nvnikolai 1 апр 2019 в 11:26

Глубины SIEM: корреляции «из коробки». Часть 5. Методология разработки правил корреляции

12 мин

13K

Блог компании Positive TechnologiesАнализ и проектирование систем*Информационная безопасность*

Комментарии 9

chaynick 17 мая 2019 в 11:38

Не является ли «методология разработки правил корреляции, работающих «из коробки»» с адаптацией к конкретной АС оксюмороном? Либо работает из коробки либо не работает и требует адаптации.

nvnikolai 17 мая 2019 в 11:56

Если реально смотреть на вещи, то простые правила, действительно, заработают «из коробки», т.к. будут адаптироваться под инфраструктуру. Более сложные, все же придется подтюнить и тут важно добиться того, чтобы такого тюнинга было минимум.

chaynick 17 мая 2019 в 12:05

С MaxPatrol SIEM не сталкивался но Arcsight напоролся как раз на эту проблему еще когда был HP. Там тоже одно время двигали идею корреляций из коробки но сейчас все тихо спускается на тормозах. Загвоздка в том что простые правила нужны на уровне только на уровне малого-среднего бизнеса которому SIEM не нужен, а для адаптации правил нужно разобраться как работают правила и знать как работают целевые системы. То есть правила из коробки отлично заменяют бест практис.

nvnikolai 17 мая 2019 в 12:13

В методологии есть моменты (их всего пара) которые требуют определенных функций от самого SIEM. Эти функции позволяют строить внутри SIEM модель АС. На эту модель правила и могут опираться. В ArcSight модель достаточно примитивна и нетемпоральна, чуть развесистее в Qradar, но ей почти нельзя оперировать в правилах корр. Отсутствие таких вещей выбивают фундаментальные вещи, позволяющие строить адаптивные правила. Об этом я подробно писал в прошлой статье.
И, да, что мешает совмещать правила и бестпрактисы сразу :)

chaynick 17 мая 2019 в 12:37

Ну как. Допустим построили модельку АС банка сферического в вакууме. Потом уже на уровне адаптации начинают всплывать вещи когда одни и те же пункты PCI DSS закрывают разными способами да и исходные модели угроз тоже могут быть разными. Скажем стоят последовательно два МСЭ. Это что — ДМЗ, енфорсмент защиты, временное решение на тестирование/пилот или МСЭ который работает и который закрывает требования документов? То есть речь идет либо о монструазной модели которую обычный админ SIEM откроет, перекреститься и закроет или о настолько общей что все вырождается в Arcsight. По крайней мере с трудом представляю универсальную модель которая подходит для каждого банка без сильного ИИ встроенного в нее.

nvnikolai 17 мая 2019 в 13:02

Про разные модели угроз: именно для этого есть пункт про определение зоны действия правил
Про монструозность модели: решая задачи Asset и Vulnerability Management в компании (не для галочки) создаётся модель АС, только в другом решении. Функции импорта отчетов сканеров безопасности в SIEM — не что иное, как попытка получить кусочек этой модели. Делая правила корреляции по профилированию действий пользователей или их сетевой активности также создаётся модель на базе Active list/Ref. set/табличных списков и они просто огромны :) Т.ч. созданием модели и так занимаются неявно,
я тут ничего не придумал. Только это делают в разных продуктах и бессистемно.
В модель должна смотреть (дополнять, актуализировать) машина, а не человек.

chaynick 17 мая 2019 в 13:18

Ну собственно о чем я и говорил — нет правил работающих из коробки.

nvnikolai 17 мая 2019 в 13:20

Да, Вы правы, пока таких нет.

Создавая данную методологию хотелось изменить ситуацию и стараться двигаться в правильном направлении.

chaynick 17 мая 2019 в 13:46

С удовольствием посмотрю на это, со стороны конечно)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий