Архитектура LogAn (SIEM)

LogAn используется для сбора и обработки данных с внешних источников и совмещает в себе функции систем SIEM (Security Information and Event Management) и IRP (Incident Response Platform).

В LogAn предусмотрены роли и ролевые разрешения, о которых необходимо помнить при работе. Ролевые разрешения предназначены для определения доступных пользователю действий. Роли объединяют разрешения, определяя полный список полномочий пользователя; роль пользователя указывается при настройке профилей администратора (подробнее читайте в разделе Роли и ролевые разрешения пользователей).

Далее будет рассмотрена архитектура LogAn.

Как было сказано ранее, LogAn собирает данные с внешних источников, в качестве которых могут выступать межсетевые экраны UserGate, сенсоры SNMP, WMI, Unix-системы (Syslog-источники), конечные устройства с установленным ПО UserGate Client. Данные поступают в Normalization block, который анализирует и разделяет записи полученных журналов по соответствующим полям, формируя запись, понятную пользователю и базе данных. Далее нормализованные записи параллельно отправляются в модули Log Export и Storage.

Модуль Log Export позволяет экспортировать журналы (в формате CEF или JSON) на внешние серверы FTP, SSH (SFTP) и Syslog (подробнее читайте в соответствующем разделе руководства).

Storage – базы данных, в которой хранятся все записи событий журналов. Данные записи используются модулями Reports, Analytics, IRP и Web Console, функции которых будут рассмотрены далее.

Модуль Reports предназначен для построения отчётов, которые доступны для скачивания или отправки на электронную почту в формате PDF или HTML (подробнее читайте в разделе Отчеты).

Модуль Analytics выполняет функции системы управления информацией о безопасности и событиями информационной безопасности (Security Information and Event Management, SIEM). Он на основе получаемых данных выполняет агрегацию повторяющихся событий и их корреляцию, используя условия правил аналитики, написанные с помощью SQL-подобного синтаксиса (подробнее читайте в разделе Аналитика). В случае срабатывания правила будет выполнено действие реагирования (Response actions), указанное для данного правила. В качестве такого действия могут быть использованы оповещения по email или SMS, webhook, выполнение команды на коннекторе или конечном устройстве, создание инцидента. Создание инцидента как действие реагирования позволяет автоматизировать процесс создания инцидентов информационной безопасности.

Модуль IRP (Incident Response Platform) интегрирован с модулем Analytics и необходим для управления процессами реагирования на инциденты информационной безопасности. UserGate LogAn позволяет настроить процесс расследования инцидентов индивидуально под нужды конкретной компании (для подробной информации о создании и расследовании инцидентов обратитесь в раздел Инциденты руководства Log Analyzer).

При расследовании инцидентов модуль IRP использует внешние ресурсы для сбора дополнительной информации – External enrichment services (внешние сервисы обогащений). В случае, если в качестве улик к инциденту прикреплены записи журнала, то IRP автоматически извлекает сведения об индикаторах компрометации (IP-адресе, URL, домене, названии файла, хэш) для работы с внешними сервисами обогащений (External enrichment services).

Модуль ГосСОПКА обеспечивает возможность подключения к личному кабинету ГосСОПКА и отправки информации об инцидентах в формате, соответствующем требованиям ГосСОПКА к отчётам (подробнее читайте в соответствующем разделе руководства).

Модуль Web Console взаимодействует с большинством модулей LogAn и выполняет функции управления и представления данных. Модуль позволяет формировать и просматривать отчёты и журналы, использовать графическое представление данных с помощью виджетов дашборда, производить настройки в веб-интерфейсе управления (общие настройки LogAn, настройки правил аналитики, управление инцидентами безопасности и т.д.).

Общие настройки LogAn также могут быть выполнены с использованием интерфейса командной строки – модуля CLI. Настройки, выполненные с использованием модулей Web Console и CLI, хранятся в модуле Configuration.