Эволюция SIEM-системы

23.05.2024

касперский.png

Уважаемые пользователи!

Работа SIEM-системы теряет смысл без постоянной эволюции. Ландшафт угроз меняется, а это значит, что для эффективного анализа данных приходится регулярно добавлять новые правила. Разумеется, львиная доля правил корреляции дорабатывается на стороне внутренней ИБ-команды, однако для облегчения этого процесса важно иметь актуальные правила, поставляемые из коробки. Еще один важный момент: SIEM-система должна уметь адаптироваться к эволюции информационной инфраструктуры компании; быть готовой к работе с новыми источниками событий, каждому из которых требуется новый нормализатор (механизм приведения данных от произвольных источников к единому формату). Работа по этим направлениям ведется непрерывно и в Kaspersky Unified Monitoring and Analysis Platform (KUMA) встраиваются новые нормализаторы и правила корреляции. В этом посте рассказываем о том, что было добавлено в версии 3.0.3.

Новые и доработанные нормализаторы

С момента релиза KUMA 2.1 до релиза KUMA 3.0.3 было выпущено 99 пакетов обновлений с новыми или улучшенными нормализаторами. Среди них 63 обновлений, обеспечивающих поддержку новых источников событий, и 38 — улучшающих текущие нормализаторы. В них была добавлена поддержка дополнительных типов событий, реализованы различные доработки и исправления. Остальные обновления содержат постоянно улучшаемые правила корреляции, фильтры и другие ресурсы, ориентированные на повышение удобства использования.

В числе прочего в SIEM-систему добавили нормализаторы, позволяющие работать со следующими источниками событий:

Cisco Prime (для событий системы Cisco Prime версии 3.10, поступающих по syslog);
PowerDNS (для обработки событий PowerDNS Authoritative Server версии 4.5, поступающих по Syslog);
Microsoft Active Directory Federation Service (AD FS) (для обработки событий Microsoft AD FS; нормализатор поддерживает работу с данным источником событий в KUMA, начиная с версии 3.0.1);
Microsoft Active Directory Domain Service (AD DS) (для обработки событий Microsoft AD DS; нормализатор также поддерживает работу с данным источником событий в KUMA, начиная с версии 3.0.1);
NetApp ([OOTB] NetApp syslog — для обработки событий системы NetApp версии ONTAP12, поступающих по syslog, а также [OOTB] NetApp file — для обработки событий системы NetApp версии ONTAP 9.12, хранящихся в файле);
RedCheck Desktop (для обработки журналов системы RedCheck Desktop версии 2.6, хранящихся в файле);
ИВК — Кольчуга-К;
А-реал — Интернет Контроль Сервер;
КриптПро — Ngate;
Сетевые устройства MikroTik;
СУБД PostgreSQL;
СУБД MySQL;
Солар — Дозор;
Vmware — ESXi;
Кибер Бэкап 16.5;
Microsoft Office365.

Кроме того, эксперты доработали следующие нормализаторы:

для продуктов компании Microsoft: переработана структура нормализатора, добавлена поддержка новых продуктов и дополнительных типов событий;
для системы PT NAD: реализована поддержка событий актуальной версии продукта;
для UNIX-подобных операционных систем — реализована поддержка дополнительных типов событий;
для событий сетевых устройств Juniper (этот нормализатор был значительно переработан и оптимизирован);
для системы Citrix NetScaler — реализована поддержка дополнительных типов событий.

Обновление правил корреляции

Улучшено наполнение всех существующих корреляционных правил из пакета SOC Content на русском языке — акцент был сделан на проверке логики правил и их доработке на основе реального опыта использования пользователями. Улучшили качество описания правил, в том числе в части полей описания инцидентов.

Наряду с обновлением русскоязычного пакета SOC Content мы выпустили и полноценный пакет SOC Content на английском языке, полностью синхронизирующий его контент с русскоязычной версией. С этого момента мы планируем осуществлять синхронное обновление пакетов на двух языках.

Сейчас на платформе доступно более 500 правил наряду с дополнительными инструментами, необходимыми для их работы, такими как активные листы, фильтры и словари.

Как обновления доставляются в SIEM-систему KUMA

Весь разрабатываемый контент распространяется через подсистему распространения обновлений Kaspersky Update Servers, что сокращает время его доставки до потребителей. Подсистема в автоматическом режиме запрашивает обновления и информирует о них, но решение о применении обновлений остается за оператором. Это позволяет администраторам быстро получать информацию о доступных пакетах контента, анализировать содержимое каждого обновления и принимать решение о внедрении новых ресурсов в инфраструктуру или об обновлении существующих ресурсов.

Подсистема обновлений значительно расширяет возможности KUMA по быстрому реагированию на изменения ландшафта угроз и инфраструктуры. Кроме того, возможность ее использования без прямого доступа к Интернету гарантирует, что обрабатываемые SIEM-системой данные не покинут периметр и будут защищены, а пользователи смогут получать последние обновления контента системы.

Kaspersky Update Servers: информация о доступных обновлениях

С полным перечнем поддерживаемых источников событий в Kaspersky Unified Monitoring and Analysis Platform версии 3.0.3 можно ознакомиться в разделе технической поддержки, где также доступна информация о правилах корреляции. Разумеется, обновление SIEM-системы не ограничивается только лишь новыми нормализаторами и детектирующей логикой — недавно мы также писали об улучшении пользовательского интерфейса, и автоматизации рутинных процессов.

______________________________________________________________________________________________________________________________________________________________________

Ознакомиться с полной статьей Вы можете здесь. Источник новости: www.kaspersky.ru

Помните, что не только Вашему бизнесу нужна защита!
Защиту для домашних пользователей можно купить в интернет-магазине компании «ЮКОЛА-ИНФО».

Если у Вас возникли вопросы или желаете получить консультацию по определенному решению — позвоните нам по телефонам:
+375 (17) 28 28 903 МГТС
+375 (29) 128 34 62 А1 (Viber)
+375 (33) 666 59 03 МТС

Приятной работы!

Количество показов: 1357