Уже более 10 лет команда RuSIEM занимается созданием решений в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры на основе анализа данных в реальном времени. В 2024 г. разработчики обновили интерфейс флагманского продукта – SIEM-системы RuSIEM. Что именно сделало нашу систему еще более понятной и простой в использовании и можно ли в ней по-прежнему создать новое правило корреляции всего за несколько минут, читайте в этой статье.

Автор: Даниил Вылегжанин, руководитель отдела предпродажной подготовки RuSIEM

Отечественная SIEM-система с уникальной микросервисной архитектурой

Вначале немного расскажу о самом продукте и его архитектуре. Как правило, схемы работы SIEM-систем строятся по схожему принципу:

• сперва события собираются из источников в единую платформу;
• затем происходит нормализация, то есть приведение к единому виду;
• далее следуют процессы обогащения, корреляции и сохранения событий в базе данных.

Однако, если в большинстве решений все этапы обработки событий происходят в рамках единого монолитного компонента, то архитектура системы RuSIEM предполагает вынесение каждого из этапов в отдельный микросервис.

Микросервисы представляют собой полностью самостоятельные сущности, каждой из которых можно управлять независимо от других: обновлять, перезапускать, останавливать и возобновлять работу без необходимости перезапуска всей системы.

На каждом микросервисе располагается собственный мастер очереди, который обеспечивает гарантированную доставку событий в систему в случаях недоступности одного или даже нескольких микросервисов одновременно, например, при их обслуживании или масштабировании.

Если микросервис становится недоступен, события будут накапливаться в локальном мастере очереди. А как только микросервис вновь станет доступен, события из очереди передадутся ему на обработку, при этом очередь полностью разберётся, сохраняя весь контекст инцидента. Благодаря этим архитектурным особенностям RuSIEM можно масштабировать и обслуживать "на горячую", то есть без необходимости остановки сбора событий.

Что нового добавилось в 2024 году?

В начале 2024 г. разработчики RuSIEM выпустили крупное обновление флагманского продукта, в рамках которого полностью переработали веб-интерфейс системы.

Новая панель мониторинга

В RuSIEM появилась новая панель мониторинга с гибко настраиваемыми виджетами (см. рис. 1).

Рис. 1. Обновленная панель мониторинга в RuSIEM

Рис. 2. Работа с источниками в RuSIEM

Добавились новые метрики мониторинга системы. Помимо отслеживания состояния каждого микросервиса, стал доступен мониторинг нагрузки на систему: использование RAM, заполненность дискового пространства и загрузка процессоров. Причем эту информацию можно получить не только для головной ноды, но и для всех подчиненных в режиме мультитенантности. Из единого окна головной ноды также можно определить нагрузку на все подчиненные и при необходимости оперативно отреагировать на недостаток ресурсов на нодах, расположенных в филиалах предприятия.

Корреляция

Переработан раздел корреляции. Теперь при создании нового правила этапы описания логики выявления инцидента разбиты на логические разделы (см. рис. 3.).

Рис. 3. Обновленный раздел корреляции в RuSIEM

Основные настройки инцидента

В разделе "Основные настройки" можно определить ключевые параметры для выявляемого инцидента: наименование, категорию, критичность и описание. Здесь же можно ограничить работу конкретного правила корреляции таким образом, чтобы оно отрабатывало сразу для всех поступающих в систему событий либо только для событий, поступающих по определенному транспорту, от источника конкретного производителя или даже от отдельно взятого продукта. Таким образом, правила корреляции будут работать только с теми событиями, которые подходят под логику их срабатывания, не нагружая систему бесполезными операциями.

Условия срабатывания

На вкладке "Условия срабатывания" определяется ключевая логика, по которой инцидент будет выявляться в автоматическом режиме. В этом разделе разработчики оставили понятный и полюбившийся многим заказчикам графический конструктор, с помощью которого можно создать новое правило корреляции всего за несколько минут без знания языков программирования. Подход No-code помогает снизить избыточные требования к операторам SIEM, позволяя сфокусироваться на логике создаваемых правил в наглядном виде.

Симптоматика

Для упрощения написания правил корреляции можно использовать симптомы – понятные русскоязычные описания, позволяющие проще и быстрее идентифицировать события в потоке.

Теперь нет необходимости писать паттерны текста событий в правилах корреляции. К примеру, существует целая категория симптомов "Неуспешный вход ssh": это могут быть события от Ubuntu, SunOS, Red Hat, SUSE, FreeBSD. А далее в RuSIEM можно оперировать фактом "неуспешного входа по ssh" в правилах для обнаружения неуспешных попыток доступа для критичных активов, служебных учетных записей, многочисленных распределенных по времени атак и т.п. (см. рис. 4).

Рис. 4. Использование симптомов в RuSIEM

С симптоматикой достаточно сделать один или целую группу симптомов, характеризующих эти действия или воздействия, и уже к ним привязывать паттерны в зависимости от различных источников с разными форматами событий.

Использование симптомов и категорий в правилах корреляции позволяет сделать более универсальными и понятными. При этом при подключении к системе совершенно нового источника достаточно добавить новые условия в симптомы. События от нового источника начнут тегироваться данными симптомами, и старые правила корреляции будут работать с новым потоком событий.

В заключение

В 2024 г. в SIEM-систему RuSIEM было добавлено более 40 правил корреляций, 30 поддерживаемых источников событий и 15 новых возможностей. С более подробной информацией можно ознакомиться в разделе "История обновлений" [1] на нашем корпоративном сайте или по электронной почте info@rusiem.com.

1. https://rusiem.com/ru/products/release_notes