
  • Отсылка оповещений в telegram: создаем "Alarm" в котором указываем имя, критичность, триггер запуска (в нашем примере это срабатывание одного из созданных правил корреляции), выполнение удаленных команд – и указываем ссылку для отправки информации в наш telegram канал (рис. 13)
Рис.13 "Alarm" оповещение в telegram
  • Выполнение удаленных команд. Обычно нам мало детектировать угрозу и мы хотели бы иметь возможность автоматизировано остановить атаку, поэтому рассмотрим пример, когда у нас срабатывает правило корреляции и как результат мы отправляем на NGFW Check Point команду блокировки Destination IP адреса на определенное время: создаем "Alarm" в котором указываем имя, критичность, триггер запуска (в нашем примере это срабатывание одного из созданных правил корреляции), выполнение удаленных команд – и указываем выполнение команды на NGFW (рис. 14)
Рис.14 "Alarm" отправка команды на NGFW
7. Работа с инцидентами

После того, как мы получили события с источников, выявили инцидент, получили оповещение, нам нужно назначить сотруднику новый инцидент, по которому он будет вести работу и в завершение закроет данный инцидент. McAfee может как интегрироваться со сторонними системами обработки тикетов, так и имеет встроенную систему создания кейсов по работе с инцидентами и их отслеживание. В самом начале мы отметили возможность создать тикет вручную из события в дашборде, но также можно настроить автоматизированное создание кейсов согласно нужным критериям. Это происходит через создание "Alarm", но в действие указываем "Create Case" и указываем кому из сотрудников назначать данные кейсы и какую информацию добавить в описание кейса (рис. 15).
Рис.15 "Alarm" создание кейсов
Отслеживать, в каком статусе и кому назначены инциденты, можно из дашборда "Case Management
Summary" (рис. 16).
Рис.16 Дашборд "Case Management Summary"
8. API

У McAfee ESM есть API, которым можно воспользоваться для интеграции продукта со сторонними системы или для автоматизации каких-либо задач.

Первым шагом необходимо пройти этап аутентификации, после чего уже можно будет отправлять запросы на выполнение каких либо операций.

Попробуем залогинится через API, используя Postman:

  • Отправляем POST запрос https://mcafee_ip/rs/esm/v2/login, содержащий в теле запроса логин/пароль в кодировке base64 - {"username": "name_in_base64", "password": "password_in_base_64", "locale": "en_US"}
  • В ответе получаем JWTToken и Xsrf-Token, которые нам потребуются для отправки следующих запросов в рамках открытой сессии.
  • Проверяем, что у пользователя "Loki", под именем которого мы отправляли запрос, открыта сессия (рис. 17)
Рис.17 Проверка API
9. Заключение

Посмотрев на работу McAfee SIEM можно отметить, что система интересна большим количеством
контента доступным «из коробки», дружелюбностью интерфейса и простотой настройки базового
функционала:
  • Большое количество различных интерактивных дашбордов
  • Большое количество конекторов для стандартных систем с простой процедурой их включения
  • Графический интерфейс настройки правил корреляции
  • Возможности выполнения удаленных команд по различным критериям
  • Встроенная система ведения тикетов
Система отлично впишется в любую инфраструктуру. А если вы уже задумались о необходимости выявлений инцидентов информационной безопасности, но не имеете большого опыта работы с системами класса SIEM, этот продукт станет отличным решением: вы увидите пользу от внедренения McAfee Enterprise Security Manager в самое короткое время.
ОСТАЛИСЬ ВОПРОСЫ?
*Пожалуйста не указывайте личные почтовые адреса (@mail, @yandex, @gmail и т.д.), так как они не пройдут модерацию
Читайте также: