Статья 7. Интеграция с другими продуктами PT

PT NAD – мощный инструмент, позволяющий обеспечить высокий уровень сетевой безопасности. Однако ИБ система не может строиться только на нем, а должна также включать в себя и множество средств защиты информации, взаимодействующих между собой.

Поэтому в завершающей статье цикла мы решили уделить особое внимание интеграции PT NAD с различными системами и продуктами.

PT NAD и PT Sandbox вместе с экспертным центром PT ESC составляют решение PT Anti-APT, которое предназначено для выявления сложных угроз и противодействия целевым продвинутым атакам. Оно также позволяет обнаруживать в сети атаки, использующие уязвимости нулевого дня.

В этой части статьи мы проведем интеграцию этих двух продуктов: настроим ICAP-сервер в PT Sandbox и настроим отправку на него извлеченных из трафика файлов.

Сперва заходим в веб-интерфейс PT Sandbox и переходим во вкладку Источники. Нажимаем кнопку Добавить источник в левом верхнем углу, после чего нам предложат ввести параметры создаваемого источника в новом окне.

Называем источник удобным для нас способом. В качестве типа источника необходимо выбрать PT NAD. Система сама автоматически подставит ip-адрес основного узла PT Sandbox.
Порт можно указать любой, но нужно проверить, что он не используется другими источниками и сторонними сервисами. По завершении нажимаем кнопку Добавить источник внизу окна и проверяем наличие созданного источника на вкладке Источники.

На стороне PT Sandbox никаких действий больше не требуется. Переходим к настройке PT NAD. Для отправки файлов используется модуль icap-worker.

Для его активации откроем на основном узле конфигурационный файл /opt/ptsecurity/etc/ptdpi.settings.yaml, добавим в параметр workers значение icap, а также добавим в конец файла (можно в любое место) три следующие строки:

• icap_worker.yaml.icap_product: pt_sandbox
• icap_worker.yaml.icap_server: <ip-адрес icap-сервера>:<port> (берем из настроек источника на PT Sandbox)
• icap_worker.yaml.nad-server: <ip-адрес web-сервера PT NAD> (чаще всего это ip-адрес сервера Core, при необходимости указываем порт)

Сохраняем файл. Удостоверяемся, что icap-worker запущен: systemctl status ptdpi-worker@icap. Для проверки корректности настройки воспользуемся скриптом /opt/ptsecurity/icap-worker/bin/check-icap, передав ему в качестве параметра какой-нибудь файл.

Мы отправили ему pdf-файл и получили ответ в формате JSON. Также мы можем увидеть задание на проверку данного файла в интерфейсе PT Sandbox во вкладке Задания.

Далее нам необходимо настроить запись извлеченных файлов и указать типы файлов, подлежащих проверке. Для этого заново открываем файл ptdpi.settings.yaml и изменяем следующие строки (при их отсутствии - добавляем в любое место в файле):

• file_store_enabled: yes
• file_rules_<тип файла>.enabled: yes (в качестве типа файла могут быть указаны exe, scripts, java, archives, msi, pdf, msoffice, openoffice, mail)

Сохраняем изменения и закрываем файл.
Для их применения перезапускаем службу ptdpi командой ptdpictl restart-all.

Настройка окончена, проверим функционирование взаимодействия. Для этого импортируем трафик, содержащий в себе передаваемые файлы. В интерфейсе PT NAD Дашборды отображают статистику по переданным файлам.

Перейдем во вкладку Задания в веб-интерфейсе PT Sandbox. Там мы можем увидеть новые задания на проверку файлов.

Перейдем в веб-интерфейс PT NAD и найдем сессии, в которых данные файлы передавались. Оказывается, все три файла передавались в рамках одной сессии. Под каждым файлом указан вердикт его проверки, возвращенный песочницей.

Кроме того, нажав на три точки справа от файла, мы можем перейти к карточке объекта в интерфейсе PT Sandbox.

Интеграция настроена успешно.

Важная ремарка: все настройки производились на основном узле PT NAD, что позволяет нам отправлять только файлы, извлеченные из импортированного трафика. Для отправки на проверку файлов, извлеченных из живого трафика, аналогичные настройки необходимо произвести на сервере Sensor, с которого мы хотим отправлять файлы (при этом настройка на Core сервере не требуется).

В первой статье цикла мы упоминали тройку классов решений, которые формируют SOC предприятия: NTA, SIEM и EDR. Так как PT NAD относится к NTA системам, то отправка сообщений в SIEM-систему – неотъемлемая функция. Для интеграции с MP SIEM есть два основных способа:

1. Отправление Syslog сообщений на агент MP SIEM. Такая настройка подойдет и для SIEM от сторонних производителей.
2. Установка модуля NADSensor (не путать с сервером с ролью Sensor) на основной узел PT NAD, который будет собирать события и отправлять их в MP SIEM . Удобная фича для счастливых обладателей NTA и SIEM от Positive Technologies.

Syslog

Мы приведем настройку в обоих вариантах. Начнем с первого и более универсального. Сперва в веб-интерфейсе MP SIEM добавим задачу на сбор данных по протоколу Syslog.
Указываем название, профиль Syslog, а в качестве ip-адреса указываем четыре ноля и выбираем любой незанятый порт. Раздел с целями сбора оставляем незаполненным. Нажимаем кнопку Сохранить и запустить.

Переходим к настройке на стороне PT NAD.

На основном узле открываем конфигурационный файл /opt/ptsecurity/etc/ptdpi.settings.yaml и производим в нем следующие изменения:

• В поле workers добавляем значение notifier
• В конец файла добавим строчку notifier.yaml.nad_web_url: <URL веб-интерфейса PT NAD>
• Ниже добавим строку notifier.yaml.syslog_notifier.ident: ptnad
• Также для изменения языка сообщений можно добавить строку notifier.yaml.syslog_notifier.ident: ptnad
• Далее указываем, на какие адреса и какие сообщения необходимо отправлять. Секция начинается со строки notifier.yaml.syslog_notifier.addresses. Затем для каждого получателя сообщений указываем название подключения с ним (любая последовательность из латинских букв, цифр и знаков подчеркивания) и ip-адрес (нам нужно указать адрес агента MP SIEM). Также можно добавить необязательное поле doc_types, где мы можем указать типы отправляемых сообщений (по умолчанию отправляются все три: об атаках, активностях и индикаторах компрометации). Более подробно можно посмотреть здесь.

Для применения изменений перезапустим службы ptdpi командой ptdpictl restart-all.

Теперь можем перейти в веб-интерфейс MP SIEM и открыть задачи со сбором данных.

Выбрав нашу задачу и кликнув справа на интерактивную ссылку Перейти, мы попадем на страницу с полученными сообщениями от PT NAD.

Теперь рассмотрим интеграцию с помощью модуля NADSensor из состава MP SIEM. На основном узле переходим в директорию, в которой находится дистрибутив данного модуля, распаковываем его утилитой tar и устанавливаем оба пакета из его содержимого: dpkg -i mpagent-base-* mpagent-module-dpicollector-*.

Сохраняем файл и запускаем модуль mpagent.
Проверяем, что он работает.

Теперь необходимо создать задачу на сбор данных в интерфейсе MP SIEM. Указываем название, в качестве профиля выбираем NAD Sensor, а в поле адреса указываем адрес основного узла PT NAD. Агентом выбираем наш mpagent (имя должно совпадать с полем name, которое мы указывали в json файле). Раздел с целями оставляем пустым. Создаем задачу и запускаем ее.

Отметим, что в разделе Параметры сбора данных можно перейти в подраздел Типы документов, где доступна настройка типов сообщений, которые мы хотим собирать.

Вот некоторые типы документов:

• flow. Сообщения о возникновении новых подключений
• flow_final. Сообщения о прекращении подключений
• alert. Сообщения об обнаруженных атаках
• reputation. Сообщения об обнаруженных индикаторах компрометации
• dns, http, dhcp, tls и т.д. Сообщения о сессиях по соответствующим протоколам

Находим задачу и переходим к собранным событиям.

Настройка отправки данных об атаках завершена успешно.

Кроме того, PT NAD позволяет переходить к регистрации инцидентов в MP SIEM прямо из своего интерфейса. Для активации данной возможности внести изменения как на стороне PT NAD, так и на стороне MP SIEM.

На основном узле PT NAD открываем файл /opt/ptsecurity/etc/nad.settings.yaml и в разделе MPX integrationsпрописываем следующие строки:

• mpx_server: <ip-адрес основного узла MP SIEM>
• mpx_instance: “<название подключения>” - можно указать любое название

Сохраняем изменения и закрываем файл. Далее переходим к настройкам MP SIEM. На основном узле создаем директорию var/lib/deployer-role/App-1/Core-1_<id-приложения>/config/reverse.proxy.nginx/nginx-http/. В качестве <id-приложения> в пути директории указываем любую удобную нам последовательность символов.

В данной директории создаем файл netforensic.conf и записываем в него следующие строки:

• add_header 'Access-Control-Allow-Origin' 'https://;
• add_header 'Access-Control-Allow-Headers' 'Origin, X-Requested-With, Content-Type, Accept';
• add_header 'Access-Control-Allow-Credentials' 'true';

После этого перезапускаем контейнер командой docker restart $(docker ps -q --filter name=ui-core).

Теперь необходимо создать директорию /var/lib/deployer/App-1/Core-1_<id-приложения>/config/ netforensic/ и в ней файл NetForensicSettings.yaml со следующими строками:

• Enabled: true
• Instances:
• InstanceId: <mpx_instancel> (берем из файла nad.settings.yaml, который настраивался на стороне PT NAD чуть ранее)
• Title: NetForensic
• BaseUrl: https://<ip-адрес основного узла PT NAD>

Перезапускаем контейнер командой docker restart $(docker ps -q --filter name=core.incidentsreadmodel).

Все необходимые настройки выполнены. Переходим в веб-интерфейс PT NAD.

Во вкладке Сессии можем заметить, что появилась кнопка Зарегистрировать инцидент. Сначала она будет недоступной. Если выбрать одну или несколько сессий из списка, то кнопка станет активной.

Также данную кнопку можно увидеть в карточке сессии.

При нажатии на эту кнопку откроется окно с регистрацией инцидента в MP SIEM. Для регистрации необходимо указать обязательные параметры: название, расположение, время обнаружения и категорию инцидента. Остальные параметры (например, уровень опасности), необязательны для заполнения.

Для завершения регистрации инцидента необходимо нажать кнопку Сохранить.

Аналогичным образом можно зарегистрировать инцидент из вкладки Атаки. Для этого нужно выделить одну или несколько атак из таблицы или перейти в карточку одной из атак. Нажатие на кнопку также перекинет вас в интерфейс MP SIEM.

Теперь во вкладке Инциденты в веб-интерфейсе MP SIEM отображаются оба зарегистрированных инцидента. Можно обратить внимание, что в качестве источника в их карточках указан PT NAD.

Данным материалом мы завершаем наш курс: «PT NAD. Getting Started».

В рамках обучения мы с вами познакомились с продуктом PT NAD, изучили, как его установить и какие ресурсы для этого нужны, рассмотрели возможности продукта и их использование через веб-интерфейс, а также интеграцию с другими системами (в частности, с двумя решениями от Positive technologies: PT Sandbox и MP SIEM).

Мы надеемся, что подробные обзоры решения и его интерфейса, а также наглядные описания процессов установки, настройки и администрирования помогли вам найти ответы на все вопросы о продукте PT NAD.

Спасибо, что оставались с нами и до встречи на TS University!

Авторы курса: Комаров Артем, Инженер технической поддержки TS Solution
Меркулов Михаил, Инженер технической поддержки TS Solution