Поиск Use Case'ов для SIEM

    Глоссарий:

    SIEM (Security Information & Event Management) — программно-аппаратный комплекс для сбора информации о событиях (логи), их корреляции и анализа. Wiki.

    Use Case (применительно к SIEM) — устоявшийся термин, обозначающий конкретный набор правил/скриптов и/или механизмов визуализации. Например, для обнаружения сканирования портов, сверки IP адреса с внешней репутационной базой и т.д. Use Case’ы можно писать самому, брать готовые с сайта производителя или заказывать у подрядчиков.



    Задачей данной статьи является систематизация найденной информации по каталогам Use Case’ов и дополнительным ресурсам, а также активный диалог в комментариях. Поделитесь своим опытом, пожалуйста, а я буду обновлять пост полученной информацией.

    Содержание:

    1. Рейтинг SIEM в 2016 году
    2. “Родные” магазины Use Case’ов на сайтах производителей SIEM
    3. Рекомендации по самостоятельному написанию Use Case’ов
    4. Заказная разработка: карта интеграторов
    5. Сторонние каталоги Use Case’ов: SOC Prime UCL, форумы вендоров (список обновляется)
    6. Ссылки на блоги и дополнительные ресурсы информационной безопасности, относящиеся к SIEM

    1. Рейтинг SIEM в 2016 году


    Если вы пока еще на стадии выбора SIEM, то вот их актуальный рейтинг из двух независимых источников. Плюс станет понятно, почему в самой статье уделено различное количество внимания каждому из решений.


    Source: Gartner Magic Quadrant 2016


    Source: 2016 InfoSec Nirvana

    Если актуальна задача импортозамещения, то существует как минимум 3 SIEM с российскими корнями:

    Дополнительная информация, предоставленная PositiveTechnologies
    — ссылка на страницу MP SIEM LE — www.ptsecurity.com/ru-ru/promo/siem-le
    — отдельная ссылка на актуальный буклет www.ptsecurity.com/upload/ptru/products/documents/mpsiem/PT-MaxPatrol-SIEM-Product-Booklet-rus.pdf
    — ссылка на подробный вебинар по MP SIEM my.webinar.ru/record/873458

    «Считаем, что из всех «российских» SIEM продукт PT, пожалуй, единственный подкреплен обширной экспертизой ИБ (пентесты и сценарии атак) и также предлагает бесплатное покрытие актуальных источников заказчика.

    Еще в MaxPatrol SIEM реализован механизм передачи в продукт экспертизы исследовательского центра Positive Research, основанный на базе знаний Positive Technologies Knowledge Base (PTKB). Это высокоуровневый, постоянно пополняемый набор данных, формируемый на основе 15-летнего опыта исследовательского центра, в том числе опыта тестов на проникновение и проведения аудитов защищенности.»


    В рейтинг не вошли, но стоит упомянуть:
    → OSSIM (Open Source Security Information Management) хабр1, хабр2
    OpenSOC, выросший в Apache Metron


    2. “Родные” магазины Use Case’ов на сайтах производителей SIEM


    Информация по состоянию на дату публикации (конец ноября 2016). Сейчас всего 4 производителя организовали собственные площадки для публикации Use Case’ов. Также у большинства производителей есть внутренний форум для обмена информацией и поиска решений возникающих проблем.

    HPE ArcSight Marketplace
    Есть платные и бесплатные. Если не применять дополнительную.фильтрацию, то на сайте суммарно 170 Use Case’ов.

    IBM Security App Exchange
    Скачивание бесплатно. Всего доступно 73 Use Case’ов, разработанным как самим IBM, так и партнерами.

    LogRhythm
    Пока всего 19 Use Case’ов. Вернее, их маркетингового описания.

    Splunk
    Подраздел “Security, Fraud and Compliance” содержит 487 приложения. Но если отфильтровать только приложения (а не аддоны, хотя они тоже важны) и указать версию продукта 6.0 и выше — то суммарное количество уменьшается до 236 Use Case’ов.

    3. Рекомендации по самостоятельному написанию Use Case’ов


    Методология разработки Use Case’ов хорошо описана в блоге (Антон Чувакин) и статье.

    Если вкратце, то необходимо подойти к задаче как к полноценному мини-проекту:

    1. Четко определиться с решаемой задачей и ее источником (это может быть требование бизнеса, необходимость соответствовать стандартам и регламентам индустрии по защите данных и т.д.).
    2. Определить границы проекта (т.е. конкретный участок защищаемой ИТ-инфраструктуры).
    3. После этого выявить возможные “источники событий”, обработка которых позволит реализовать работающий Use Case. Это могут быть логи с устройств, журналы событий, конфигурационные настройки.
    4. Проверить, что источник исправно поставляет все необходимые данные — иначе корректно разработанный Use Case не сможет эффективно работать (не будет срабатывать, или наоборот будет выдавать False Positive — ложные срабатывания).
    5. Наконец-то приступить к разработке Use Case’а.
    6. Установить и тестировать, подстраивая логику и пороги срабатывания.
    7. Когда Use Case уже проверен и установлен в продуктив, важно правильно настроить реакцию на его срабатывание: достаточно ли просто выводить данные на дашборд, или нужно оповещение по SMS/email, или даже автоматически запускать изменение конфигурации подчиненных устройств (например, IBM декларирует, что ее SIEM сумеет поменять правила IPS/Firewall’а).
    8. Ура, все работает! Но работа на этом не завершена — необходимо обслуживание (maintenance) разработанного мини-продукта: периодически проверять, поступают ли данные для обработки, не изменился ли их формат, дорабатывать сам Use Case под меняющуюся топологию ИТ-инфраструктуры и потребности Бизнеса.

    4. Заказная разработка: карта интеграторов


    Если собственных сил/времени/компетенции не хватает, то можно обратиться к профессионалам — в 99% случаев это будет компания-интегратор, которая самостоятельно, или с привлечением Professional Services от SIEM-вендора, выполнит заказную разработку и поддержку Use Case’ов.

    Ссылки на разделы “partner locator” популярных SIEM:

    findapartner.hpe.com
    www-356.ibm.com/partnerworld/wps/bplocator/search.jsp
    logrhythm.com/partners/resellers-and-mssps/find-a-partner (список партнеров непубличен, предлагают заполнить форму-запрос, в ответ вышлют данные партнеров).
    www.rsa.com/en-us/partners/find
    www.splunk.com/en_us/partners/find-a-partner.html

    На основе информации о партнерах, доступной по этим ссылкам, я составил общую таблицу на примере Украины (и распространенных у нас SIEM). Как видите, часть интеграторов не “моногамны”.

    SIEM


    Интегратор


    QRadar


    ArcSight


    Splunk


    Active Audit Agency
    - - Reseller
    Betta Security
    - - Reseller
    BMS Consulting
    Business partner Gold partner -
    CBS Group
    Business partner - -
    Center of Systrem Integration - Business partner -
    COMPAREX Ukraine
    Business partner - -
    Comsec
    - - Reseller
    CS Integra
    - Business partner -
    IBPM
    Business partner - -
    ICSystems
    - Business partner -
    Integrity Vision
    Business partner - -
    ISSP
    - Silver partner. Engineer certified -
    IT for Business (Supportio)
    - Business partner -
    IT-Integrator (Incom)
    Business partner - -
    LanTec
    - Platinum partner -
    SI BIS
    Business partner - -
    SI Center
    - Business partner -
    Spezvuzavtomatika
    - Business partner -
    SPro
    Business partner - -
    SVIT IT
    Business partner Gold partner. Engineer certified -
    System Integration Service
    Business partner - -

    Информация не является на 100% актуальной, т.к. партнерский статус обновляется довольно инертно и ситуативно: кому-то его могут дать авансом, кто-то уже достиг значимых результатов, но статус лишь через полгода обновят, а кто-то уже и инженеров растерял вместе с репутацией, но все еще с полным набором регалий числится. Плюс у крупных вендоров (HPE, IBM) довольно сложно понять, какой партнер на каком из великого множества продуктов специализируется. Поэтому дополнительно рекомендую (анонимно) позвонить дистрибьюторам вашего SIEM и поинтересоваться, кого из партнеров они рекомендуют.

    Отсутствие официального партнерского статуса, как правило, не мешает успешно продавать продукты — лишь заработок будет меньше. Получение статуса при эпизодической работе с продуктом бывает нерациональным (например, если требует обязательной дорогой сертификации инженеров и/или определенного годового уровня продаж).

    5. Сторонние каталоги Use Case’ов


    На данный момент я обнаружил всего несколько альтернативных ресурсов, где можно попытаться скачать Use Case под свои потребности:

    Официальные форумы производителей
    Часто пользователям не хватает времени/усидчивости или мотивации для полноценного оформления кейса для его публикации в официальном каталоге. А выложить “как есть” на форуме — это не сложно.

    www.protect724.hpe.com
    www.splunk.com/en_us/community.html

    IBM Support communities:
    Marketplace support myibm.ibm.com/support/forum
    Get answers to your products and services questions using a collaborative forum moderated by IBM experts
    developerWorks www.ibm.com/developerworks/community
    Learn from and share with the experts in the developerWorks community
    dW Answers developer.ibm.com/answers
    Post questions and look up answers in the developerWorks community

    RSA Link community.rsa.com/community/rsa-customer-support

    Intel McAfee community.mcafee.com

    Security-группы в LinkedIn
    В принципе, это аналогично предыдущему пункту. Но в среднем контент может быть оформлен лучше — ведь публикация находится на HR-ресурсе в поле зрения возможных работодателей и четкой привязкой к профилю (он же резюме).

    “SIEM Use-Cases” www.linkedin.com/groups/6704216

    Коммерческая площадка Use Case Library вендора SOC Prime
    По состоянию на сейчас, поддерживаются три SIEM’а: HPE ArcSight, IBM QRadar, Splunk. В самой библиотеке находятся Use Case’ы, разработанные самим “SOC Prime”, а также выложенные туда другими пользователями. Из неожиданного — весь контент продублирован на английском и русском языках! (переключается в настройках профиля).
    ucl.socprime.com

    Общее количество: 22 приложения. По информации с сайта, запуск площадки был 31.08.2016, так что есть надежды на дальнейший рост. Еще 22 Use Case’а находятся в разработке (статус Under R&D).

    Покупаются Use Case’ы за поинты, которые можно оплатить деньгами, либо заработать своим посильным трудом (отзывы на купленные приложения, выложить свой Use Case, предложить идею через форму обратной связи).



    Продолжение первого скриншота, но с альтернативной схемой отображения списка:



    Не сразу смог зарегистрироваться там, как оказалось впоследствии — игнорировали публичный gmail email-адрес, заставляя регистрироваться только на корпоративный. “Если злоумышленники смогут легко зарегистрироваться через бесплатный emaill и узнать алгоритм защиты, то быстрее научатся обходить такую защиту”.

    Блоги и дополнительные ресурсы по информационной безопасности, относящиеся к SIEM
    Anton Chuvakin (много про SIEM) blogs.gartner.com/anton-chuvakin
    Augusto Barros (больше про SOC) blogs.gartner.com/augusto-barros
    Deepak Kumar www.linkedin.com/today/author/0_0r-9MaWjS4pt2cnm0EWqkR
    Rafael Marty raffy.ch/blog
    Ofer Shezaf xiom.com

    resources.infosecinstitute.com
    infosecnirvana.com/category/siem
    www.cybrary.it
    securosis.com/search/results/e9fc8ff294a13141edb0affefd542297
    securityintelligence.com/?s=siem
    www.techtarget.com/search/query?q=siem
    solutionsreview.com/security-information-event-management

    LinkedIn Group “SIEM Use-Cases” www.linkedin.com/groups/6704216

    Хабрапользователи:
    AlexGryn Александр Гринюк IBM технический пресейл по безопасности в регионе СНГ (не включая Россию).

    alekbr Александр Бредихин Технический Директор «SOC Prime»

    SearchInform Иван Мершков, Технический Директор «СёрчИнформ»

    PositiveTechnologies — представитель одноименного производителя, активно ведут корпоративный блог на Хабре.

    Об авторе:

    Мой опыт работы — это 4 года в security-интеграторе, 2 года в security-департаменте дистрибьютора, а последние 3 года на стороне FMCG-заказчика на позиции IT Business Analyst. По привычке все равно отслеживаю новости безопасности, а с задачей поиска Use Case’ов помогал другу — по свежим следам и решил подготовить статью.

    Only registered users can participate in poll. Log in, please.

    Используемый мною SIEM (если у вас несколько, укажите основной)

    • 14.6%IBM8
    • 14.6%Splunk8
    • 1.8%LogRhythm1
    • 27.3%HPE15
    • 3.6%EMC (RSA)2
    • 3.6%Intel Security2
    • 3.6%Micro Focus2
    • 9.1%AlienVault5
    • 0.0%Trustwave0
    • 0.0%SolarWinds0
    • 0.0%Fortinet0
    • 0.0%EventTracker0
    • 0.0%ManageEngine0
    • 1.8%BlackStratus1
    • 16.4%PositiveTechnologies9
    • 3.6%SearchInform2
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 13

      0
      Спасибо, что дочитали до конца. Надеюсь на плодотворный диалог в комментариях. Об очепятках просьба писать в личку.
        0
        В «импортозамещение» (в первом разделе) я бы еще упомянул про проект RU-SIEM Олеси Шелестовой. Он довольно быстро развивается, кроме того, есть хорошие шансы договориться с разрабами и оперативно «допилить» под себя. Правда, я не выяснял ситуацию с Use-Cases применительно к этому продукту; возможно, подойдут от сторонних продуктов.
        Вообще, из предыдущего опыта, готовые кейсы сильно облегчают на определенном этапе внедрение, но их все равно надо адаптировать под конкретного заказчика — поэтому от грамотного инженера в штате, знающего продукт, вы не уйдете. Что на стороне интегратора, что на стороне заказчика — для поддержания всей системы в актуальном состоянии.

        Статью с интересом прочитал, спасибо!
          0
          О, отличная находка — добавил его в конец первого раздела. Спасибо!
          Вообще, из предыдущего опыта, готовые кейсы сильно облегчают на определенном этапе внедрение, но их все равно надо адаптировать под конкретного заказчика — поэтому от грамотного инженера в штате, знающего продукт, вы не уйдете.

          Согласен на 100%
        +1
        IBM Security App Exchange exchange.xforce.ibmcloud.com/hub
        Скачивание бесплатно. Если отфильтровать только для продукта QRadar, то всего доступно 69 Use Case’ов.

        Не корректно говорить, что только 69 дополнений для QRadar.
        В AppExchange все для QRadar. Просто некоторые дополнения и расширения написаны IBM. Другие от сторонних вендоров — для интеграции с другими продуктами. Есть даже от партнеров (ScienceSoft из Беларуси).
        Все что есть в магазине IBM Security App Exchange — разработано для QRadar.
          0
          Спасибо за уточнение, статью обновил. А также включил ваши контакты в последний раздел, так что те, кому нужна специфическая информация по IBM security, смогут обращаться напрямую (но лучше публично в комментариях).
          +1
          Добрый день. Cпасибо, что включили в обзор UCL. Мы действительно активно развиваемся и постоянно пополняем базу востребованными в мире ИБ кейсами. Если у читателей будут вопросы, обращайтесь, буду рад помочь
          Александр,
          Технический директор SOC Prime
            0
            Коллеги, у кого есть опыт интеграции СИЕМки со сканерами уязвимостей, подскажите какую систему лучше применить, если в компании одновременно используется несколько сканеров уязвимостей?
              0
              Уточните, пожалуйста, какой SIEM используете (планируете)? Какие сканера уязвимостей используете?
                0
                Сканеры: nessus, languard, maxpatrol, openvas

                Для анализа событий с этих сканеров рассматриваю такие системы как ossim и faraday.

                Задача: Необходимо на одном экране видеть общую картину по уязвимостям
                  +1
                  Тут SIEM не очень подходит. Я бы посмотрел в сторону систем управления уязвимостями. Последнее, с чем я сталкивался — R-Vision.
                    0
                    RVIsion тестировал, но его стоимость завышена. Хотя он и позволяет сводить воедино данные с разных сканеров.
                    Поэтому изучаю, какие есть аналоги
                      0
                      Ну, R-Vision не есть система управления уязвимостями. Это 1/10 его функционала, в лучшем случае. Там гораздо больше источников, взаимосвязей и правил анализа.
                +2
                Благодарим за упоминание в обзоре СёрчИнформ SIEM. Действительно у наших российских заказчиков курс на импортозамещение сохраняется. Мы делаем простой, понятный и главное доступный продукт, без лишних «заморочек». Готовы ответить на любые вопросы о нашей системе, обращайтесь.
                Иван Мершков, технический директор «СёрчИнформ».

                Only users with full accounts can post comments. Log in, please.