Описание урока
В этом уроке вы узнаете о концепции SOAR. Разберёмся в функционале сценариев и как выполнять их настройку.
Статья 8: SOAR
SOAR (Security Orchestration and Automated Response) – решение, предназначенное для сведения данных об инцидентах информационной безопасности для последующего анализа. Как видно из названия, SOAR означает оркестрацию, автоматизацию и реагирование на инциденты ИБ. Разберем каждое понятие из определения:
- Оркестрация – сбор необходимой информации с различных систем (SIEM-решений, антивирусных программ, межсетевых экранов, DLP-продуктов и др.) и предоставление информации в едином месте для принятий решений.
- Автоматизация – автоматический процесс обработки инцидентов ИБ, с помощью заранее регламентированных сценариев (playbooks).
- Реагирование – активное устранение угрозы или минимизация её последствий. Например, дистанционное удаление вредоносных объектов или отключение учетной записи в Active Directory.
Задачи SOAR
Для большего понимания SOAR смоделируем следующую ситуацию. Представим, что компания подверглась нападению вируса-шифровальщика. Как бы выглядели действия пользователей и сотрудников ИБ-отдела без SOAR?
Как видно, придется выполнить достаточно большое количество действий. При этом действия должны быть структурированы и выполнены в соответствии с заранее созданным сценарием реагирования.
Для реализации указанных задач и предназначены решения класса SOAR. В SOAR закладывается заранее созданный сценарий, который срабатывает при определенных условиях и выполняет заданные действия.
- Пользователь, обнаружив, что его компьютер подвергся нападению, сообщает об этом офицеру ИБ.
- Офицер ИБ отключает данный компьютер от сети.
- Если вирус шифровальщик успел распространиться на другие сегменты, то придется изолировать и эти устройства.
- Потребуется также дополнительно провести поиск угроз в компании.
- После выполнения процедур сдерживания и устранению угрозы устройства вернутся в сеть, при этом потребуется пристально мониторить трафик на NGFW.
- Провести аудит безопасности для ключевых систем.
Как видно, придется выполнить достаточно большое количество действий. При этом действия должны быть структурированы и выполнены в соответствии с заранее созданным сценарием реагирования.
Для реализации указанных задач и предназначены решения класса SOAR. В SOAR закладывается заранее созданный сценарий, который срабатывает при определенных условиях и выполняет заданные действия.
Задачи SOAR
UserGate и концепция SOAR
Технологии, используемые в Usergate, соответствуют концепции SOAR, позволяют анализировать поведение различных процессов, выявлять риски и автоматически обеспечивать на основе этого анализа реакцию, обеспечивают защиту от угрозы на самой ранней стадии.
В Usergate данная концепция реализуется при помощи сценариев, в которых прописываются действия на различные события. Сценарий является дополнительным условием в правилах межсетевого экрана, фильтрации контента и в правилах пропускной способности.
Примеры работы сценариев:
В Usergate данная концепция реализуется при помощи сценариев, в которых прописываются действия на различные события. Сценарий является дополнительным условием в правилах межсетевого экрана, фильтрации контента и в правилах пропускной способности.
Примеры работы сценариев:
- Блокировка всего трафика у пользователя или группы пользователей, при срабатывании СОВ сигнатур высокого риска.
- Блокировка всего трафика пользователей или группы пользователей при обнаружении вируса в трафике у данного пользователя.
- Блокировка или ограничение пропускной способности на 30 минут пользователю, который за последние 10 минут 5 раз использовал торрент.
- Ограничение пропускной способности пользователя, если он выработал лимит трафика за месяц.
Сценарий является дополнительным условием в правилах. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает.
При создании сценария задаются условия срабатывания. Для каждого условия можно указать количество срабатывания за определенное время, необходимое для срабатывания сценария. Если выбрано несколько условий, то возможно указать, сработает сценарий при единичном совпадении или при совпадении всех условий.
В сценариях используются следующие условия:
В сценариях используются следующие условия:
- Категория URL – совпадение указанных URL категорий в трафике.
- Обнаружен вирус – обнаружение вредоносной программы.
- Приложение – обнаружено указанное приложение в трафике.
- СОВ – сработка системы обнаружения вторжений.
- MIME-типы – обнаружены указанные MIME-типа в трафике.
- Размер пакета – размер пакета в трафике пользователя превысил указанное значение.
- Сессий с одного IP – количество сессий с одного IP-адреса превысило указанное значение.
- Объем трафика – объем трафика пользователя превысил определенный лимит за указанную единицу времени.
Тестирование
Перейдем к тестированию данного функционала.
Схема тестирования функционала:
Схема тестирования функционала:
Схема тестирования
Переходим в раздел «Политики безопасности – «Сценарии» – «Добавить». Создадим сценарий, который будет использоваться в правилах фильтрации при срабатывании сигнатур СОВ.
Создание сценария
Сценарий будет активирован, если сработает правило системы обнаружения вторжений.
Условия активации сценария
Также создадим сценарии при обнаружении вируса и при превышении лимита трафика.
Сценарии
Правила и сценарии
Активируем данные сценарии в следующих правилах:
Межсетевой экран
Создадим правила, блокирующие доступ ко всему, если будет обнаружен вирус или попытка вторжения на определенном хосте.
Даже если система обнаружения вторжений или потоковый антивирус сработают и обнаружат вредоносную активность, это не означает, что злоумышленник не смог проникнуть в корпоративную сеть и не начал распространяться. Соответственно, стоит внимательно перепроверить атакуемую систему, предварительно отключив ее от сети.
Переходим «Политики сети» – «Межсетевой экран» – «Добавить».
Межсетевой экран
Создадим правила, блокирующие доступ ко всему, если будет обнаружен вирус или попытка вторжения на определенном хосте.
Даже если система обнаружения вторжений или потоковый антивирус сработают и обнаружат вредоносную активность, это не означает, что злоумышленник не смог проникнуть в корпоративную сеть и не начал распространяться. Соответственно, стоит внимательно перепроверить атакуемую систему, предварительно отключив ее от сети.
Переходим «Политики сети» – «Межсетевой экран» – «Добавить».
Свойства правила межсетевого экрана
Данные правила сработают только в случае срабатывания сценария и заблокируют входящий и исходящий трафик на определенном хосте.
Пропускная способность
Создадим правило, устанавливающее, что если пользователь превысит отведенный ему лимит трафика, то в дальнейшем его пропускная способность не будет больше 100 кбит/с.
Для этого переходим в «Политики сети» – «Пропускная способность» – «Добавить».
Пропускная способность
Создадим правило, устанавливающее, что если пользователь превысит отведенный ему лимит трафика, то в дальнейшем его пропускная способность не будет больше 100 кбит/с.
Для этого переходим в «Политики сети» – «Пропускная способность» – «Добавить».
Настройка пропускной способности
Правило пропускной способности
Тестирование функционала
Повторим атаки, показанные в статье про систему предотвращения вторжений.
СОВ предотвратил данные атаки, а также, межсетевой экран заблокировал трафик на атакуемой машине, в соответствии с заложенным сценарием. При этом, блокируется как исходящий трафик с хоста, так и входящий трафик. Остальные машины корпоративной сети не попадают под действие данного правила.
СОВ предотвратил данные атаки, а также, межсетевой экран заблокировал трафик на атакуемой машине, в соответствии с заложенным сценарием. При этом, блокируется как исходящий трафик с хоста, так и входящий трафик. Остальные машины корпоративной сети не попадают под действие данного правила.
Блокировка трафика
Правило будет действовать столько, сколько указано в сценарии. За это время можно будет разобраться в инциденте и принять дополнительные решения по ликвидации угроз.
Также в случае и с обнаружением вируса (в качестве теста можете скачать тестовый файл EICAR). Все сетевые коммуникации с подверженным атаке хостом будут закрыты.
Также в случае и с обнаружением вируса (в качестве теста можете скачать тестовый файл EICAR). Все сетевые коммуникации с подверженным атаке хостом будут закрыты.
Журнал трафика
В случае с пропускной способностью, как только пользователь превысит отведенный ему лимит трафика, сценарий автоматически сработает, после чего полоса пропускания для данного пользователя не будет больше установленной.
Превышение лимита
Заключение
В данной статье был разобран функционал сценариев и показана их настройка для реализации концепции SOAR.
Автор статьи: Дмитрий Лебедев, инженер TS Solution.
Автор статьи: Дмитрий Лебедев, инженер TS Solution.
Пройти сертификацию
Пройдите тест по содержанию данного курса (рекомендуется после полного прохождения) и получите сертификат, подтверждающий полученные знания.
