Система централизованного управления событиями безопасности – KOMRAD Enterprise SIEM

Вигель Антонов

Операционная деятельность компании, связанная с непосредственным функционированием цифровых сервисов и приложений, выполнением бизнес-процессов, а также поддержкой и администрированием ИТ-инфраструктуры является критически важной в части информационной безопасности и защиты данных. Тут могут реализовываться риски возможных кибератак, деструктивных воздействий и потенциальных утечек данных, возникают сбои в функционировании, проявляются ошибочные действия сотрудников и администраторов, а также происходят различные несанкционированные действия и нежелательные события.

Контроль на данном этапе является одной из первоочередных задач обеспечения информационной безопасности и защиты данных.

Функционирование ИТ-инфраструктуры предприятия осуществляется непрерывно и постоянно, порождая поток разнообразных действий и событий большой интенсивности и объема. Отсюда возникает проблема, связанная с оперативным, достоверным и полным выделением событий, значимых с точки зрения обеспечения информационной безопасности и связанных с факторами возможной компрометации ИТ-инфраструктуры.

Обеспечение требуемого уровня безопасности предполагает не только оперативное обнаружение события, потенциально связанного с киберугрозами, но и с передачей всей необходимой информации в смежные системы для своевременного инициирования процессов обработки инцидентов ИБ. Формируется двуединая задача оперативного обнаружения обработки событий, связанных с возможными нарушениями информационной безопасности для сбора и накопления данных.

Развитие средств и инструментов ИБ привело к выделению класса программных продуктов, специализирующихся в данной проблемной области и ее характерных задачах – Security Information and Event Management (SIEM). Современные SIEM платформы стали одним из базовых инструментов, позволяющих контролировать всю информационную инфраструктуру в автоматическом режиме, постоянно обнаруживая возникновение предпосылок к нарушениям и инициирующих процессы их блокирования до реализации нежелательных воздействий на бизнес-процессы и цифровые сервисы.

Современные средства SIEM позволяют получать всю необходимую ситуационную картину состояния, а также формировать централизованное хранилище данных ИБ для отчетных и аналитических задач (в том числе для обеспечения соответствия требованиям регуляторов).

Для SIEM характерны такие функциональные возможности, как:

• журналирование событий, сбор, фильтрация и агрегирование событий из различных источников, потенциально связанных с нарушениями ИБ, ошибочными, нежелательными и деструктивными действиями;
• корреляция событий, анализ потока нормализованных событий, выявление связей и зависимостей для обнаружения статистически значимых последовательностей действий, характерных для реализуемых кибератак и деструктивных воздействий;
• управление событиями, маршрутизация событий в смежные системы, оповещения, регистрация инцидентов, а также организация долговременного хранения событий, формирование отчетов и данных для аудита.

Системы управления событиями и инцидентами безопасности SIEM широко представлены рядом продуктов корпоративного уровня западных вендоров:

• IBM Qradar SIEM;
• SolarWinds Security Event Manager;
• Micro Focus ArcSight Enterprise Security Manager;
• Fortinet FortiSIEM;
• Splunk Enterprise Security;
• LogRhythm SIEM;
• Microsoft Sentinel;
• Exabeam SIEM;
• Datadog Cloud SIEM;
• Securonix Unified Defense SIEM.

Альтернативой, направленной на обеспечение технологической независимости в условиях сложившихся ограничений на возможность использования зарубежного ПО, может быть использование системы централизованного управления событиями безопасности – KOMRAD Enterprise SIEM.

Система KOMRAD Enterprise SIEM позволяет осуществлять централизованный сбор событий ИБ, выявлять инциденты и осуществлять соответствующее оперативное реагирование. Система позволяет выполнять требования, предъявляемые регуляторами к защите персональных данных, обеспечению безопасности государственных информационных систем и контролю критической информационной инфраструктуры предприятия.

KOMRAD Enterprise SIEM характеризуется:

• поддержкой использования разнообразных источников событий, сбором событий по протоколам Syslog, SNMP, SQL, FTP, WMI, SFTP, SSH, xFlow, HTTP;
• возможностью управления инцидентами ИБ, включая уведомления, реакции, расследование, интеграции с другими системами ИБ;
• совместимостью с решениями российских производителей, включая Ideco, Dr.Web, Континент, Kaspersky, StaffCop, UserGate, VipNet, SearchInform, Dallas Lock и др.;
• наличием визуального конструктора правил фильтрации и корреляции событий;
• возможностью автоматической нормализации событий в форматах CEF, RFC 5424, RFC 3164, EVTX;
• комплектом пакета экспертиз, включая предустановленные правила корреляции и экспертный центр с актуальной базой знаний.

Система KOMRAD Enterprise SIEM позволят выполнять основные ИБ-мероприятия:

• сбор, запись и хранение информации о событиях ИБ;
• обнаружение, идентификация и регистрация инцидентов ИБ;
• информирование об инцидентах и реагирование;
• хранение событий в течение необходимого срока;
• управление активами (объектами) ИТ-инфраструктуры;
• просмотр и анализ информации о действиях пользователей;
• передача инцидентов в систему ГосСОПКА.

Система реализует все необходимые функции, требуемые для программного обеспечения класса Security Information and Event Management на уровне возможных аналогов и ведущих платформ SIEM.

Направление журналирования и управления в системе KOMRAD Enterprise SIEM включает:

• высокопроизводительный сбор событий ИБ в инфраструктуре корпоративного уровня;
• нормализация, приведение событий к стандартной внутренней структуре и форматам представления;
• автоматическая индексация событий;
• визуальный конструктор правил фильтрации событий;
• возможность разработки пользовательских правил фильтрации событий на языке Lua

В части менеджмента инцидентов система KOMRAD Enterprise SIEM предоставляет:

• визуальный конструктор директив корреляции;
• агрегацию инцидентов ИБ;
• уведомление о факте регистрации инцидента в интерфейсе пользователя или по электронной почте;
• выполнение пользовательских сценариев реагирования (Python, Bash) на инциденты;
• история генерации инцидента, отображение последовательности действий коррелятора и дополнительной информации для расследования и анализа инцидента;
• назначение ответственного.

Средства аналитики и визуализации в KOMRAD Enterprise SIEM обеспечивают:

• отображение данных событий в виде графиков и диаграмм;
• создание информационных дашбордов для управления активами;
• формирование отчетов.

Интерфейс системы KOMRAD Enterprise SIEM. Статистика по инцидентам

KOMRAD Enterprise SIEM предусматривает два типа масштабирования:

• при горизонтальном масштабировании установка компонентов происходит на отдельные серверы, включая коллектор (сбор, фильтрация и нормализация событий), процессор (обработка и регистрация событий), хранилище (хранение событий), коррелятор (корреляция событий) и главный узел (управления системой);
• вертикальное масштабирование предусматривает организацию передачи инцидентов из системы KOMRAD нижнего уровня в KOMRAD верхнего уровня.

Система KOMRAD Enterprise SIEM генерации 4 представляет из себя принципиально новое поколение продукта, базирующееся на вновь разработанном программном коде. Он переработан применительно к функциям SIEM архитектуры и обновленном технологическом стеке.

Переход на СУБД ClickHouse в качестве хранилища событий, и брокер сообщений NATS в качестве высокопроизводительной шины данных позволили разработать архитектуру обновленной системы KOMRAD Enterprise SIEM, реализующую высокопроизводительную и надежную обработку событий с большой интенсивностью потока в реальном времени, а также оптимизировать хранение событий и выполнение аналитических запросов.

В актуальном релизе продукта:

• включены пакты экспертиз для Cyber Protego, Secret Net Studio, Staffcop Enterprise, Microsoft-Windows-SysmonEvent, Continent4, KSC, Microsoft Exchange Server 2010, Linux Auditd, UserGate, RedCheck. Ideco UTM, СКДПУ НТ, Dallas Lock, Dr.Web EnterpriseSecurity Suite, Continent TLS (2024), S-Terra IDS (2024);
• переработаны модули фильтрации, корреляции и реакции;
• внедрена Elastic Common Schema (спецификация с открытым исходным кодом для описания событий);
• реализована поддержка работы с форматом JSON;
• реализованы плагины Suricate, GROK, DNS, Deny, Auditd;
• реализована поддержка «горячего» и «холодного» уровней хранения событий;
• реализована агрегация событий по ключам, предагрегация и постагрегация;
• реализована имитация Elasticsearch (для Logstash, Filebeat, Fluentd, Vector, Heartbeat, Winlogbeat, Metricbeat);
• реализованы каналы уведомления посредством мессенджера Telegram и брокера сообщений Apache Kafka;
• реализованы оффлайн коллекторы;
• плагин IF для выстраивания ветвления в процессе обработки событий в коллекторе.

KOMRAD Enterprise SIEM получила возможность принимать информацию о событиях ядра и сетевом взаимодействии благодаря внедрению eBPF коллектора, который создает события ИБ используя технологию eBPF, позволяющую запускать сторонний код в пространстве ядра. Коллектор eBPF основан на продукте с открытой лицензией Tracee, позволяющем регистрировать и фильтровать множество событий (системные вызовы, передачу пакетов и пр.).

Появилась возможность использовать двухфакторную аутентификацию на основе решения Multifactor в дополнение к собственным возможностям безопасности таким как журналы, уведомления, сертификаты, белые списки. Multifactor – это система двухфакторной аутентификации и контроля доступа для любого удаленного подключения RDP, VPN, VDI, SSH и др.

В последних релизах системы KOMRAD Enterprise SIEM появляется возможность установки иерархической структуры с несколькими подчиненными экземплярами развертывания системы. Иерархическое построение позволяет не только отправлять события от одного экземпляра развертывания к другому, но также отправлять инциденты, которые наследуют изменения статуса. Если статус инцидента изменяется, происходит синхронизация между системами.

Иерархическая структура позволяет реализовать не только связь между главным и подчиненным экземплярами развертывания KOMRAD, но и поддерживать несколько центральных и подчиненных систем. Настройка иерархии в настоящее время выполняется через конфигурационные файлы.

Функция агрегации является важной составляющей процесса корреляции событий. Новые возможности агрегации в системе KOMRAD Enterprise SIEM включают в себя настройку агрегации по ключам. Теперь инциденты группируются не только по временному окну и числу событий на фильтре, но также имеют более гибкие возможности группировки. Например, можно работать с массивом данных, которые часто встречаются в полях, связанных с IP-адресами. Для использования этой агрегации применяется простой язык написания правил.

Преагрегация включена в коррелятор и работает следующим образом: когда количество инцидентов в секунду превышает определенный порог, все инциденты сверх этого порога объединяются в один, и затем регистрируется только этот объединенный инцидент. Постагрегация инцидентов происходит во время регистрации инцидентов. Агрегирующий инцидент будет содержать все ключи событий и активов, составляющих инциденты. Дата начала будет равна минимальной дате начала из составляющих инцидентов, а дата выявления инцидента – максимальной дате выявления инцидента.

Визуализация в системе KOMRAD Enterprise SIEM является одной из важнейших функций, которая обеспечивает удобство работы с ней. Она позволяет редактировать существующие виджеты, добавлять новые и создавать свои собственные дашборды. Процесс создания, изменения и удаления виджетов осуществляется непосредственно в конфигурационной базе данных. В рамках расширенной технической поддержки предоставляется возможность получения необходимых виджетов.

Уведомления в KOMRAD Enterprise SIEM получили возможность использования транспорта webhook, что позволяет отправлять их в любую систему обмена сообщениями, включая Telegram. Добавлена возможность использования брокера сообщений Apache Kafka для интеграции и обмена сообщениями с другими системами ИБ.

Технологический стек ELK (Elasticsearch, Logstash, Kibana) является стандартом «де факто» в области мониторинга, сбора и обработки событий и широко используется в современных ИТ-инфраструктурах. Для обеспечения совместимости c поставщиками данных, поддерживающими этот стек в систему KOMRAD добавлена его имитация. Это дает возможность прямой отправки событий из таких источников как Vector, Winlogbeat, Heartbeat, Fluentd, Logstash, Filebeat, Metricbeat, обеспечивая их прямую интеграцию с KOMRAD Enterprise SIEM.

Офлайн-коллекторы позволяют контролировать автономные и изолированные сегменты ИТ-инфраструктуры. Они дают возможность коллектору функционировать без связи с транспортной шиной KOMRAD. События будут записываться в локальный файл, который потом можно будет загрузить в центральный узел системы. Офлайн-режим поддерживается для WMI и Syslog коллекторов.

Плагин IF («если») предоставляет возможность создания логических цепочек или деревьев решений для нормализации последовательности событий. Предоставляется возможность определения, как именно события должны быть нормализованы, а также указания, что они должны подпадать под несколько плагинов по условию.

Схема событий 2.0 вводит автоматическую индексацию событий. Ранее, при использовании фильтров, события, соответствующие этим фильтрам, сохранялись отдельно, и для обновления данных по фильтру требовалась предварительная индексация. Теперь в KOMRAD Enterprise SIEM подобная индексация больше не требуется благодаря новой схеме обработки событий.

Для хранения событий с возможностью быстрого доступа к ним используется собственная сборка пакета СУБД ClickHouse, включаемая в состав общего дистрибутива KOMRAD SIEM. На основе возможностей этой СУБД реализован механизм «горячего» и «холодного» хранения данных (хранение данных в таблице на различных типах дисковых ресурсов посредством механизма TTL Time to Live).

СУБД PostgreSQL используется для хранения обнаруженных, идентифицированных и зарегистрированных инцидентов и директив (правил) корреляции, а также для хранения настроек конфигурации коллекторов, плагинов, рассылок, конфигурации виджетов, ГосСОПКА, push-уведомлений, для хранения данных системы авторизации и для хранения данных об активах ИТ-инфраструктуры, обнаруживаемых при ее сканировании.

KOMRAD Enterprise SIEM состоит из нескольких программных компонентов, что позволяет обеспечить внедрение и масштабирование системы в организациях любого размера. В зависимости от сложности ИТ-инфраструктуры, могут использоваться следующие конфигурации развертывания:

• все компоненты на одном узле (тип лицензии BASE, All-in-One, Enterprise);
• СУБД на одном узле, остальные компоненты на другом (тип лицензии Enterprise);
• распределенная установка (тип лицензии Enterprise);

Для упрощенного варианта распределенной установки, достаточно разнести коллекторы komrad-processor, komrad-bus, а также СУБД ClickHouse и PostgreSQL на отдельные узлы, а остальные компоненты разместить на одном узле.

Схема референсной архитектуры системы KOMRAD Enterprise SIEM для варианта распределенной установки

Система KOMRAD Enterprise SIEM включает в себя подсистемы, которые разворачиваются на серверной части продукта, базы данных и службы сбора событий, устанавливаемые на некоторых типах источников событий (узлы под управлением операционной системы Windows).

В зависимости от типа лицензии, компоненты могут размещаться как на одном сервере, так и на нескольких, что позволяет внедрять KOMRAD Enterprise SIEM в территориально-распределенных организациях с возможностью централизованного управления и автономной работы подразделений при работе с инцидентами.

Продукты НПО «Эшелон» доступны в Merlion. На виртуальном полигоне дистрибьютора развернут демостенд с KOMRAD Enterprise SIEM – познакомиться с продуктом можно на демонстрации.