Курс MaxPatrol SIEM Getting Started. Статья 1: Знакомство с SIEM

Приветствуем вас в новом курсе от платформы TS University: «MaxPatrol SIEM Getting Started!»

В статьях мы познакомимся с нюансами работы SIEM-систем, рассмотрим функционал и возможности решения компании Positive Technologies, узнаем структуру архитектуры продукта, особенности его сертификации и лицензирования и научимся корректно устанавливать систему.

О Positive Technologies

Компания-разрабочик Positive Technologies уже более 20-ти лет исследует и разрабатывает решения в области информационной безопасности на российском рынке. Используемые в разработке технологии построены на многолетнем опыте и экспертизе специалистов по кибербезопасности.

Ежегодно эксперты компании выявляют сотни уязвимостей нулевого дня и проводят более двухсот аудитов безопасности корпоративных систем. Компания осуществляет глубокую аналитику и выпускает больше 20-ти исследований в год.

Согласно исследованию IDC: MaxPatrol SIEM входит в тройку лидеров российского рынка SIEM. Другие же отечественные SIEM-системы занимают не более 6% рынка.

Почему SIEM?

MaxPatrol Security Information and Event Management в качестве лидирующего российского решения этого типа обеспечивает выявление инцидентов информационной безопасности и дает полную видимость IT-инфраструктуры. Находится в тройке лидеров российского рынка SIEM согласно исследованию компании IDC.

Система точно детектирует инциденты за счет:

• регулярного получения экспертных знаний о способах детектирования актуальных видов атак;
  
• полной видимости инфраструктуры и адаптации к изменениям в ней.
  

MaxPatrol SIEM позволяет:

• обнаруживать самые актуальные угрозы;
  
• строить актуальную модель IT-инфраструктуры в реальном времени;
  
• оперативно проводить мониторинг состояния ИБ в организации;
  
• адаптировать группы IT-активов к изменениям в сети;
  
• гибко создавать правила корреляции;
  
• контролировать работу источников;
  
• упрощать работу с ложными срабатываниями
  

Данный набор преимуществ позволяет выстраивать полноценный процесс по контролю и устранению инцидентов во всей IT-инфраструктуре.

Архитектура SIEM


MaxPatrol SIEM выстроен на единой платформе с MaxPatrol VM: MaxPatrol 10 и состоит из компонентов, которые можно размещать как на одном сервере, так и на нескольких. Это обеспечивает масштабирование и позволяет внедрять систему в компаниях любого размера.

Система состоит из следующих компонентов:

• MaxPatrol 10 Core
  Core является основным компонентом системы, её управляющим сервером. Чаще всего устанавливается в центральном офисе компании или в крупных территориальных и функциональных подразделениях.
  Выполняет следующие функции:
  • централизованное хранение конфигурации активов;
    
  • выстраивание топологии сети;
    
  • централизованное управление всеми компонентами системы;
    
  • обеспечение взаимодействия подразделений организации при расследовании инцидентов;
    
  • автоматизация процесса управления уязвимостями;
    
  • поддержка веб-интерфейса систем
    

• MaxPatrol SIEM Server
  SIEM Server выполняет основные функции по обработке событий:
  • нормализация, агрегация, обогащение и корреляция событий;
    
  • автоматическое создание инцидентов;
    
  • привязку событий к активам
    

• MaxPatrol SIEM Event Storage
  SIEM Events Storage обеспечивает централизованное хранение информации о событиях безопасности
  

• Collector
  Collector — это многомодульная платформа для сканирования активов IT-инфраструктуры организации и сбора событий с источников.
  
  Модули сканирования позволяют обнаруживать узлы и их открытые сетевые сервисы и проводить специализированные проверки в режиме теста на проникновение.
  
  Collector собирает следующую информацию об активах:
  
  • название;
    
  • версию и производителя операционной системы;
    
  • установленные обновления ОС;
    
  • список установленного ПО;
    
  • параметры ОС и ПО;
    
  • учетные записи пользователей и их привилегии;
    
  • данные об аппаратном обеспечении;
    
  • запущенные сетевые сервисы и службы ОС;
    
  • параметры сети и средств защиты
    
  К одному компоненту MP SIEM Server можно подключать несколько коллекторов. Это позволяет увеличивать производительность, учитывать при сканировании топологию сети и типы каналов связи (например, наличие межсетевых экранов или других средств защиты).
  

• MaxPatrol NAD Sensor
  NAD Sensor выполняет комплексный анализ сетевого трафика на уровнях L2—L7 сетевой модели OSI и собирает данные о соединениях.
  
  В отличие от обычной версии PT NAD в MP NAD Sensor:
  • захваченный трафик не сохраняется на диск (нет хранилища файлов PCAP);
    
  • метаданные трафика хранятся не больше одного дня;
    
  • скорость захвата трафика ограничена 1 Гбит/с
    

• Knowledge Base
  KB — это единая база знаний для продуктов Positive Technologies.
  
  Она содержит пакеты экспертизы (наборы правил и табличных списков) макросы и схему полей событий, сведения о возможном ПО на активах. Также вместе с KB поставляются утилиты SDK для работы с данными базы.
  

• PT Management and Configuration
  MC обеспечивает:
  • сервис единого входа в продукты Positive Technologies, развернутые в инфраструктуре организации;
    
  • управление пользователями системы (создание учетных записей, назначение прав, блокирование и активацию учетных записей);
    
  • журналирование действий пользователей.
    

• PT Update and Configuration Service
  Компонент UCS — это сервис онлайн-обновления компонентов MaxPatrol SIEM.
  
  PT UCS обеспечивает проверку наличия, загрузку и установку новых версий компонентов, а также обновление базы данных по уязвимостям.
  
  Для доставки компонентам новых версий используется ПО SaltStack:
  
  • модуль Salt Master находится на сервере PT UCS;
    
  • модуль Salt Minion — на серверах компонентов MaxPatrol SIEM
    
  PT UCS получает новые версии компонентов с глобального сервера обновлений Positive Technologies и с помощью модуля Salt Master отправляет их модулям Salt Minion для установки.
  

• PT Cybsi Provider
  Компонент PT Cybsi Provider обеспечивает доставку данных об угрозах информационной безопасности и индикаторах компрометации, специфичных для отдельной организации в данный момент времени.
  
  Индикаторы компрометации — это артефакты, наблюдаемые в сети или в операционной системе и указывающие на вредоносную активность в инфраструктуре.
  

• PT Retro Correlator
  Компонент PT Retro Correlator выполняет повторную проверку полученных ранее событий при помощи правил корреляции. В состав компонента входят службы mpagent. service и siemserver-retrocontroller.service.
  

Конфигурации

В зависимости от сложности IT-инфраструктуры организации существуют следующие конфигурации MaxPatrol SIEM:

• низконагруженная система (периодическое сканирование узлов не чаще одного раза в месяц и поток событий от источников, не превышающий 3000 событий в секунду);
  
• средненагруженная система (поток событий от источников, не превышающий 10 000 событий в секунду);
  
• высоконагруженная система (поток событий от источников, не превышающий 30 000 событий в секунду);
  
• сверхнагруженная система (поток событий от источников, не превышающий 60 000 событий в секунду)
  

Лицензирование

В MaxPatrol SIEM существует три типа лицензий:

• Базовая;
  
• Инфраструктурная;
  
• Лицензия на функциональные возможности
  

Базовая лицензия является обязательной и приобретается из расчета суммарного количества активов.

Инфраструктурная лицензия позволяет использовать соответствующий инфраструктурный компонент MaxPatrol SIEM в составе системы мониторинга и корреляции событий.

Артикул инфраструктурных лицензий MaxPatrol SIEM имеет вид PT-MPSIEM-XXX, где XXX — принятое обозначение инфраструктурного компонента.

Инфраструктурные лицензии:

Инфраструктурный компонент	Артикул	Комментарий
MaxPatrol SIEM Server	PT-MPSIEM-SRV	Серверная лицензия. Она должна присутствовать в любой спецификации. Для большой сети требуется несколько компонентов MaxPatrol SIEM Server
MaxPatrol SIEM HA	PT-MPSIEM-HANNNNN	Лицензия на кластер
MaxPatrol SIEM Server, лицензия на брокер событий	PT-MPSIEM-SRVEBC	Серверная лицензия + компонент MaxPatrol SIEM Event Broker, предназначенный для отправки событий с MP SIEM Server во внешние системы
MaxPatrol SIEM Server c расширенным управлением инцидентами	PT-MPSIEM-SRVIM	Серверная лицензия MaxPatrol SIEM с компонентом Incident Management
Лицензия на коннектор для Incident management к НКЦКИ	PT-MPSIEM-IM-GS	Коннектор Incident Management к НКЦКИ
Лицензия на коннектор для Incident management к «ФинЦЕРТ»	PT-MPSIEM-IM-FC	Коннектор Incident Management к «ФинЦЕРТ»
MaxPatrol SIEM Server + MaxPatrol VM Server	PT-MPSIEM-SIEMVM-SRV	Объединенная серверная лицензия MaxPatrol SIEM + MaxPatrol VM
MaxPatrol SIEM Server + MaxPatrol VM Server c расширенным управлением инцидентами	PT-MPSIEM-SIEMVM-SRV-IM	Объединенная серверная лицензия MaxPatrol SIEM + MaxPatrol VM + IM
Сбор и обработка событий MaxPatrol SIEM	PT-MPSIEMLSNNNNN	Лицензия на неограниченное количество компонентов Asset and Event Collector (ранее назывались агентами). Лицензирование производится по количеству активов или EPS (по большему из параметров)
Выявление сетевых угроз в MaxPatrol SIEM	PT-MPSIEMNSNNNNN	Лицензируется по ширине сетевого канала и количеству сетевых потоков в минуту. Функциональные возможности реализуются посредством PT NAD
Расширенное выявление угроз, связанное с наличием уязвимостей	PT-MPSIEM-TSRHNNNNN	Лицензируется по количеству активов, для которых необходима оценка уязвимостей. Функциональные возможности реализуются посредством MaxPatrol VM

Для построения иерархических систем и нагруженных инсталляций существует несколько вариантов лицензии MaxPatrol SIEM с разными артикулами и ограничениями на количество собранных активов и обрабатываемых в секунду событий.

Лицензии на функции MaxPatrol SIEM:

Инфраструктурный компонент	Артикул	Комментарий
Сбор и обработка событий MaxPatrol SIEM	PT-MPSIEMLSNNNNN	Лицензия для неограниченного количества компонентов Asset and Event Collector (ранее назывались агентами)
Выявление сетевых угроз в MaxPatrol SIEM	PT-MPSIEMNSNNNNN	Лицензируется по ширине сетевого канала и количеству сетевых потоков в минуту
Расширенное выявление угроз, связанное с наличием уязвимостей	PT-MPSIEM-TSRHNNNNN	Лицензируется по количеству активов, для которых необходима оценка уязвимостей

В каждой системе мониторинга и корреляции событий на базе MaxPatrol SIEM должна присутствовать как минимум одна лицензия на сбор и обработку событий MaxPatrol SIEM.

Срок действия первоначальной лицензии по умолчанию — 1 год.

По окончании срока действия, указанного в бланке лицензии: она становится недействительной, поставка обновлений MaxPatrol SIEM и оказание услуг технической поддержки прекращаются.




На данном примере мы видим комбинацию базовой лицензии на 1000 узлов, серверная лицензия и лицензия для сбора и обработки событий.

Сертификация

MaxPatrol SIEM имеет сертификат ФСТЭК России № 3734 от 17 января 2023 г., что позволяет применять MaxPatrol SIEM для защиты АС до 1 Г, ИСПДн, ГИС и АСУ ТП.


Заключение

В следующей статье цикла мы детально изучим процессы подготовки ОС и виртуальных машин к установке, а также проведём установку и настройку MaxPatrol SIEM на виртуальную машину. Оставайтесь с нами!