Кто основной потребитель siem?
На данный момент — банковская сфера. Потому что
а) Им нужно регулярно проводить аудиты соответствия.
б) Банки работают с чувствительной информацией, поэтому в случае возникновения инцидентов важно знать, кто-когда-откуда допустил утечку, было это злонамеренное действие или случайное и какие были сопутствующие факторы.
в) Внешними аудитороми наличие SIEM иногда ставится в
Вторая категория потребителей — крупные предприятия (или географически распределенные предприятия), которые ежедневно генерируют тонну событий различного свойства и отследить которые просто физически невозможно, и руководители хотят «держать руку на пульсе», чтобы оперативно отреагировать на возможные инциденты.
Третья категория — крупные предприятия, кто уже познал всю прелесть неожиданно обнаруженного инцидента ИБ.
Соответственно, можно примерно очертить круг тех, кому, возможно, внедрение SIEM актуально:
- Должна быть большая/географически разветвленная инфраструктура. Насколько большая? Ну, наверное, это не 100 машин 🙂 Как минимум, 1000-1300.
- Должны быть системы ИБ — начиная от антивирусов и кончая DLP, IDS, IDM и т.д. Чем больше таких систем — тем лучше. На мой взгляд, в организации, которая собирается внедрять SIEM, DLP должна уже быть.
- Наличие устройств, которые требуют мониторинга. Многие SIEM системы «из коробки» поддерживают достаточно большое количество вендоров, в т.ч. какие-то специфические сообщения, и поэтому способны заблаговременно спрогнозировать какие-то критические ситуации. Скажем, контроллер беспроводной сети генерирует сообщение о том, что кол-во пользователей близко к критическому — на основе этого SIEM способна сгенерировать алерт, оповещение о котором будет направлено заинтересованному лицу.
- Должны быть деньги!!! И понимание того, что SIEM не окупится за полгода.
Аналитические возможности
Контроль информационных потоков и перехват данных — только часть функционала DLP-системы «Контур информационной безопасности SearchInform». Чтобы проанализировать весь массив информации и обнаружить инцидент, необходимы мощные поисковые и аналитические инструменты.
Совместное использование всех типов поиска позволяет максимально эффективно защищать конфиденциальные данные в корпоративной сети и, что особенно важно в современных условиях, — резко сократить трудозатраты на их анализ. Поисковые механизмы, встроенные в DLP-систему «Контур информационной безопасности SearchInform», позволяют эффективно работать со всеми видами конфиденциальной информации, содержащейся в перехваченных данных.
В решении заложены разнообразные технологии поиска:
- Поиск по словам с учетом морфологии и синонимов. Простейший вид поиска, позволяющий находить документы, содержащие заданные слова, их различные формы и синонимы, вне зависимости от того, в каком месте документа они находятся.
- Поиск по фразам с учетом порядка слов и расстояния между ними. С помощью данного вида поиска можно анализировать документ не по отдельным словам, а по словосочетаниям (например, фамилии и имени) или устоявшимся определениям.
- Поиск по атрибутам. Использование этого вида поиска позволяет искать документы по их признакам (формату, имени отправителя или получателя и др.). Также можно отслеживать активность отдельных доменных пользователей, IP-адреса, определенные адреса электронной почты, документы и т. д.
- Поиск по регулярным выражениям. Такой поиск позволяет отследить последовательности символов, характерные для различных форм персональных данных: содержащихся в финансовых документах, структурированных записях баз данных и т. п. С его помощью система оперативно реагирует на попытку отправки записи с такими персональными данными, как фамилия человека, день его рождения, номера кредитных карт, телефонов и т. д.
Рисунок 4. Пример отбора по регулярным выражениям в модуле AlertCenter
- Поиск по цифровым отпечаткам. Этот вид поиска предполагает выявление группы конфиденциальных документов и снятие с них цифровых отпечатков, по которым в дальнейшем и будет осуществляться поиск. С помощью данного метода можно быстро отследить в информационных потоках файлы, содержащие большие фрагменты текста из документов, относящихся к конфиденциальным.
- «Поиск похожих» (запатентованный алгоритм компании «SearchInform»). Интеллектуальные возможности данного типа поиска позволяют отслеживать отсылку конфиденциальных документов даже в том случае, если они были предварительно отредактированы. В качестве поискового запроса используются как фрагменты документов, так и документы целиком. В результате поиска выявляются документы, содержащие не только весь поисковый запрос, но и файлы, похожие на него по смыслу. Данный алгоритм позволяет существенно сократить временные затраты на анализ информации, значительно упрощая работу специалиста по безопасности.
Рисунок 5. Пример «поиска похожих» средствами модуля AlertCenter
- Комплексные поисковые запросы. Сложные запросы могут включать в себя два и более простых запросов, объединенных с помощью логических операторов AND, OR, NOT. C их помощью можно решать нестандартные поисковые задачи, выбирая именно те данные, которые нужны в данный момент специалисту по информационной безопасности.
Рисунок 6. Пример сложного запроса средствами модуля AlertCenter
Поисковые возможности «Контура информационной безопасности SearchInform» позволяют проводить аналитику любой сложности и адаптировать DLP-систему под конкретные задачи и корпоративные стандарты. В консоли модуля AlertCenter, отвечающего за автоматическое выявление нарушений политик безопасности, задаются критерии политики ИБ и расписание их автоматической проверки.
Рисунок 7. Настройка в модуле AlertCenter критериев и расписания проверок на примере политики безопасности «Поиск резюме»
Рисунок 8. Список инцидентов, зафиксированных в соответствии с критериями политики безопасности «Поиск резюме»
Архитектура решения
«Контур информационной безопасности SearchInform» предназначен для контроля информационных потоков в рамках локальной вычислительной сети. Контроль возможен двумя способами, в зависимости от используемого серверного компонента: SearchInform EndpointSniffer или SearchInform NetworkSniffer.
Рисунок 1. Архитектура DLP-системы «Контур информационной безопасности SearchInform»
«Контур информационной безопасности SearchInform» имеет модульную структуру, и условно ее можно сгруппировать следующим образом:
Модули контроля информации:
SearchInform EndpointSniffer — платформа для перехвата и блокировки информационных потоков посредством агентов, установленных на рабочие станции. Платформа Endpoint позволяет перехватывать информацию при помощи агентов, которые устанавливаются на ПК сотрудников.
При этом контролируются: интернет, корпоративная и личная электронная почта, все популярные мессенджеры (Viber, ICQ, и др.), Skype, облачные хранилища, FTP, Sharepoint, вывод документов на принтеры, использование внешних устройств хранения. Контролируется файловая система ПК, активность процессов и сайтов, информация, отображаемая на мониторах ПК и улавливаемая микрофонами, нажатые клавиши, доступно удаленное онлайн-наблюдение за ПК.
Также агент позволяет принудительно шифровать любые пользовательские данные, записываемые на носитель. Доступен контроль как открытых, так и шифрованных соединений. Возможна установка запрета на использование портов ввода-вывода или определенных устройств.
Также в системе реализована защита локальных ресурсов. Функционал позволяет регулировать доступ к критичным данным: скрывает/закрывает папки топ-менеджмента, запрещает доступ к информации даже привилегированным пользователям (системным администраторам, техническим специалистам и т.д.).
Агенты SearchInform EndpointSniffer производят теневое копирование перехваченной информации и направляют полученные данные серверу SearchInform EndpointSniffer. Сервер помещает перехваченные данные в базу под управлением СУБД Microsoft SQL Server.
Рисунок 2. Типовая схема работы SearchInform EndpointSniffer
SearchInform NetworkSniffer — платформа перехвата и блокировки информационных потоков на уровне сети. SearchInform NetworkSniffer позволяет работать с зеркалируемым трафиком, прокси-серверами (ICAP либо ISATMG), почтовыми серверами (интеграция через почтовый ящик (POP3, IMAP, EWS), через SMTP, путем транспортных правил или журналирования), прочим корпоративным ПО, например, Lynс.
Вы говорите — siem сама по себе не защищает. зачем она тогда?
SIEM нужна именно для сбора и анализа информации. Информация поступает с различных источников — таких, как DLP-системы, IDS, маршрутизаторы, межсетевые экраны, АРМ пользователей, серверов…
Согласитесь — достаточно муторно вручную просматривать логи с большого количества источников. К тому же, бывают ситуации, когда внешне безобидные события, полученные с различных источников, в совокупности несут в себе угрозу. Предположим, когда происходит отправка письма с чувствительными для компании данными человеком, имеющим на это право, но на адрес, находящийся вне его обычного круга адресов, на которые он отправляет.
ОК, инцидент произошел — но сотрудник, допустивший утечку, всячески открещивается. Как доказать? SIEM способна предоставить всю необходимую доказательную базу, пригодную как для внутренних расследований, так и для суда. Собственно говоря, это одно из ее главных предназначений. В момент создания инцидента также будут оповещены все заинтересованные лица.
И дополним штрих — периодически вам надо проводить аудиты на соответствие каким-либо стандартам. Это SIEM тоже умеет. Из дополнительных особенностей — SIEM после внедрения может косвенно вам помочь выбить деньги на дозакупку какого-то еще средства ИБ: например, вы в качестве обоснования прикладываете отчет, из которого видно, что большая часть полученных инцидентов закрывается запрашиваемым вами средством. Ниже иллюстрации, в каких случаях SIEM может быть полезна.
Предположим, у вас нет SIEM. Тогда вы имеете:
Картинки, конечно же, не претендуют на истину в последней инстанции, а просто дают примерно представление, зачем вам вообще может потребоваться SIEM.
Давайте подытожим, что может делать SIEM система:
- Анализировать события и создавать алерты при каких-то аномалиях: сетевого трафика, неожиданных действий пользователя, неопознанных устройствах и т.д.
- Проверить на соответствие стандартам (PCI DSS, COBIT и др). Не без подводных камней, правда.
- Создать красивый отчет. В том числе настроенный непосредственно для ваших нужд. Например, ежедневный отчет об инцидентах, еженедельный отчет ТОР-10 нарушителей, отчет по работоспособности устройств и т.д. Отчеты настраиваются гибко, как и их получатели.
- Мониторить события от устройств/серверов/критически важных систем, создавать соответствующие оповещения для заинтересованных лиц.
- Собрать доказательную базу по инцидентам.
- Помогать выбивать средства на системы ИБ из адекватных руководителей.
- При наличии сканера уязвимостей, SIEM частично избавит вас от головной боли в плане рисков.
Резюмируем
Здесь я постарался осветить общие вопросы, которые возникают у людей; к сожалению, специфика SIEM такова, что конкретные цифры для абстрактной организации привести сложно — надо знать конкретную специфику. Для предварительного уяснения ситуации можно использовать примерно такой список вопросов, на которые желательно ответить перед тем, как принимать решение о поиске интегратора, который вам все сделает (тем более, что он у вас примерно тоже спросит):
- Что я в ожидаю в конечном итоге от внедрения SIEM? (можно перефразировать как: какие повседневные задачи планируется выполнять с помощью SIEM?)
- Общее число пользователей?
- Есть ли какие-то филиалы, географически удаленные, события с которых тоже надо учитывать?
- Какие системы ИБ у нас уже есть?
- Планируется ли анализ сетевых потоков (sFlow, netFlow…)?
- Планируется ли снимать события с серверов, АРМ пользователей?
- Есть ли в инфраструктуре какие-то специфические устройства, события с которых тоже нужно учитывать?
- Как часто происходят инциденты, требующие вмешательства/расследования? (<10 инцидентов/день, 10…50 инцидентов/день, 50…100 инцидентов/день, >100 инцидентов/день)
- Необходимость проверки на соответствие каким-либо стандартам есть? Если да, то каким?
- Кто будет ответственным за обработку инцидентов?
- Через какое время я ожидаю получение какого-то ощутимого результата?
- Сколько мы готовы потратить на внедрение и закупку SIEM?
- Кто будет поддерживать SIEM и сколько мы готовы платить за поддержку?
Пара комментариев… Если вы не можете ответить на 1й вопрос — то советую почитать литературу и погуглить — не стоит надеяться на то, что в интеграторе вам все сразу расскажут. Потому что по телефону вам расскажут маркетинговый материал. При первой встрече вы узнаете, что у интегратора, естественно, есть опыт работы в этой области. Но!
Зачем вам понадобилась SIEM — инженеры будут понимать именно с ваших слов, потому что нужды конкретной организации и особенности ее функционирования вы должны знать лучше них. Поэтому, при отсутствии завершенного образа — что вы хотите получить в конечном итоге — вы получите то, что, как подумал интегратор, вам подойдет лучше всего.
При наличии образа — что вы хотите увидеть в конечном итоге — неизбежно скорректируются какие-то частности, но конечный результат, как правило, вас удовлетворит. Если у вас при ответе на 2-й вопрос — число пользователей — меньше 1000, то, скорее всего, SIEM вам не нужна.
На этом, пожалуй, закончу; если вы считаете, что какие-то общие вопросы не осветил — напишите, пожалуйста, в каментах.
Всем спасибо за внимание!
Сёрчинформ siem: обзор системы для анализа событий информационной безопасности
Это объясняется, в частности, законодательными изменениями: в последнее время выросли требования к организациям в вопросах защиты критической информационной инфраструктуры (Федеральный закон от 26 июля 2021 г. № 187-ФЗ). При этом у заказчиков в приоритете простота внедрения и обслуживания SIEM-систем.
Рассмотрим подробнее одно из решений этого класса – «СёрчИнформ SIEM».
Архитектура
Рис. 1. Схема работы «СёрчИнформ SIEM»
В «СёрчИнформ SIEM» информация из источников событий попадает на сервер SIEM, который отвечает за обработку, корреляцию и формирование ИБ-инцидентов. Для сопоставления событий с их инициаторами сервер SIEM использует компонент SearchInform DataCenter. Сбор и анализ событий в системе обеспечивают коннекторы.
Полный список коннекторов по состоянию на февраль 2020 года выглядит так:
*PostgreSQLConnector вычитывает и анализирует протоколы PostgreSQL из журнала Windows «Приложения»;
*ADMonitoringConnector отслеживает изменения атрибутов и объектов Active Directory;
*1CConnector вычитывает журналы 1C;
*GPOConnector отслеживает изменения в настройках объектов групповых политик;
*WinEventConnector вычитывает и анализирует журнал Windows Event Log, контроллеры доменов и серверов Windows, а также информацию об учетных записях (по протоколу LDAP). Поддерживает контроллеры доменов на базе Windows Server 2008 R2 и выше;
*ESEventConnector вычитывает базу данных FileController, которая содержит информацию о действиях пользователей с файлами;
*ProgramConnector собирает информацию об активности пользователей, подключаясь к базам данных ProgramController;
*DeviceConnector вычитывает базу данных DeviceController, которая содержит информацию о копируемых файлах, подключаемых внешних устройствах;
*SQLAuditConnector вычитывает и анализирует протоколы Microsoft SQL из журнала Windows «Приложения»;
*OracleConnector анализирует протоколы СУБД Oracle;
*KavEventConnector, SymantecConnector и McafeeConnector осуществляют подключения к базам данных Kaspersky Security Center, Symantec EPM и антивируса McAfee соответственно, а также чтение их записей;
*ExchangeConnector и DominoConnector вычитывают логи почтовых серверов Exchange и IBM Domino соответственно;
*SyslogConnector обеспечивает получение событий Syslog;
*VMwareConnector обеспечивает получение событий VMware ESXi;
*CiscoConnector обеспечивает получение событий сетевых устройств Cisco;
*FortigateConnector обеспечивает получение событий устройства комплексной сетевой безопасности FortiGate;
*PaloAltoConnector и CheckPointConnector обеспечивают получение событий межсетевых экранов Palo Alto и Check Point соответственно;
*LinuxConnector обеспечивает получение событий ОС Linux, веб-сервера Apache, почтового сервера Postfix и FTP-сервера Very Secure FTP Daemon;
*ESETConnector обеспечивает получение событий антивирусного программного обеспечения ESET;
*SIDLPConnector обеспечивает получение событий приложений «СёрчИнформ КИБ»;
*CWAConnector вычитывает журналы 1C и контрольно-весовых аппаратов.
*DHCPConnector обеспечивает получение событий DHPC-серверов на ОС Windows.
*CustomConnector позволяет создавать пользовательские правила для сбора событий из произвольного источника.
В зависимости от функциональных особенностей источника сбор данных происходит по трем сценариям: прямое подключение к источнику, самостоятельная отправка данных от источника к серверу, сбор через агента. Это позволяет применять «СёрчИнформ SIEM» в компаниях с распределенной структурой.
Информация по обнаруженным инцидентам хранится в базе данных MongoDB.
Функциональные возможности
Создание правил кросс-корреляции
Функция реализована по принципу «настрой и пользуйся». Обычно создание правил кросс-корреляции требует опыта в написании скриптов и навыков программирования. В «СёрчИнформ SIEM» все сводится к настройке в одном окне условий, по которым разные события объединяются в инцидент.
Рис. 2. Мастер создания правил кросс-корреляции: пример создания пользовательского правила
Правила кросс-корреляции позволят настроить систему более тонко, чтобы она могла «увидеть» подозрительный след во внешне безобидных событиях (подключение нового email-адреса, логин/логаут в Active Directory). Например, один из пользователей залогинился в AD и через некоторое время сделал логаут. Пока все логично. А если между логином и логаутом прошло совсем немного времени, и в это время пользователь менял пароль доступа к рабочей базе данных SQL? Это может быть тревожным звонком. Здесь в дело вступает пользовательское правило кросс-корреляции: формирует соответствующий инцидент и дает возможность администратору принять меры и предотвратить проблемы в дальнейшем.
Обнаружение новых устройств и открытых портов на сканере сети
Сканер «СёрчИнформ SIEM» позволяет определить количество компьютеров, роутеров, свитчей, сетевых принтеров в сети, обнаружить открытые порты и отследить попытки несанкционированного подключения нового оборудования.
Визуализация статистики инцидентов на контрольных панелях
Настраиваемые «дашборды» показывают актуальную статистику по инцидентам в удобном для восприятия формате. Администратор может заметить изменение ситуации в системе по одному взгляду на панель.
Рис. 3. Предустановленные виджеты на вкладке «Дашборд»
Мониторинг AD
«СёрчИнформ SIEM» делает «снимки» состояния AD через выбранные промежутки. Детальное сравнение снимков показывает изменения в AD по контролируемым атрибутам, количество добавленных и/или удаленных объектов. Функция помогает администратору вовремя заметить несанкционированные или подозрительные изменения в AD.
Рис. 4. Сравнение снимков AD, сделанных в разное время в течение одного дня
Просмотр событий на карте инцидентов
Карта отображает инциденты по всем или выбранным коннекторам, ПК и пользователям в разном масштабе. Это позволяет определить центры аномальной активности, проблемные узлы сети и пользователей с большим числом инцидентов (например, свыше 100 тысяч).
Рис. 5. Детализация выбранного ПК с указанием количества инцидентов по правилам
Вычитка событий из любого количества источников данных
«СёрчИнформ SIEM» контролирует любое количество источников данных и выявляет аномалии, угрозы, сбои в оборудовании и попытки несанкционированного доступа, а также сохраняет информацию о работе сети, что позволяет проводить ретроспективные расследования.
Управление правилами корреляции
Правила корреляции можно использовать «из коробки» или настроить под себя. Дополнительная настройка сэкономит время на просмотре событий. Например, по правилу «Статистика входов» программа собирает информацию обо всех входах пользователей сети в ОС и выдает длинный список событий. Разбирать его неудобно, если компания велика. Решить эту проблему поможет разбивка по отделам (она видна в левом меню на рис. 6). Для каждого отдела в «СёрчИнформ SIEM» можно создать правила по статистике входов. В итоге события будут рассортированы, что облегчит анализ и ускорит расследование.
Рис. 6. Список инцидентов по правилу «Статистика входов»
Нормализация инцидентов
«СёрчИнформ SIEM» описывает инциденты очень подробно: одно событие в зависимости от типа включает от 9 до более чем 50 полей. Разработчик изначально настроил нормализацию инцидентов для всех коннекторов под требования безопасности, так что администратору не придется самостоятельно определять важность того или иного поля для события.
Фильтрация, экспорт и вывод инцидентов на печать
Применение фильтров помогает в расследованиях. На вкладках инциденты можно отфильтровать по дате, времени фиксации, имени учетной записи, IP-адресу, тексту, важности события. Фильтрация доступна по любому из имеющихся полей или по их совокупности. Пользователь может получить детализированную информацию по интересующим параметрам, убрав из представления лишние подробности. По любому из правил можно создать отчет для печати или экспорта в другие форматы, например PDF или XLS. Всего форматов экспорта 6.
Рис. 7. Фильтрация инцидентов по правилу «Прочие события Linux» по дате, источнику, IP-адресу и степени важности
Установка и настройка
Для установки используется единственный дистрибутив, который включает все компоненты, необходимые для работы продукта. Установка сводится к нескольким нажатиям на кнопку «Далее», так что с ней справится даже новичок, который видит такое программное обеспечение впервые. Аналогично происходит и установка обновлений.
В настройке системы тоже нет сложностей. В большинстве случаев администратору нужно указать несколько параметров: служебная учетная запись, электронный ящик, адрес сервера, номер порта.
В «СёрчИнформ SIEM» имеются уведомления о бездействии источников данных. Программа формирует такие уведомления, когда от подключенных источников перестает поступать информация (например, VMwareConnector «молчит» больше суток).
Рис. 8. Настройка уведомлений о бездействии источников
«СёрчИнформ SIEM» позволит вовремя заметить отказ или ошибку системного программного обеспечения, отключение сервера источника данных, аппаратные, программные и сетевые неполадки.
Работа с продуктом
Интерфейс «СёрчИнформ SIEM» по расположению вкладок и рабочих областей напоминает продукты из семейства Microsoft Office, поэтому ориентироваться в нем просто.
В верхней части окна расположена полоса вкладок, которые делятся на три смысловые группы: настройка и управление («Меню» и «Администрирование»), основной функционал («Правила» и «Инциденты») и графические представления («Карта инцидентов», «Сканер сети», «Дашборд»).
На видео ниже показан общий вид «СёрчИнформ SIEM»: работа во вкладках «Правила», «Карта инцидентов», «Дашборд», элементы управления системой во вкладке «Администрирование».
Вкладка «Правила»
Здесь администратор может настраивать правила корреляции и просматривать инциденты по ним. В системе имеется более 300 предустановленных правил, которые начинают работать сразу после запуска «СёрчИнформ SIEM». При желании можно создавать новые через «Мастер добавления правил».
Рис. 9. Добавление правила «Прочие события Syslog»
Вкладка «Инциденты»
На этой вкладке администратор может посмотреть срабатывания правил за выбранный период (вчера, неделю назад). На цветных плитках показывается число непросмотренных инцидентов (в правом верхнем углу) и их общее количество по правилу (в левом верхнем углу). Если нужны подробности — например, когда и на каком компьютере имели место попытки подбора пароля, — можно открыть описания инцидентов в виде таблицы. Для этого достаточно нажать на плитку с нужным правилом.
Рис. 10. Вкладка «Инциденты»
На примере ниже видно, как происходит работа на вкладке. Показаны все случаи, попавшие под правило «Доступ к почте не владельцем» в заданном интервале, карточка отдельного инцидента с подробным описанием.
Вкладка «Карта инцидентов»
Вкладка «Карта инцидентов» позволяет администратору увидеть все ПК и пользователей в системе с привязкой к инцидентам и определить проблемные точки. Например, можно отфильтровать компьютеры, чтобы отобразить только те, по которым за день было больше 10 000 инцидентов.
Карта масштабируется, для удобства можно скрывать на ней всех или выбранных пользователей, компьютеры. Это упрощает анализ ситуации в крупных компаниях с большим количеством сотрудников за ПК.
Вкладка «Сканер сети»
На этой вкладке появляются результаты сканирования сети в обычном (тип, MAC- и IP-адрес устройства) и углубленном режимах ( домен и операционная система, открытые порты и пр.). Визуально отчет напоминает «ромашку». В центре отображается диапазон отсканированных IP-адресов и общее количество обнаруженных устройств и портов. На «лепестках» – сами устройства с информацией о них во всплывающем окне.
Также администратор может просмотреть количество принтеров или роутеров в сети, количество открытых портов по номерам, собрать все ПК в группы по IP-адресам для более удобного анализа (например, «Бухгалтерия», «Отдел продаж»). Если в сети появятся новые устройства, то они автоматически попадут в папку «Без группы».
Рис. 11. Сгруппированные устройства на сканере сети
Вкладка «Дашборд»
«Дашборд» позволяет увидеть четкую картину всех процессов и событий в ИТ-инфраструктуре. В системе имеется 11 шаблонов виджетов, на основе которых можно создавать новые. Доступны настройка частоты обновления данных на них (от 1 минуты до 1 часа) и отслеживание изменений в диапазоне от одного дня до года. Настраивать можно все виджеты сразу или по отдельности.
«Дашборд» позволяет администратору отследить инциденты по горячему следу или в динамике. Например, есть возможность определить дни, когда на ПК было обнаружено больше всего вирусов (возможно, e-mail адреса компании попали в фишинговую рассылку с вредоносами), или вычислить самых проблемных пользователей за октябрь (более 50 000 инцидентов).
Системные требования
Минимальные требования для установки сервера SIEM:
Microsoft Windows Server 2008 R2 и выше;
процессор: 4-ядерный с частотой 2,1 ГГц;
оперативная память: 4 ГБ;
жесткий диск: 200 ГБ;
сетевая карта: 100 Мбит/с.
Требования формируются в зависимости от разветвленности и размера ИТ-инфраструктуры компании, которая будет использовать программу.
Хотя разработчик не предлагает готовое программно-аппаратное решение, при соблюдении рекомендаций программа стабильно работает и в виртуальной, и в аппаратной средах.
Лицензирование
Лицензии предоставляются по количеству пользователей, компьютеров и устройств. Раздачу лицензий ведет DataCenter. Тип лицензирования зависит от коннектора.
Рис. 12. Количество выданных, использованных и оставшихся лицензий в окне DataCenter
Каждый коннектор использует свои лицензии независимо от другого. Это означает, что общее число купленных лицензий, например 125, распределится следующим образом: каждый установленный коннектор получит по 125 лицензий для контроля пользователей, ПК и устройств.
Такой вариант лицензирования не ограничивает производительность системы, поскольку не зависит от количества событий в секунду.
Выводы
«СёрчИнформ SIEM» обладает широкой функциональностью и понятным интерфейсом. Графические представления упрощают контроль состояния ИТ-инфраструктуры, ускоряют поиск инцидентов и расследования по ним.
Доступно бесплатное тестирование полнофункциональной версии «СёрчИнформ SIEM» на инфраструктуре заказчика.
Достоинства:
*Быстрая и простая настройка – правила корреляции начинают работать сразу после установки системы.
*Легкая интеграция с DLP «СёрчИнформ КИБ» для углубленного расследования обнаруженных нарушений.
*Широкие возможности мониторинга общего состояния сети, узлов, программного обеспечения и оборудования, пользователей, а также возможность глубокого анализа Active Directory.
*Простое и понятное лицензирование.
*Разработка и техническая поддержка находятся в РФ, что ускоряет решение вопросов по работе с системой.
*Система сертифицирована ФСТЭК и внесена в Единый реестр российского ПО.
Недостатки:
*Нет встроенных правил поведенческого анализа.
*Управление только из приложения (нет web-интерфейса).
*Встроенный сканер сети не обладает функцией сканирования уязвимостей.
*Требуются лицензии на стороннее ПО (серверная ОС Windows).
Система отчетов
Модуль SearchInform ReportCenter собирает статистику по активности пользователей и инцидентам, связанным с нарушениями политик информационной безопасности, и представляет ее в виде отчетов (графиков, диаграмм, таблиц и графов):
- Отчеты по связям пользователей наглядно отображают всю собранную информацию о внешних и внутренних контактах пользователей и каналах их связи.
Рисунок 9. Отчет по связям пользователей, формируемый в модуле ReportCenter
- Отчеты по продуктам системы позволяют вывести в структурированном виде статистические данные перехвата за некий промежуток времени, например, количество сообщений по пользователям и продуктам, количество сообщений по протоколам, датам и т. д.
Рисунок 10. Отчет о количестве сообщений по протоколам, формируемый в модуле ReportCenter
- Группа отчетов ProgramSniffer позволяет фиксировать опоздания, ранние уходы и отсутствие на рабочем месте сотрудника, оценивать эффективность сотрудников, промежутки неактивности, а также активность процессов и/или сайтов на компьютерах пользователей системы и многое другое.
Рисунок 11. Отчет о суммарном времени активности сайтов пользователей по группам, формируемый в модуле ReportCenter
- Группа отчетов AlertCenter позволяет формировать статистические отчеты по зафиксированным инцидентам.
- Группа отчетов по программам позволяет формировать статистические отчеты о выполненных действиях с программным обеспечением и наличии его на компьютерах.
Рисунок 12. Отчет об установленных программах на компьютере, формируемый в модуле ReportCenter
- Группа отчетов по подключаемым устройствам позволяет формировать статистические отчеты о подключаемых устройствах, установленном оборудовании и об их изменении.
- Группа системных отчетов позволяет анализировать операции с агентами, протоколами, например, выводят список компьютеров без агентов, список компьютеров, выполнивших вход в домен, но не имеющих установленного агента и др.
«Контур информационной безопасности SearchInform» также предоставляет возможность создавать пользовательские шаблоны отчетов.
Системные требования
Системные требования «Контура информационной безопасности SearchInform» напрямую зависят от размера инфраструктуры компании. Ниже приведены минимальные системные требования для сервера DLP-системы в зависимости от количества контролируемых рабочих станций в инфраструктуре.
Таблица 1. Минимальные системные требования для сервера «Контура информационной безопасности SearchInform»
| Характеристики | Минимальная конфигурация сервера «Контур информационной безопасности SearchInform» | |||
| для контроля 50 рабочих станций | для контроля от 50 до 100 рабочих станций | для контроля от 100 до 300 рабочих станций | для контроля от 300 до 1000 рабочих станций | |
Процессор CPU | 2,4 GHz 4 Core | 2,4 GHz 6 Core | от 2 х 2,4 GHz 4 Core (2 четырех-ядерных CPU) | от 2 х 2,4 GHz 4 Core (2 четырех-ядерных CPU) |
Объем оперативной памяти RAM | 8 Gb | 8 Gb | 16 Gb | 24 Gb |
Объем устройства хранения данных HDD | 500 Gb (желательно RAID 10) | Tb (RAID 10) | 2 Tb (RAID 10) | 4 Tb (RAID 10) |
LAN | 1 Gbps | 1 Gbps | 1 Gbps | 1 Gbps |
Операционная система | MS Windows Server 2008 R2 | MS Windows Server 2008 R2 | MS Windows Server 2008 R2 | MS Windows Server 2008 R2 |
СУБД | MS SQL Server 2008 R2 Express | MS SQL Server 2008 R2 Express | MS SQL Server 2008 R2 Express | MS SQL Server 2008 R2 Express |
Агенты «Контура информационной безопасности SearchInform», которые устанавливаются на конечные точки сети, поддерживают операционные системы семейства Windows, а также отечественную операционную систему Astra Linux. Особых требований к аппаратной части рабочих станций агенты «Контура информационной безопасности SearchInform» не предъявляют.
«КИБ SearchInform» имеет гибкую политику лицензирования. Модульная архитектура продукта позволяет клиентам внедрять только те модули, в которых есть потребность. Лицензии приобретаются по количеству пользователей и количеству каналов контроля.
Также стоит отметить, что «Контур информационной безопасности SearchInform» имеет возможность интеграции со следующими системами:
- интеграция с доменной структурой Active Directory;
- интеграция с SearchInform Event Manager (SIEM);
- интеграция c почтовыми серверами Microsoft Exchange, Lotus Domino и др.;
- интеграция c Microsoft ISA / Forefront TMG и прочими прокси-серверами, работающими по протоколу ICAP.