Описание
Полнофункциональная версия системы RuSIEM предназначена для сбора и анализа информации, а также обнаружения атак и различных аномалий в организации, проведения глубокого анализа и проактивного поиска угроз и быстрого реагирования на инциденты и их дальнейшего расследования. Система способна обнаруживать угрозу, когда обычные средства обнаружения по отдельности ее не видят, но ее можно обнаружить при детальном анализе и корреляции информации из различных источников
Полная версия системы предоставляет следующие функциональные возможности
- сбор с собственным агентом и пассивный прием событий
- нормализация событий с длительным хранением и быстрым поиском
- обогащение события метаинформацией, описывающей, о чем идет речь, в удобном для пользователя формате
- поиск событий без знания типов и состава событий на основе их симптомов
- приоритизация событий с помощью весов симптомов, включая суммарные веса
- корреляция по последовательным событиям (счетчик)
- корреляция, активируемая на основе различных типов событий
- агрегирование весов по объектной модели для обнаружения угроз без использования сигнатур
- ip, fqdn, md5/sha1 файл, url, проверка электронной почты с использованием угрозы IoC и уязвимостей
- встроенное управление инцидентами для реагирования на угрозы и их захвата
- автоматическое обновление продукта, правила корреляции, симптомов, IoC и уязвимостей;
- модель системного доступа на основе ролей
Архитектура RuSIEM
Система состоит из набора микросервисов, выполняющих специфические задачи
- RuSIEM Agent — отвечает за сбор событий из систем Windows, SQL-серверов и файловых журналов
- lsinput — отвечает за получение событий из различных источников (Syslog, NetFlow, RuSIEM Agent). Isinput получает события, ставит их в очередь и отправляет дальше по цепочке
- Frs_server — отвечает за нормализацию событий (разделение событий на поля на основе встроенных правил (по таксономии))
- Lsfilter (фильтр) — отвечает за симптоматическую функциональность (обогащение событий полезной информацией — добавление описания и критичности событий)
- lselastic — отвечает за запись событий в elasticsearch для дальнейшей работы с событиями (поиск, просмотр, анализ, отчеты, ретроспективный анализ)
- Lsfilter (корреляция) — отвечает за корреляцию событий по инцидентам, генерируемым системой в процессе работы (доступно в коммерческой версии)
- RuSIEM Analytics — отвечает за поиск аномалий (доступно в коммерческой версии, отдельная лицензия)
RuSIEM Analytics
Подсистема предоставляет функционал поведенческого анализа, осуществляющий сбор количественной статистики по значениям различных полей событий и генерацию инцидентов при обнаружении отклонений от собранной статистики
Поведенческий анализ предназначен для выявления на ранних стадиях инцидентов информационной безопасности, связанных с аномалиями в поведении пользователей или сущностей.
Модуль расширенной аналитики обеспечивает решение следующих сценариев
- превышение пороговых значений по параметру за час
- отклонение от поведения за прошедшие сутки
- превышение пороговых значений по параметру за сутки
- отклонение от поведения за аналогичный час прошедших суток
- отклонение от поведения за аналогичный час с привязкой к аналогичному дню недели за диапазон обучения
Модуль поведенческого анализа основан на машинном обучении и позволяет выдавать предположения об ожидаемом поведении сущностей и пользователей, основываясь на ранее собранных данных. В случае выявления отклонений от ожидаемого поведения модуль информирует о выявлении данной аномалии.
Поведенческий анализ использует события реального времени, не выполняя запросы в подсистеме хранения данных, благодаря чему снижается нагрузка на систему хранения. Дополнительно модуль поведенческого анализа позволяет отслеживать аутентификацию пользователей и предоставляет возможность генерации инцидентов при входе любого пользователя в любую систему-источник с 1Р-адреса, вход с которого ранее не осуществлялся данным пользователем, либо на хост, вход на который ранее не осуществлялся данным пользователем.
Функция поведенческого анализа также предоставляет возможность создания пользовательских сценариев входа и выхода.
RuSIEM Monitoring
Подсистема предоставляет функционал для отслеживания состояния объектов ИТ-инфраструктуры и выявления нарушений, связанных с изменением их статуса
Непрерывность — одно из основных требований бизнеса по отношению к ИТ и ИБ вне зависимости от масштабов и сферы деятельности организации. Киберустойчивость организации определяется как бесперебойным функционированием оборудования и информационных систем, так и защищенностью от хакерских атак. RuSIEM Monitoring:
- для ИТ — контроль состояния компонентов всей вычислительной инфраструктуры в реальном времени;
- для ИБ — выявление аномалий в функционировании оборудования и информационных систем, указывающих на вероятные действия внешних и внутренних злоумышленников.
Задачи
- мониторинг и устранение неполадок узлов ИТ-инфраструктуры, включая серверы, сетевое оборудование и рабочие станции
- мониторинг приложений, работающих в режиме реального времени для обеспечения бесперебойной работы
- мониторинг информационных систем и бизнес-критичных серверов
- улучшение процесса управления ИТ-инфраструктурой за счет упрощения выявления узких мест, пропускной способности и других потенциальных проблемных точек в сетевой среде
- удаленный и защищенный доступ к управлению ИТ-инфраструктурой и, как результат, снижение затрат
- простое и удобное администрирование рабочих станций пользователей и серверов, включая удаленные, что стало очень актуальным в нынешнее время
Преимущества
- мониторинг не требует установки агентов на сервера
- запуск системы в работу осуществляется за 10 минут: подключение к серверам и сетевому оборудованию в один клик
- удаленная поддержка: наличие внутренней системы HelpDesk с доменной авторизацией и подключение к пользователю в один клик из тикета
- одно решение для направлений ИТ и ИБ
- эффективно работает как самостоятельно, так и в связке с SIEM
RuSIEM IoC
Подсистема обеспечивает функционал для обнаружения попыток захвата корпоративных устройств хакерами
Подключить сервер, ПК или смартфон к зараженным узлам собственной сети, чтобы развивать атаку — любимая тактика злоумышленников. Понимайте намерения хакеров до того, как захват ими конкретных устройств приведет к ощутимым ИБ-последствиям. RuSIEM IoC укажет на возможность развития подобных инцидентов. Модуль подгружает в SIEM данные об IP-адресах, доменах, URL, хэшах вредоносного ПО. Как только система фиксирует в сетевом потоке или хостовой активности обращение к ресурсам из базы, она сообщает об этом оператору, указывая на то, какой именно элемент ИТ-инфраструктуры скомпрометирован и требует «лечения».
Преимущества
- анализирует данные из более чем 260 открытых источников
- сбор индикаторов происходит из социальных сетей (Telegram, Twitter), репозиториев Github,
- а также данных публичных TI-отчетов
- на текущий момент система насчитывает более 250 тысяч уникальных индикаторов в сутки, при этом 30 тысяч из которых имеют наивысший уровень опасности
- интеллектуальная нормализация, очистка, обогащение индикаторов
- определение степени опасности каждого индикатора на базе уникальной математической модели ранжирования
Какие угрозы можно выявлять с помощью использования IoC
- загрузка вредоносных файлов с зараженных ресурсов сети Интернет
- автоматические запросы с компьютеров к инфраструктуре злоумышленников
- обращение компонентов клиентской инфраструктуры на вредоносные узлы
- запросы и обращения с инфраструктуры злоумышленников либо зараженных узлов
- идентификация конкретного ВПО либо хакерской группировки
Как это работает
- автоматическая настройка без отвлечения ресурса ИБ-команды
- обновление раз в сутки для актуального статуса базы данных
- минимум ложных срабатываний за счет сроков истечения (TTL) для записей в списках индикаторов компрометации
- совместимость с индикаторами других поставщиков
- поддержка кастомных правил корреляции наряду с предустановленными
- работа с индикаторами регуляторов, например, ФинЦЕРТ