Качество работы любой SIEM-системы напрямую зависит от того, какие данные она получает. UserGate SIEM использует многоуровневый подход к сбору информации.
1. Источники данныхСистема агрегирует логи из самых разных источников:
- Сетевые экраны и NGFW (родные продукты UserGate).
- Серверы и рабочие станции (Windows Event Collector, системный журнал Linux).
- Инфраструктурное оборудование.
- Сторонние средства защиты, включая DLP-системы и антивирусы.
2. Ключевой компонент: AuditD для LinuxОдной из самых важных, но часто недооцененных функций является глубокий мониторинг Linux-систем с помощью подсистемы
AuditD.
В отличие от обычного системного журнала (Syslog), который видит только «поверхность» событий приложений, AuditD работает на уровне ядра. Он перехватывает системные вызовы (syscalls) до их обработки, что позволяет фиксировать:
- Изменения критичных файлов (/etc/passwd, конфигурации).
- Запуск процессов (execve).
- Монтирование/размонтирование файловых систем.
Преимущества AuditD:- Детализация: Ловит действия, скрытые от приложений.
- Структурированный формат: Данные легко парсятся и нормализуются для корреляции.
- Точечные фильтры: Можно настроить мониторинг по конкретному пользователю, пути или системному вызову, снижая нагрузку и шум.
Важно: AuditD не является стандартным решением для всех SIEM, но именно он позволяет эффективно выявлять сложные атаки на уровне ядра, такие как повышение привилегий, которые не оставляют следов в обычных логах приложений.
3. Написание парсеров и коннекторовЕсли в инфраструктуре используется редкое или самописное ПО, вендор может помочь с разработкой коннекторов. Однако, как отмечают инженеры UserGate, опытный специалист способен самостоятельно написать парсер для новых логов в течение одного-двух дней.