Приветствуем всех читателей в пятой статье курса «MaxPatrol SIEM Getting Started». В прошлой статье мы обсудили технологии web-интерфейса и разобрали его основные возможности. А в этом материале мы с вами изучим работу с событиями и активами в MaxPatrol SIEM.
Статические и динамические группы
В MaxPatrol SIEM используется иерархическая структура групп активов, в которой предусмотрены следующие типы групп:
системные группы;
пользовательские группы: динамические или статические.
Для эффективной систематизации активов рекомендуем использовать сочетание статических и динамических групп.
Статические группы
Формируют логическую структуру. Группы создаются таким образом, чтобы объединять активы на основе обобщающего признака, например, по территориальному признаку или используемой ОС. Статические группы наполняет активами оператор: вручную или с использованием динамических групп.
Динамические группы
Служат для поиска активов на основе имеющихся в MaxPatrol SIEM сведений: например, на основе типа узла, IP-адреса, DNS-имени, открытых портов, ОС, состава ПО.
Поиск выполняется на основе фильтров, задаваемых оператором при создании группы. Например: можно создать статическую группу «ОС» в состав которой будут входить динамические группы (каждая из которых будет отдельно осуществлять поиск активов под управлением Windows, Unix или macOS).
Создадим статическую группу Example. Группа будет располагаться в корне иерархии:
В корне иерархии создадим динамическую группуWindows (3389)на основе созданного выражения PDQL.
В данную группу попадут все активы, удовлетворяющие фильтру:
Группировку активов рекомендуется использовать для решения следующих задач процесса управления активами:
систематизация сведений об активах;
присвоение значимости активам;
автоматизация поиска и аудита активов;
мониторинг состояния активов
Стандартные запросы
В MaxPatrol SIEM можно фильтровать активы с помощью запросов на языке PDQL.
В системе предусмотрены готовые запросы для фильтрации активов. Эти запросы расположены в папках, вложенных в стандартную папку «Стандартные запросы».
Пользовательские запросы
Для решения рабочих задач вы можете создавать свои пользовательские запросы и папки и помещать их в стандартную папку «Пользовательские запросы».
К пользовательским запросам и папкам не имеет доступа никто, кроме их создателя.
Кроме того: вы можете создавать в стандартной папке «Общие запросы» вложенные папки (или перемещать туда пользовательские папки) и запросы, к которым будут иметь доступ все пользователи системы.
Создадим пользовательский запрос по поиску узлов, у которых не было аудита:
Добавим фильтр «not Host.@AuditTime» и отсортируем по следующим полям:
узел;
ОС;
дата и время создания актива и последнего обновления актива
В итоге были найдены следующие активы:
Таким образом, можно создавать любые необходимые запросы и фильтровать активы.
Карточки активов
При работе на вкладке «активы» в правой части экрана расположены карточки активов. Карточка актива содержит полную информацию об активе.
Перейти в карточку можно из таблицы активов, щелкнув по названию актива:
В карточке актива содержится следующая информация:
краткая сводка об активе;
полная конфигурация;
требования к метрикам cvss;
история изменений;
уязвимости (только при наличии лицензии на MaxPatrol VM)
В карточке актива типа «сетевой узел» отображается краткая информация об аппаратном и программном обеспечении актива и сетевая конфигурация на вкладке «Сводка»:
На вкладке «Уязвимости» есть возможность посмотреть уязвимости, связанные с выбранным активом:
Вкладка «Конфигурация» содержит подробную информацию об аппаратном и программном обеспечении актива:
На вкладке «Метрики CVSS» отображаются контекстные метрики CVSS.
Можно устанавливать и изменять значения для метрик, в том числе при настройке группы, в которую входит актив:
Также есть в карточке актива есть возможность построения фильтров PDQL и динамических групп исходя из параметров актива:
Сбор данных
Сбор данных в MaxPatrol SIEM выполняется компонентом MP 10 Agent. Как упоминалось в первой статье: в зависимости от используемых модулей агент может выполнять различные задачи по сбору данных.
Модули можно разделить по типам собираемых данных на следующие группы:
модули аудита: предназначены для поиска активов и сбора информации о них;
пассивного сбора событий: предназначены для приема событий, отправляемых источниками;
мониторинга: предназначены для сбора событий сразу после регистрации их на источниках;
модули для периодического сбора событий сохраненных на источниках
Для настройки модуля и указания особенностей сбора событий с источника или сбора информации об активе: для модулей создаются шаблоны настройки (профили). Для доступа к источнику или активу в параметрах профиля можно выбрать учетную запись.
Сбор данных об активе
Работа с системой начинается со сбора сведений об активах. Это позволяет получить представление об информационной инфраструктуре предприятия.
В MaxPatrol SIEM создается задача на сбор данных, указывается цель сканирования и профиль сканирования.
Создадим задачу по обнаружению узлов в сети.
Для этого на вкладке «Сбор данных"→ «Задачи» создаем задачу «Who is there?». Целью сканирования указываем локальную сеть (например, 10.0.1.0/24), профиль: «Inventory Profile».
Далее нажимаем кнопку «Сохранить и запустить»:
В процессе выполнения задачи в меню можно увидеть ее статус:
По мере выполнения задачи на вкладке «Активы» → «Конфигурация» в системной группе «Unmanaged hosts» должны появляться активы.
Аналогичным способом создадим задачу «Where Windows?».
На этот раз дополнительно зададим опцию «Выполнить обнаружение узлов до начала сбора данных» и выберем профиль обнаружения узлов «HostDiscovery»:
На вкладке «Активы» в результате работы профиля у узлов под управлением Microsoft Windows появилось название операционной системы и определились прослушиваемые порты:
Проведение аудита активов
Следующим шагом проведем аудит Windows. Для этого необходимо сначала создать учетные записи типа «логин-пароль».
На вкладке «Сбор данных» → «Учетные записи» создадим учетную запись «Windows Auditor», отметим метки SMB/ Windows audit/ Windows logs, укажем логин «Administrator», пароль «P@ssw0rd».
Далее создадим и запустим задачу «Windows Audit».
В качестве целей сканирования укажем группу активов Windows, полученную ранее:
Этапы обработки событий
В MaxPatrol SIEM, помимо задач для обнаружения узлов и аудита активов, создаются задачи для сбора событий с источников.
Система собирает события журналирования и привязывает их к активам, на которых они обнаружены. На основе собранных событий система обнаруживает события, связанные с рисками информационной безопасности, и регистрирует инциденты.
MaxPatrol SIEM обеспечивает:
сбор событий произошедших на активах;
фильтрацию событий;
создание инцидентов по событиям, связанным с информационной безопасностью;
различное представление данных о событиях;
привязку событий к инцидентам
Существуют следующие этапы обработки событий:
Сбор событий с источников компонентом Collector;
Нормализация события:
процедура приведения необработанного события к нормализованному виду в соответствии с заранее заданным для источника и типа события правилом нормализации;
Агрегация событий:
это процесс отбора таких событий (в потоке нормализованных и корреляционных) которые удовлетворяют условию заранее настроенного правила агрегации и объединения их в одно агрегированное событие;
Обогащение событий:
заполнение полей нормализованных, агрегированных и корреляционных событий согласно правилам обогащения;
Корреляция событий:
это процесс обнаружения событий информационной безопасности путем анализа потока нормализованных событий
Поддерживаемые и неподдерживаемые источники
В MaxPatrol SIEM есть три вида источников событий:
источники, которые поддерживаются из коробки (на основные типы событий существуют правила нормализации в базовом пакете экспертизы SIEM);
источники с частичной поддержкой (правила нормализации не для всех типов событий);
полностью неподдерживаемые источники.
Существует три варианта, осуществляемых при необходимости завести в SIEM неподдерживаемый источник:
Самостоятельно написать правила нормализации, но это требует больших трудозатрат у инженера сопровождения
В рамках базовой техподдержки: создание запроса в Positive Technologies на написание правила нормализации бесплатно, но это может занять достаточное время
Сделать запрос партнеру/интегратору на написание правила нормализации за дополнительную плату
Сбор мониторинговой информации
Сейчас мы посмотрим, как собирать мониторинговую информацию с Windows и Linux систем и как собирать события из системных журналов Windows. А также рассмотрим, как собрать информацию с журналов Linux через SSH соединение.
Сбор мониторинговой информации с Windows Создадим задачу «RAM Monitoring (Windows)» с профилем «Monitoring Windows RAM Load» и учетной записью «Windows Auditor». Сохраним и запустим задачу.
Задача все время будет в статусе «running»:
Сбор событий из системных журналов Windows Создадим задачу по сбору событий с Windows Get Windows Event Logs с профилем WinEventLog и учетной записью Windows Auditor. Сохраним и запустим задачу. Задача все времябудет в статусе «running», т.к. по мере необходимости она будет подгружать новые события.
Сбор мониторинговой информации с Linux Создадим задачу «RAM Monitoring (Linux)» с профилем «Monitoring Linux RAM Load» и учетной записью «Linux Auditor»:
Сбор информации с журналов Linux через SSH соединение. Создадим задачу для мониторинга журнала аутентификации Linux, используя модуль «ssheventcollector».
Создадим задачу «auth.log from Linux» для сбора событий из файла («Embeded Linux Agent») и настроим как показано ниже:
Группировка событий
По умолчанию на странице «События» в таблице отображаются все события, созданные MaxPatrol SIEM за последний час и связанные с активами из групп.
Для удобства анализа и для выпуска отчетов вы можете фильтровать события с помощью стандартных и пользовательских фильтров.
Вы можете отобразить события:
произошедшие в выбранный период;
связанные с выбранной группой активов;
отвечающие условиям стандартных или пользовательских фильтров;
отвечающие условиям запроса на языке PDQL;
хранящиеся на других площадках
Создание собственных фильтров событий с помощью встроенного языка PDQL:
На вкладке «События/Просмотр» событий найдем системный фильтр «Использование памяти»:
2. Установим чекбокс «Обновлять каждые 5 минут»: события будут подгружаться автоматически:
3. Создадим PDQL запрос, чтобы увидеть события, сигнализирующие о том, что средняя загруженность RAM превышает 33%.
Для этого в правой части экрана найдем поле «object.value» и щелкнем по числовому значению:
4. Здесь при помощи щелчка по одному из двух предопределенных фильтров можно автоматически добавить к текущему фильтру PDQL новое условие.
Щелкнув по выражению на PDQL, вы увидите запрос, разделенный на поля.
В поле Where найдем добавленное условие и отредактируем его: вместо object.value = «25» напишем object.value match «<33−100>»:
5. Завершая редактирование, нажмем кнопки «Добавить» и «Выполнить».
Группировка и сортировка отфильтрованных результатов
Рассмотрим группировку событий с помощью выражений PDQL при помощи оператора Group By.
Установим группировку по полю «action»:
Сбросим все фильтры (кнопка «Сбросить фильтр» справа сверху). Установим временной период «текущий год» и кликнем по системному фильтру All Events:
2. В поле «Group By» установим группировку по полю action и нажмем кнопку «Применить».
События будут сгруппированы по полю «action». Вы увидите: сколько событий с тем или иным значением поля «action» в указанном промежутке времени соответствовало выбранному фильтру, и сможете просматривать эти события:
3. Группировки могут быть многоуровневыми (до десяти уровней).
Попробуем повторно войти в редактор PDQL и сделать вторую группировку по полю «subject.name».
Построение виджетов
На главной странице MaxPatrol SIEM на дашбордах можно создавать, изменять, перемещать или удалять виджеты.
Виджеты можно создавать:
по активам;
по событиям;
по инцидентам;
по проверкам.
Создадим виджет по сгруппированным выше событиям:
Вернемся к фильтру (msgid = «RAM_free_space») AND (object.value match «<33−100>»).
Сузим диапазон до 60%-100% и сгруппируем события из этой выборки по полю «event_src.host»
2. Сохраним фильтр. Для построения виджета, нам нужно составить из собранных данных таблицу. Для этого предназначены агрегирующие функции.
Нажмем на значок суммы. Из выпадающего меню выберем пункт «Count», нажмем кнопки «Добавить» и «Выполнить»:
Мы получим таблицу, которую теперь можно визуализировать. В таблице показано, с какого узла сколько приходило сообщений о том, что утилизация памяти превышает 60%.
Нажмем кнопку «Визуализация» и дадим фильтру название:
Данные можно отобразить несколькими разными способами: столбчатая диаграмма, круговая. Обратите внимание, что столбцы «кликабельны». При щелчке открывается соседняя вкладка с событиями, сформировавшими данный столбец.
2. Нажмем кнопку «В библиотеку виджетов» и дадим название виджету.
Отредактируем «Фильтр» и включим параметр «OVER time» в агрегирующей функции. Частоту дискретизации выберем 5 минут.
Если при применении фильтра вы получаете сообщение о переполнении, уменьшите частоту дискретизации или сузьте временной интервал:
3. Теперь при визуализации становятся доступны виджеты в форме столбчатой диаграммы или графика:
В приведенном примере видно, что от двух узлов (желтого и фиолетового) перестали поступать сообщения о перерасходе памяти.
Возможно они были выключены.
4. Сохраним диаграмму в библиотеку виджетов. Далее перейдем на панель с виджетами и сделаем свою панель:
5. Выберем подходящую сетку виджетов и на получившейся панели разместим два сохраненных в библиотеку виджета:
6. Расположим свою панель на первое место. Теперь наш widget будет открываться при входе в систему:
Заключение
На этом пятая статья курса подошла к концу. Мы провели большую работу и узнали, как проводить работу с событиями и активами. В следующем материале мы рассмотрим правила нормализации.
Оставайтесь с нами!
Пройти сертификацию
Пройдите тест по содержанию данного курса (рекомендуется после полного прохождения) и получите сертификат, подтверждающий полученные знания.