В статьях мы познакомимся с нюансами работы SIEM-систем, рассмотрим функционал и возможности решения компании Positive Technologies, узнаем структуру архитектуры продукта, особенности его сертификации и лицензирования и научимся корректно устанавливать систему.
О Positive Technologies
Компания-разрабочик Positive Technologies уже более 20-ти лет исследует и разрабатывает решения в области информационной безопасности на российском рынке. Используемые в разработке технологии построены на многолетнем опыте и экспертизе специалистов по кибербезопасности.
Ежегодно эксперты компании выявляют сотни уязвимостей нулевого дня и проводят более двухсот аудитов безопасности корпоративных систем. Компания осуществляет глубокую аналитику и выпускает больше 20-ти исследований в год.
Согласно исследованию IDC: MaxPatrol SIEM входит в тройку лидеров российского рынка SIEM. Другие же отечественные SIEM-системы занимают не более 6% рынка.
| Статью подготовили инженеры внедрения и технической поддержки TS Solution. Группа компаний «TS Solution» решает задачи по проектированию и внедрению комплексных проектов в сфере ИТ и ИБ на основе отечественных и зарубежных решений. Основные направления деятельности: – Аудит, соответствие требованиям регуляторов, категорирование объектов КИИ; – Полный спектр работ по построению системы ИБ; – Построение IT-инфраструктуры;– Проектирование и внедрение инфраструктурных решений, серверные технологии и системы хранения данных; – Работы требующие аттестации ФСТЭК и ФСБ; – Предоставление 1-й и 2-й линии технической поддержки и полное техническое сопровождение проектов; – Проведение авторизованных и авторских курсов и программ обучения |
Почему SIEM?
MaxPatrol Security Information and Event Management в качестве лидирующего российского решения этого типа обеспечивает выявление инцидентов информационной безопасности и дает полную видимость IT-инфраструктуры. Находится в тройке лидеров российского рынка SIEM согласно исследованию компании IDC.
Система точно детектирует инциденты за счет:
- регулярного получения экспертных знаний о способах детектирования актуальных видов атак;
- полной видимости инфраструктуры и адаптации к изменениям в ней.
MaxPatrol SIEM позволяет:
- обнаруживать самые актуальные угрозы;
- строить актуальную модель IT-инфраструктуры в реальном времени;
- оперативно проводить мониторинг состояния ИБ в организации;
- адаптировать группы IT-активов к изменениям в сети;
- гибко создавать правила корреляции;
- контролировать работу источников;
- упрощать работу с ложными срабатываниями
Архитектура SIEM
MaxPatrol SIEM выстроен на единой платформе с MaxPatrol VM: MaxPatrol 10 и состоит из компонентов, которые можно размещать как на одном сервере, так и на нескольких. Это обеспечивает масштабирование и позволяет внедрять систему в компаниях любого размера.
Система состоит из следующих компонентов:
- MaxPatrol 10 Core
Core является основным компонентом системы, её управляющим сервером. Чаще всего устанавливается в центральном офисе компании или в крупных территориальных и функциональных подразделениях.
Выполняет следующие функции:- централизованное хранение конфигурации активов;
- выстраивание топологии сети;
- централизованное управление всеми компонентами системы;
- обеспечение взаимодействия подразделений организации при расследовании инцидентов;
- автоматизация процесса управления уязвимостями;
- поддержка веб-интерфейса систем
- централизованное хранение конфигурации активов;
- MaxPatrol SIEM Server
SIEM Server выполняет основные функции по обработке событий:- нормализация, агрегация, обогащение и корреляция событий;
- автоматическое создание инцидентов;
- привязку событий к активам
- нормализация, агрегация, обогащение и корреляция событий;
- MaxPatrol SIEM Event Storage
SIEM Events Storage обеспечивает централизованное хранение информации о событиях безопасности
- Collector
Collector — это многомодульная платформа для сканирования активов IT-инфраструктуры организации и сбора событий с источников.
Модули сканирования позволяют обнаруживать узлы и их открытые сетевые сервисы и проводить специализированные проверки в режиме теста на проникновение.
Collector собирает следующую информацию об активах:- название;
- версию и производителя операционной системы;
- установленные обновления ОС;
- список установленного ПО;
- параметры ОС и ПО;
- учетные записи пользователей и их привилегии;
- данные об аппаратном обеспечении;
- запущенные сетевые сервисы и службы ОС;
- параметры сети и средств защиты
- название;
- MaxPatrol NAD Sensor
NAD Sensor выполняет комплексный анализ сетевого трафика на уровнях L2—L7 сетевой модели OSI и собирает данные о соединениях.
В отличие от обычной версии PT NAD в MP NAD Sensor:- захваченный трафик не сохраняется на диск (нет хранилища файлов PCAP);
- метаданные трафика хранятся не больше одного дня;
- скорость захвата трафика ограничена 1 Гбит/с
- захваченный трафик не сохраняется на диск (нет хранилища файлов PCAP);
- Knowledge Base
KB — это единая база знаний для продуктов Positive Technologies.
Она содержит пакеты экспертизы (наборы правил и табличных списков) макросы и схему полей событий, сведения о возможном ПО на активах. Также вместе с KB поставляются утилиты SDK для работы с данными базы.
- PT Management and Configuration
MC обеспечивает:- сервис единого входа в продукты Positive Technologies, развернутые в инфраструктуре организации;
- управление пользователями системы (создание учетных записей, назначение прав, блокирование и активацию учетных записей);
- журналирование действий пользователей.
- сервис единого входа в продукты Positive Technologies, развернутые в инфраструктуре организации;
- PT Update and Configuration Service
Компонент UCS — это сервис онлайн-обновления компонентов MaxPatrol SIEM.
PT UCS обеспечивает проверку наличия, загрузку и установку новых версий компонентов, а также обновление базы данных по уязвимостям.
Для доставки компонентам новых версий используется ПО SaltStack:- модуль Salt Master находится на сервере PT UCS;
- модуль Salt Minion — на серверах компонентов MaxPatrol SIEM
- модуль Salt Master находится на сервере PT UCS;
- PT Cybsi Provider
Компонент PT Cybsi Provider обеспечивает доставку данных об угрозах информационной безопасности и индикаторах компрометации, специфичных для отдельной организации в данный момент времени.
Индикаторы компрометации — это артефакты, наблюдаемые в сети или в операционной системе и указывающие на вредоносную активность в инфраструктуре.
- PT Retro Correlator
Компонент PT Retro Correlator выполняет повторную проверку полученных ранее событий при помощи правил корреляции. В состав компонента входят службы mpagent. service и siemserver-retrocontroller.service.
В зависимости от сложности IT-инфраструктуры организации существуют следующие конфигурации MaxPatrol SIEM:
- низконагруженная система (периодическое сканирование узлов не чаще одного раза в месяц и поток событий от источников, не превышающий 3000 событий в секунду);
- средненагруженная система (поток событий от источников, не превышающий 10 000 событий в секунду);
- высоконагруженная система (поток событий от источников, не превышающий 30 000 событий в секунду);
- сверхнагруженная система (поток событий от источников, не превышающий 60 000 событий в секунду)
В MaxPatrol SIEM существует три типа лицензий:
- Базовая;
- Инфраструктурная;
- Лицензия на функциональные возможности
Инфраструктурная лицензия позволяет использовать соответствующий инфраструктурный компонент MaxPatrol SIEM в составе системы мониторинга и корреляции событий.
Артикул инфраструктурных лицензий MaxPatrol SIEM имеет вид PT-MPSIEM-XXX, где XXX — принятое обозначение инфраструктурного компонента.
Инфраструктурные лицензии:
| Инфраструктурный компонент | Артикул | Комментарий |
|---|---|---|
| MaxPatrol SIEM Server | PT-MPSIEM-SRV | Серверная лицензия. Она должна присутствовать в любой спецификации. Для большой сети требуется несколько компонентов MaxPatrol SIEM Server |
| MaxPatrol SIEM HA | PT-MPSIEM-HANNNNN | Лицензия на кластер |
| MaxPatrol SIEM Server, лицензия на брокер событий | PT-MPSIEM-SRVEBC | Серверная лицензия + компонент MaxPatrol SIEM Event Broker, предназначенный для отправки событий с MP SIEM Server во внешние системы |
| MaxPatrol SIEM Server c расширенным управлением инцидентами | PT-MPSIEM-SRVIM | Серверная лицензия MaxPatrol SIEM с компонентом Incident Management |
| Лицензия на коннектор для Incident management к НКЦКИ | PT-MPSIEM-IM-GS | Коннектор Incident Management к НКЦКИ |
| Лицензия на коннектор для Incident management к «ФинЦЕРТ» | PT-MPSIEM-IM-FC | Коннектор Incident Management к «ФинЦЕРТ» |
| MaxPatrol SIEM Server + MaxPatrol VM Server | PT-MPSIEM-SIEMVM-SRV | Объединенная серверная лицензия MaxPatrol SIEM + MaxPatrol VM |
| MaxPatrol SIEM Server + MaxPatrol VM Server c расширенным управлением инцидентами | PT-MPSIEM-SIEMVM-SRV-IM | Объединенная серверная лицензия MaxPatrol SIEM + MaxPatrol VM + IM |
| Сбор и обработка событий MaxPatrol SIEM | PT-MPSIEMLSNNNNN | Лицензия на неограниченное количество компонентов Asset and Event Collector (ранее назывались агентами). Лицензирование производится по количеству активов или EPS (по большему из параметров) |
| Выявление сетевых угроз в MaxPatrol SIEM | PT-MPSIEMNSNNNNN | Лицензируется по ширине сетевого канала и количеству сетевых потоков в минуту. Функциональные возможности реализуются посредством PT NAD |
| Расширенное выявление угроз, связанное с наличием уязвимостей | PT-MPSIEM-TSRHNNNNN | Лицензируется по количеству активов, для которых необходима оценка уязвимостей. Функциональные возможности реализуются посредством MaxPatrol VM |
Лицензии на функции MaxPatrol SIEM:
| Инфраструктурный компонент | Артикул | Комментарий |
|---|---|---|
| Сбор и обработка событий MaxPatrol SIEM | PT-MPSIEMLSNNNNN | Лицензия для неограниченного количества компонентов Asset and Event Collector (ранее назывались агентами) |
| Выявление сетевых угроз в MaxPatrol SIEM | PT-MPSIEMNSNNNNN | Лицензируется по ширине сетевого канала и количеству сетевых потоков в минуту |
| Расширенное выявление угроз, связанное с наличием уязвимостей | PT-MPSIEM-TSRHNNNNN | Лицензируется по количеству активов, для которых необходима оценка уязвимостей |
Срок действия первоначальной лицензии по умолчанию — 1 год.
По окончании срока действия, указанного в бланке лицензии: она становится недействительной, поставка обновлений MaxPatrol SIEM и оказание услуг технической поддержки прекращаются.
На данном примере мы видим комбинацию базовой лицензии на 1000 узлов, серверная лицензия и лицензия для сбора и обработки событий.
Сертификация
MaxPatrol SIEM имеет сертификат ФСТЭК России № 3734 от 17 января 2023 г., что позволяет применять MaxPatrol SIEM для защиты АС до 1 Г, ИСПДн, ГИС и АСУ ТП.
Заключение
В следующей статье цикла мы детально изучим процессы подготовки ОС и виртуальных машин к установке, а также проведём установку и настройку MaxPatrol SIEM на виртуальную машину. Оставайтесь с нами!
| TS University делает большой шаг в сторону доступности знаний. Мы открыли самые популярные статьи портала для вас: Теперь вы можете свободно изучать и делиться понравившимися материалами с коллегами без регистрации на сайте! |
