Многие уже слышали про системы класса SIM и про системы класса SEM, а что же тогда такое SIEM?
SIEM это Security Information and Event Management
Изначально, Security Information Management (SIM) и Security Event Management (SEM) были двумя различными технологиями, используемыми вместе.
В далеком 2005 году Gartner ввел понятие SIEM, чтобы охватить обе технологии.
Как и предполагает название, это не что иное, как набор инструментов и технологий, чтобы управлять инцидентами и событиями, связанными с безопасности, в одном месте. Некоторыми из основных возможностей типичной SIEM платформы являются:
- Сбор событий с различных источников/устройств
- Возможность хранения событий необходимое количество времени
- Обеспечение быстрого поиска и возможность восстановления хронологии
- Обеспечение полноты интерпретации собранных событий
- Обеспечение возможности соотнесения между собой событий от разных типов источников
- Базовая система работы с тикетами/ возможность оповещений
Первые 4 пункта типичны для SIM, в то время как следующие 2 пункта относятся к SEM. Любой продукт, обеспечивающий все эти пункты, может называть себя SIEM решением. Сейчас уже больше 50 продуктов различных вендоров относятся к классу SIEM. Как и среди продуктов в других классах, SIEM решения очень разнятся в сегментах рынка и ценовых диапазонах.
Если погуглить отзывы по различным системам то можно получить огромное количество отзывов о каждом продукте, зачастую противоположных друг другу, что лишний раз подчеркивает необходимость понимания задач, которые ставятся перед SIEM, и уровнем квалификации тех сотрудников, которым предстоит с ним работать.
Моя основная работа связана с 3-мя такими решениями, каждый из которых имеет свои плюсы и минусы. Сравнивать демо-версии продуктов и сравнивать их после долгого использования это 2 большие разницы. Далее я попытаюсь определить основные вещи, которые вы должны знать и понимать, когда вы планируете внедрение SIEM у себя в компании.
- В компании уже должен быть определен процесс логирования. Это критически важный момент для любой SIEM системы, поскольку SIEM только получает события от других систем и не выступает как источник этих событий и не логирует никакие действия. Хорошо отлаженный механизм логирования не только упрощает последующее внедрение SIEM, но так же помогает заранее оценить все плюсы и минусы каждой SIEM системы применительно именно к вашей компании и оценить ее стоимость.
- У каждого SIEM вендора есть компоненты, которые называются Collector/Connector/Receiver/Agent, тем не менее это лишь разные названия одного и того же – системы сбора логов от различных источников и приведения их к единому формату данных, который будет понятен системе. Эта конвертация называется нормализацией логов и обеспечивается парсингом входящих событий исходя их правил, которые применяются к событиям конкретного вендора и конкретного продукта. Большинство производителей SIEM решений предлагают свои средства для упрощения возможности написания собственных, кастомных парсеров под «неподдерживаемые» источники. Написание своих парсеров требует денег, времени и определенных скиллов, поэтому не нужно думать, что на этом возможно будет сэкономить. Отсюда вытекает очень важный вывод – поддежка необходимого источника «из коробки» всегда лучше написания такого парсера самостоятельно. Да, можно доработать парсер от производителя под себя, но писать его с нуля, скажем, под все события Windows платформ, это занятие не тривиальное. Учитывайте это прежде чем начинать внедрение конкретного решения.
- Определите основные направления внедрения с организационной точки зрения. Это позволит вам настроить SIEM соответствующим образом. Эти приоритетные области должны быть классифицированы, а затем и расширены на уровени ниже. Например, если ваша основная цель это выстраивание защиты исходя из принятой в компании модели угроз, посмотрите, какими системами эта модель угроз покрывается, подключите к SIEM именно эти источники и смежные с ними, обеспечьте автоматизацию процессов поиска нарушений именно тех правил, которые описывают защиту от ваших угроз и затем расширяйте покрытие сбора логов и углубляйте аналитику на их основе.
- Поддержка, обслуживание и тюнинг SIEM решения требует выделенного специалиста. Это очень важно, чтобы SIEM не превращался в предмет, который кто-то один раз настроил и все, дальнейшая работа с ним это только несколько дашбордов на экране руководителя. Без постоянных доработок правил корреляции, описывающих новые угрозу, подключения новых источников, тюнинга агрегации и т.д. продукт будет постепенно приходить к виду обычного хранилища логов (а они стоят значительно дешевле).
- Необходимо понять, что SIEM не решит разом все ваши проблемы с безопасностью. Это не волшебная палочка. Если установка и настройка сделаны правильно, SIEM сможет направить вас в нужном направлении, в направлении, в котором вы сможете выявлять и устранять проблемы безопасности в компании, тем самым постепенно поднимая общий уровень безопасности. Система поможет найти инцидент и расследовать его, но сама она это не сделает за вас, как и не примет соответствующие меры.
- Корреляция является жизненно важной частью SIEM решения. До внедрения SIEM решения постарайтесь классифицировать и описать основные возможные векторы атак, которые применимы к компании. Это позволит на этапе внедрения сильно сократить время, необходимое для того, чтобы SIEM давал наиболее подходящие для вас. Можно это сделать и на этапе внедрения, изучая встроенные правила SIEM, исследовать их взаимосвязи и выстраивать свои модели сначала на бумаге, а потом и конструируя свои корреляционные правила.
- Не забудьте про фильтрацию событий. Корреляционный движок сделает свою работу быстрее и лучше, если вы более точно будете ему указывать, «что такое плохо». К тому же, если у вас будет несколько правил, которые будут что-то делать на основе каждого из 5000 событий, приходящих в 1 секунду, то скорость работы систему будет пропорционально снижаться… Производители SIEM решений оперируют понятием Events Per Second (EPS) для определения входящей нагрузки, но этот же параметр показывает, какое количество событий в секунду используется на тех правилах, которые есть в системе изначально, или которые создаете вы сами.
- Помните, чем лучше описание слоев обработки, тем меньше EPS. Это хорошо объясняется на перевернутой пирамиде, когда есть поток в тысячи событий в секунду, а в итоге это сводится к единичным событиям (OS: Windows --> Type: Authentication --> Result: Failed -->Network Segment: Production Servers), требующим обработки отдельно или в связке с другими событиями.
- И последнее, но не менее важное, «Будьте внимательны и осторожны. Логи не врут»
Надеюсь, этот пост поможет вам в получении четкого представления идеи и технологиях SIEM. Я работаю с HP ArcSight, IBM QRadar и McAfee SIEM, больше всего нравится ArcSight. Если у вас есть идейные вопросы про SIEM или конкретно про ArcSight – прошу в комментариях их высказывать. В дальнейшем планирую развивать тему SIEM в части идей для правил корреляций и векторов атак, сравнения функциональных фишек продуктов и т.д.
Спасибо за внимание!