22 декабря 2023

MaxPatrol SIEM Getting Started

Статья 5 Работа с событиями и активами
Приветствуем всех читателей в пятой статье курса «MaxPatrol SIEM Getting Started».
В прошлой статье мы обсудили технологии web-интерфейса и разобрали его основные возможности. А в этом материале мы с вами изучим работу с событиями и активами в MaxPatrol SIEM.

Статические и динамические группы

В MaxPatrol SIEM используется иерархическая структура групп активов, в которой предусмотрены следующие типы групп:
  • системные группы;
  • пользовательские группы: динамические или статические.

Для эффективной систематизации активов рекомендуем использовать сочетание статических и динамических групп.
  • Статические группы
    Формируют логическую структуру. Группы создаются таким образом, чтобы объединять активы на основе обобщающего признака, например, по территориальному признаку или используемой ОС. Статические группы наполняет активами оператор: вручную или с использованием динамических групп.
  • Динамические группы
    Служат для поиска активов на основе имеющихся в MaxPatrol SIEM сведений: например, на основе типа узла, IP-адреса, DNS-имени, открытых портов, ОС, состава ПО.
Поиск выполняется на основе фильтров, задаваемых оператором при создании группы. Например: можно создать статическую группу «ОС» в состав которой будут входить динамические группы (каждая из которых будет отдельно осуществлять поиск активов под управлением Windows, Unix или macOS).

Создадим статическую группу Example. Группа будет располагаться в корне иерархии:
В корне иерархии создадим динамическую группу Windows (3389) на основе созданного выражения PDQL.

В данную группу попадут все активы, удовлетворяющие фильтру:
Группировку активов рекомендуется использовать для решения следующих задач процесса управления активами:
  • систематизация сведений об активах;
  • присвоение значимости активам;
  • автоматизация поиска и аудита активов;
  • мониторинг состояния активов

Стандартные запросы

В MaxPatrol SIEM можно фильтровать активы с помощью запросов на языке PDQL.
В системе предусмотрены готовые запросы для фильтрации активов. Эти запросы расположены в папках, вложенных в стандартную папку «Стандартные запросы».

Пользовательские запросы

Для решения рабочих задач вы можете создавать свои пользовательские запросы и папки и помещать их в стандартную папку «Пользовательские запросы».

К пользовательским запросам и папкам не имеет доступа никто, кроме их создателя.

Кроме того: вы можете создавать в стандартной папке «Общие запросы» вложенные папки (или перемещать туда пользовательские папки) и запросы, к которым будут иметь доступ все пользователи системы.

Создадим пользовательский запрос по поиску узлов, у которых не было аудита:
Добавим фильтр «not Host.@AuditTime» и отсортируем по следующим полям:
  • узел;
  • ОС;
  • дата и время создания актива и последнего обновления актива
В итоге были найдены следующие активы:
Таким образом, можно создавать любые необходимые запросы и фильтровать активы.

Карточки активов

При работе на вкладке «активы» в правой части экрана расположены карточки активов. Карточка актива содержит полную информацию об активе.

Перейти в карточку можно из таблицы активов, щелкнув по названию актива:
В карточке актива содержится следующая информация:
  • краткая сводка об активе;
  • полная конфигурация;
  • требования к метрикам cvss;
  • история изменений;
  • уязвимости (только при наличии лицензии на MaxPatrol VM)
В карточке актива типа «сетевой узел» отображается краткая информация об аппаратном и программном обеспечении актива и сетевая конфигурация на вкладке «Сводка»:
На вкладке «Уязвимости» есть возможность посмотреть уязвимости, связанные с выбранным активом:
Вкладка «Конфигурация» содержит подробную информацию об аппаратном и программном обеспечении актива:
На вкладке «Метрики CVSS» отображаются контекстные метрики CVSS.

Можно устанавливать и изменять значения для метрик, в том числе при настройке группы, в которую входит актив:
Также есть в карточке актива есть возможность построения фильтров PDQL и динамических групп исходя из параметров актива:

Сбор данных

Сбор данных в MaxPatrol SIEM выполняется компонентом MP 10 Agent. Как упоминалось в первой статье: в зависимости от используемых модулей агент может выполнять различные задачи по сбору данных.

Модули можно разделить по типам собираемых данных на следующие группы:
  • модули аудита: предназначены для поиска активов и сбора информации о них;
  • пассивного сбора событий: предназначены для приема событий, отправляемых источниками;
  • мониторинга: предназначены для сбора событий сразу после регистрации их на источниках;
  • модули для периодического сбора событий сохраненных на источниках

Для настройки модуля и указания особенностей сбора событий с источника или сбора информации об активе: для модулей создаются шаблоны настройки (профили). Для доступа к источнику или активу в параметрах профиля можно выбрать учетную запись.

Сбор данных об активе

Работа с системой начинается со сбора сведений об активах. Это позволяет получить представление об информационной инфраструктуре предприятия.

В MaxPatrol SIEM создается задача на сбор данных, указывается цель сканирования и профиль сканирования.

Создадим задачу по обнаружению узлов в сети.

Для этого на вкладке «Сбор данных"→ «Задачи» создаем задачу «Who is there?». Целью сканирования указываем локальную сеть (например, 10.0.1.0/24), профиль: «Inventory Profile».

Далее нажимаем кнопку «Сохранить и запустить»:
В процессе выполнения задачи в меню можно увидеть ее статус:
По мере выполнения задачи на вкладке «Активы» → «Конфигурация» в системной группе «Unmanaged hosts» должны появляться активы.

Аналогичным способом создадим задачу «Where Windows?».

На этот раз дополнительно зададим опцию «Выполнить обнаружение узлов до начала сбора данных» и выберем профиль обнаружения узлов «HostDiscovery»:
На вкладке «Активы» в результате работы профиля у узлов под управлением Microsoft Windows появилось название операционной системы и определились прослушиваемые порты:

Проведение аудита активов

Следующим шагом проведем аудит Windows.
Для этого необходимо сначала создать учетные записи типа «логин-пароль».

На вкладке «Сбор данных» → «Учетные записи» создадим учетную запись «Windows Auditor», отметим метки SMB/ Windows audit/ Windows logs, укажем логин «Administrator», пароль «P@ssw0rd».

Далее создадим и запустим задачу «Windows Audit».

В качестве целей сканирования укажем группу активов Windows, полученную ранее:

Этапы обработки событий

В MaxPatrol SIEM, помимо задач для обнаружения узлов и аудита активов, создаются задачи для сбора событий с источников.

Система собирает события журналирования и привязывает их к активам, на которых они обнаружены. На основе собранных событий система обнаруживает события, связанные с рисками информационной безопасности, и регистрирует инциденты.

MaxPatrol SIEM обеспечивает:
  • сбор событий произошедших на активах;
  • фильтрацию событий;
  • создание инцидентов по событиям, связанным с информационной безопасностью;
  • различное представление данных о событиях;
  • привязку событий к инцидентам

Существуют следующие этапы обработки событий:
  • Сбор событий с источников компонентом Collector;
  • Нормализация события:
    процедура приведения необработанного события к нормализованному виду в соответствии с заранее заданным для источника и типа события правилом нормализации;
  • Агрегация событий:
    это процесс отбора таких событий (в потоке нормализованных и корреляционных) которые удовлетворяют условию заранее настроенного правила агрегации и объединения их в одно агрегированное событие;
  • Обогащение событий:
    заполнение полей нормализованных, агрегированных и корреляционных событий согласно правилам обогащения;
  • Корреляция событий:
    это процесс обнаружения событий информационной безопасности путем анализа потока нормализованных событий

Поддерживаемые и неподдерживаемые источники

В MaxPatrol SIEM есть три вида источников событий:

  • источники, которые поддерживаются из коробки (на основные типы событий существуют правила нормализации в базовом пакете экспертизы SIEM);
  • источники с частичной поддержкой (правила нормализации не для всех типов событий);
  • полностью неподдерживаемые источники.

Существует три варианта, осуществляемых при необходимости завести в SIEM неподдерживаемый источник:
  • Самостоятельно написать правила нормализации, но это требует больших трудозатрат у инженера сопровождения
  • В рамках базовой техподдержки: создание запроса в Positive Technologies на написание правила нормализации бесплатно, но это может занять достаточное время
  • Сделать запрос партнеру/интегратору на написание правила нормализации за дополнительную плату

Сбор мониторинговой информации

Сейчас мы посмотрим, как собирать мониторинговую информацию с Windows и Linux систем и как собирать события из системных журналов Windows. А также рассмотрим, как собрать информацию с журналов Linux через SSH соединение.

Сбор мониторинговой информации с Windows
Создадим задачу «RAM Monitoring (Windows)» с профилем «Monitoring Windows RAM Load» и учетной записью «Windows Auditor». Сохраним и запустим задачу.

Задача все время будет в статусе «running»:
Сбор событий из системных журналов Windows
Создадим задачу по сбору событий с Windows Get Windows Event Logs с профилем WinEventLog и учетной записью Windows Auditor. Сохраним и запустим задачу.
Задача все времябудет в статусе «running», т.к. по мере необходимости она будет подгружать новые события.
Сбор мониторинговой информации с Linux
Создадим задачу «RAM Monitoring (Linux)» с профилем «Monitoring Linux RAM Load» и учетной записью «Linux Auditor»:
Сбор информации с журналов Linux через SSH соединение.
Создадим задачу для мониторинга журнала аутентификации Linux, используя модуль «ssheventcollector».

Создадим задачу «auth.log from Linux» для сбора событий из файла («Embeded Linux Agent») и настроим как показано ниже:

Группировка событий

По умолчанию на странице «События» в таблице отображаются все события, созданные MaxPatrol SIEM за последний час и связанные с активами из групп.

Для удобства анализа и для выпуска отчетов вы можете фильтровать события с помощью стандартных и пользовательских фильтров.

Вы можете отобразить события:
  • произошедшие в выбранный период;
  • связанные с выбранной группой активов;
  • отвечающие условиям стандартных или пользовательских фильтров;
  • отвечающие условиям запроса на языке PDQL;
  • хранящиеся на других площадках

Создание собственных фильтров событий с помощью встроенного языка PDQL:
  1. На вкладке «События/Просмотр» событий найдем системный фильтр «Использование памяти»:
2. Установим чекбокс «Обновлять каждые 5 минут»: события будут подгружаться автоматически:
3. Создадим PDQL запрос, чтобы увидеть события, сигнализирующие о том, что средняя загруженность RAM превышает 33%.

Для этого в правой части экрана найдем поле «object.value» и щелкнем по числовому значению:
4. Здесь при помощи щелчка по одному из двух предопределенных фильтров можно автоматически добавить к текущему фильтру PDQL новое условие.

Щелкнув по выражению на PDQL, вы увидите запрос, разделенный на поля.

В поле Where найдем добавленное условие и отредактируем его: вместо object.value = «25» напишем object.value match «<33−100>»:
5. Завершая редактирование, нажмем кнопки «Добавить» и «Выполнить».

Группировка и сортировка отфильтрованных результатов

Рассмотрим группировку событий с помощью выражений PDQL при помощи оператора Group By.

Установим группировку по полю «action»:
  1. Сбросим все фильтры (кнопка «Сбросить фильтр» справа сверху). Установим временной период «текущий год» и кликнем по системному фильтру All Events:
2. В поле «Group By» установим группировку по полю action и нажмем кнопку «Применить».

События будут сгруппированы по полю «action». Вы увидите: сколько событий с тем или иным значением поля «action» в указанном промежутке времени соответствовало выбранному фильтру, и сможете просматривать эти события:
3. Группировки могут быть многоуровневыми (до десяти уровней).

Попробуем повторно войти в редактор PDQL и сделать вторую группировку по полю «subject.name».

Построение виджетов

На главной странице MaxPatrol SIEM на дашбордах можно создавать, изменять, перемещать или удалять виджеты.

Виджеты можно создавать:
  • по активам;
  • по событиям;
  • по инцидентам;
  • по проверкам.

Создадим виджет по сгруппированным выше событиям:

  1. Вернемся к фильтру (msgid = «RAM_free_space») AND (object.value match «<33−100>»).

Сузим диапазон до 60%-100% и сгруппируем события из этой выборки по полю «event_src.host»

2. Сохраним фильтр. Для построения виджета, нам нужно составить из собранных данных таблицу. Для этого предназначены агрегирующие функции.

Нажмем на значок суммы. Из выпадающего меню выберем пункт «Count», нажмем кнопки «Добавить» и «Выполнить»:
Мы получим таблицу, которую теперь можно визуализировать. В таблице показано, с какого узла сколько приходило сообщений о том, что утилизация памяти превышает 60%.

  1. Нажмем кнопку «Визуализация» и дадим фильтру название:
Данные можно отобразить несколькими разными способами: столбчатая диаграмма, круговая. Обратите внимание, что столбцы «кликабельны». При щелчке открывается соседняя вкладка с событиями, сформировавшими данный столбец.

2. Нажмем кнопку «В библиотеку виджетов» и дадим название виджету.

Отредактируем «Фильтр» и включим параметр «OVER time» в агрегирующей функции. Частоту дискретизации выберем 5 минут.

Если при применении фильтра вы получаете сообщение о переполнении, уменьшите частоту дискретизации или сузьте временной интервал:
3. Теперь при визуализации становятся доступны виджеты в форме столбчатой диаграммы или графика:
В приведенном примере видно, что от двух узлов (желтого и фиолетового) перестали поступать сообщения о перерасходе памяти.

Возможно они были выключены.

4. Сохраним диаграмму в библиотеку виджетов. Далее перейдем на панель с виджетами и сделаем свою панель:
5. Выберем подходящую сетку виджетов и на получившейся панели разместим два сохраненных в библиотеку виджета:
6. Расположим свою панель на первое место. Теперь наш widget будет открываться при входе в систему:

Заключение

На этом пятая статья курса подошла к концу. Мы провели большую работу и узнали, как проводить работу с событиями и активами. В следующем материале мы рассмотрим правила нормализации.

Оставайтесь с нами!