28 ноября 2023

MaxPatrol SIEM Getting Started

Статья 1 Знакомство с SIEM
Приветствуем вас на новом курсе платформы TS University: «MaxPatrol SIEM Getting Started!»

В статьях мы познакомимся с нюансами работы SIEM-систем, рассмотрим функционал и возможности решения компании Positive Technologies, узнаем структуру архитектуры продукта, особенности его сертификации и лицензирования и научимся корректно устанавливать систему.

О Positive Technologies

Компания-разрабочик Positive Technologies уже более 20-ти лет исследует и разрабатывает решения в области информационной безопасности на российском рынке. Используемые в разработке технологии построены на многолетнем опыте и экспертизе специалистов по кибербезопасности.

Ежегодно эксперты компании выявляют сотни уязвимостей нулевого дня и проводят более двухсот аудитов безопасности корпоративных систем. Компания осуществляет глубокую аналитику и выпускает больше 20-ти исследований в год.

Согласно исследованию IDC: MaxPatrol SIEM входит в тройку лидеров российского рынка SIEM. Другие же отечественные SIEM-системы занимают не более 6% рынка.

Почему SIEM?

MaxPatrol Security Information and Event Management в качестве лидирующего российского решения этого типа обеспечивает выявление инцидентов информационной безопасности и дает полную видимость IT-инфраструктуры. Находится в тройке лидеров российского рынка SIEM согласно исследованию компании IDC.

Система точно детектирует инциденты за счет:
  • регулярного получения экспертных знаний о способах детектирования актуальных видов атак;
  • полной видимости инфраструктуры и адаптации к изменениям в ней.
MaxPatrol SIEM позволяет:
  • обнаруживать самые актуальные угрозы;
  • строить актуальную модель IT-инфраструктуры в реальном времени;
  • оперативно проводить мониторинг состояния ИБ в организации;
  • адаптировать группы IT-активов к изменениям в сети;
  • гибко создавать правила корреляции;
  • контролировать работу источников;
  • упрощать работу с ложными срабатываниями

Данный набор преимуществ позволяет выстраивать полноценный процесс по контролю и устранению инцидентов во всей IT-инфраструктуре.

Архитектура SIEM

MaxPatrol SIEM выстроен на единой платформе с MaxPatrol VM: MaxPatrol 10 и состоит из компонентов, которые можно размещать как на одном сервере, так и на нескольких. Это обеспечивает масштабирование и позволяет внедрять систему в компаниях любого размера.

Система состоит из следующих компонентов:
  • MaxPatrol 10 Core
    Core является основным компонентом системы, её управляющим сервером. Чаще всего устанавливается в центральном офисе компании или в крупных территориальных и функциональных подразделениях.

    Выполняет следующие функции:
    • централизованное хранение конфигурации активов;
    • выстраивание топологии сети;
    • централизованное управление всеми компонентами системы;
    • обеспечение взаимодействия подразделений организации при расследовании инцидентов;
    • автоматизация процесса управления уязвимостями;
    • поддержка веб-интерфейса системы
  • MaxPatrol SIEM Server
    SIEM Server выполняет основные функции по обработке событий:
    • нормализация, агрегация, обогащение и корреляция событий;
    • автоматическое создание инцидентов;
    • привязку событий к активам
  • MaxPatrol SIEM Event Storage
    SIEM Events Storage обеспечивает централизованное хранение информации о событиях безопасности.
  • Collector
    Collector — это многомодульная платформа для сканирования активов IT-инфраструктуры организации и сбора событий с источников.

    Модули сканирования позволяют обнаруживать узлы и их открытые сетевые сервисы и проводить специализированные проверки в режиме теста на проникновение.

    Collector собирает следующую информацию об активах:
    • название;
    • версию и производителя операционной системы;
    • установленные обновления ОС;
    • список установленного ПО;
    • параметры ОС и ПО;
    • учетные записи пользователей и их привилегии;
    • данные об аппаратном обеспечении;
    • запущенных сетевых сервисах и службах ОС;
    • параметрах сети и средств защиты

    К одному компоненту MP SIEM Server можно подключать несколько коллекторов. Это позволяет увеличивать производительность, учитывать при сканировании топологию сети и типы каналов связи (например, наличие межсетевых экранов или других средств защиты).

  • MaxPatrol NAD Sensor
    NAD Sensor выполняет комплексный анализ сетевого трафика на уровнях L2—L7 сетевой модели OSI и собирает данные о соединениях.

    В отличие от обычной версии PT NAD в MP NAD Sensor:
    • захваченный трафик не сохраняется на диск (нет хранилища файлов PCAP);
    • метаданные трафика хранятся не больше одного дня;
    • скорость захвата трафика ограничена 1 Гбит/с
  • Knowledge Base
    KB — это единая база знаний для продуктов Positive Technologies.

    Она содержит пакеты экспертизы (наборы правил и табличных списков) макросы и схему полей событий, сведения о возможном ПО на активах. Также вместе с KB поставляются утилиты SDK для работы с данными базы.
  • PT Management and Configuration
    MC обеспечивает:
    • сервис единого входа в продукты Positive Technologies, развернутые в инфраструктуре организации;
    • управление пользователями системы (создание учетных записей, назначение прав, блокирование и активацию учетных записей);
    • журналирование действий пользователей.
  • PT Update and Configuration Service
    Компонент UCS — это сервис онлайн-обновления компонентов MaxPatrol SIEM.

    PT UCS обеспечивает проверку наличия, загрузку и установку новых версий компонентов, а также обновление базы данных по уязвимостям.

    Для доставки компонентам новых версий используется ПО SaltStack:
    • модуль Salt Master находится на сервере PT UCS;
    • модуль Salt Minion — на серверах компонентов MaxPatrol SIEM

    PT UCS получает новые версии компонентов с глобального сервера обновлений Positive Technologies и с помощью модуля Salt Master отправляет их модулям Salt Minion для установки.
  • PT Cybsi Provider
    Компонент PT Cybsi Provider обеспечивает доставку данных об угрозах информационной безопасности и индикаторах компрометации, специфичных для отдельной организации в данный момент времени.

    Индикаторы компрометации — это артефакты, наблюдаемые в сети или в операционной системе и указывающие на вредоносную активность в инфраструктуре.

  • PT Retro Correlator
    Компонент PT Retro Correlator выполняет повторную проверку полученных ранее событий при помощи правил корреляции. В состав компонента входят службы mpagent. service и siemserver-retrocontroller.service.
Конфигурации

В зависимости от сложности IT-инфраструктуры организации существуют следующие конфигурации MaxPatrol SIEM:

  • низконагруженная система (периодическое сканирование узлов не чаще одного раза в месяц и поток событий от источников, не превышающий 3000 событий в секунду);
  • средненагруженная система (поток событий от источников, не превышающий 10 000 событий в секунду);
  • высоконагруженная система (поток событий от источников, не превышающий 30 000 событий в секунду);
  • сверхнагруженная система (поток событий от источников, не превышающий 60 000 событий в секунду)

Лицензирование

В MaxPatrol SIEM существует три типа лицензий:
  • Базовая;
  • Инфраструктурная;
  • Лицензия на функциональные возможности

Базовая лицензия является обязательной и приобретается из расчета суммарного количества активов.

Инфраструктурная лицензия позволяет использовать соответствующий инфраструктурный компонент MaxPatrol SIEM в составе системы мониторинга и корреляции событий.

Артикул инфраструктурных лицензий MaxPatrol SIEM имеет вид PT-MPSIEM-XXX, где XXX — принятое обозначение инфраструктурного компонента.

Инфраструктурные лицензии:
Для построения иерархических систем и нагруженных инсталляций существует несколько вариантов лицензии MaxPatrol SIEM с разными артикулами и ограничениями на количество собранных активов и обрабатываемых в секунду событий.

Лицензии на функции MaxPatrol SIEM:
В каждой системе мониторинга и корреляции событий на базе MaxPatrol SIEM должна присутствовать как минимум одна лицензия на сбор и обработку событий MaxPatrol SIEM.

Срок действия первоначальной лицензии по умолчанию — 1 год.

По окончании срока действия, указанного в бланке лицензии: она становится недействительной, поставка обновлений MaxPatrol SIEM и оказание услуг технической поддержки прекращаются.
На данном примере мы видим комбинацию базовой лицензии на 1000 узлов, серверная лицензия и лицензия для сбора и обработки событий.

Сертификация

MaxPatrol SIEM имеет сертификат ФСТЭК России № 3734 от 17 января 2023 г., что позволяет применять MaxPatrol SIEM для защиты АС до 1 Г, ИСПДн, ГИС и АСУ ТП.

Заключение

В следующей статье цикла мы детально изучим процессы подготовки ОС и виртуальных машин к установке, а также проведём установку и настройку MaxPatrol SIEM на виртуальную машину. Оставайтесь с нами!