UserGate SIEM позволяет проводить анализ журналов событий безопасности, получаемых с настроенных сенсоров. Все данные хранятся в одной базе данных, что даёт возможность осуществлять сложный поиск, корреляцию повторяющихся событий, их агрегацию, создавая инциденты безопасности, и упростить процесс изучения особенностей инцидентов. Подробнее об архитектуре и принципах работы функциональности SIEM читайте в разделе Аналитика Руководства администратора SIEM.
В интерфейсе CLI возможно создавать и настраивать правила аналитики и действия реагирования. С помощью правил аналитики инженер безопасности может автоматизировать процесс корреляции событий и создание срабатываний, а также назначить определенные действия реагирования (реакцию) системы на создаваемые срабатывания. Все это позволяет облегчить процесс изучения регистрируемых событий и сократить время между обнаружением проблемы и ее решением.
Правила аналитики и действия реагирования в CLI создаются и настраиваются на уровне analytics.
Правила аналитики
С помощью правил аналитики происходит обработка событий журналов. Настройка правил аналитики позволяет производить сложный поиск среди событий информационной безопасности. Срабатывание правила происходит при выявлении корреляции событий с разных источников.
Для создания правила аналитики предназначена команда:
on/off — Включение/отключение правила аналитики для работы в режиме реального времени.
name
Название правила аналитики.
description
Описание правила аналитики.
threat-level
Уровень угрозы, который будет отображаться при срабатывании правила.
informational: события, сформировавшие срабатывание правила аналитики, представляют очень низкий уровень угрозы, и администратор может не предпринимать никаких действий.
low: события, сформировавшие срабатывание правила аналитики, представляют низкий уровень угрозы, и администратор может не предпринимать никаких действий.
medium: необходимо обратить внимание на события, попавшие под срабатывание правила аналитики.
high: события, требующие исследования и принятия мер.
critical: события, требующие исследования и срочного принятия мер.
priority
Показывает приоритет, установленный для срабатывания правила аналитики:
low: срабатывания данных правил обладают низким приоритетом реагирования.
normal: на срабатывания данных правил необходимо обратить внимание и, возможно, предпринять меры.
important: на срабатывания данных правил необходимо обратить внимание и предпринять меры.
critical: срабатывания данных правил требуют незамедлительного реагирования.
При срабатывании правила установленный приоритет будет указывать на важность срабатывания правила аналитики.
alert-category
Отображает категорию, к которой относится срабатывание.
По умолчанию для выбора доступны следующие категории:
security: правила данной категории определяют инциденты, приводящие к ухудшению безопасности информационных систем.
availability: правила данной категории определяют инциденты, которые приводят к ухудшению доступности информационных систем.
performance: правила данной категории определяют инциденты, которые приводят к ухудшению производительности информационных систем.
Дополнительные категории срабатываний могут быть созданы в библиотеке Категории срабатывания. Подробнее читайте в разделе Настройка категорий срабатывания.
timezone
Указывает на часовой пояс, по времени которого будут работать правила аналитики, т.к. сервер может собирать данные с источников, находящихся в различных часовых поясах.
response-actions
Выбор действий реагирования, которые будут выполнены автоматически при срабатывании правила аналитики. Подробнее о создании действий реагирования и их настройке читайте в разделе Действия реагирования.
conditions
Указание условий срабатывания правила.
Условия срабатывания, которые указываются при создании правила аналитики, имеют следующие параметры настройки:
Параметр
Описание
name
Название условия правила аналитики.
description
Описание условия правила аналитики.
condition-time-enabled
Включить/отключить ограничение времени выполнения условия.
При включении ограничения времени правило аналитики сработает, только в том случае, когда за указанный отрезок времени условие выполнится заданное количество раз.
condition-time
Указывает на отрезок времени, за который условие должно выполнится заданное количество раз, чтобы произошло срабатывание правила аналитики. Время указывается в секундах.
Указание времени выполнения условия доступно при активированном параметре condition-time-enabled.
break-query-enabled
Включить/отключить использование запроса остановки в правиле аналитики.
break-query
SQL-подобный поисковый запрос остановки выполняется вместе с запросом условия. Для формирования запроса используются названия полей, значения полей, ключевые слова и операторы (задаётся аналогично запросу фильтра).
Если при выполнении анализа найдётся хотя бы одна запись, соответствующая заданному запросу остановки, до того, как будет найдено заданное количество событий, соответствующих условию правила аналитики, то правило аналитики не сработает, а счётчик количества записей, найденных до выполнения запроса остановки, будет обнулён.
filter-query
Отображает SQL-подобный поисковый запрос условия, который пишется по базе журналов. Для формирования запроса используются названия полей, значения полей, ключевые слова и операторы.
Запрос также может быть написан с использованием синтаксиса Google/RE2 в операторе MATCH. Подробнее о синтаксисе Google/RE2 в операторе MATCH: https://github.com/google/re2/wiki/Syntax.
group-by
Отображает список параметров, по которым могут быть сгруппированы правила в результате срабатывания. Поля будут отображены при просмотре карточки срабатывания.
О параметрах, по которым возможна группировка, читайте в разделе Поиск.
При указании категорий для группировки правило аналитики сработает только в том случае, если условие выполнится именно для выбранной категории заданное количество раз, указанное в поле параметра pattern-repeats.
pattern-repeats
Показывает количество выполнений условия, необходимое для срабатывания правила. Данный параметр может быть использован вместе с параметром condition-time-enabled или без него.
Для правил аналитики также доступны команды set (редактирование), show (просмотр) и delete (удаление).
Действия реагирования
Действия реагирования позволяют определить методы реагирования при срабатывании правил аналитики информационной безопасности. UserGate SIEM позволяет гибко настраивать правила, используя переменные, относящиеся к категориям срабатывания правил аналитики.
Для создания действия реагирования предназначена команда:
on/off — Включение/отключение правила реагирования.
name
Название правила реагирования.
description
Описание правила реагирования.
action
Показывает действие, выбранное для исполнения в случае срабатывания правила аналитики. Действие реагирования выполнится, если оно указано в свойствах правила аналитики.
Для выбора доступны следующие виды реагирования:
send-email: отправка письма на выбранные почтовые адреса. Настройка действия Отправить email будет рассмотрена далее в разделе Действие типа send-email.
send-message: отправка сообщения на указанные номера телефонов. Настройка действия Отправить сообщение будет рассмотрена далее в разделе Действие типа send-message.
webhook: получение уведомления о срабатывании правила на веб-странице, адрес которой был указан при настройке действия. Настройка действия Webhook будет рассмотрена далее в разделе Действие типа webhook.
create-incident: автоматическое создание инцидента в результате срабатывания правил аналитики. О настройке действия Создать инцидент читайте в разделе Настройки инцидентов.
send-command-to-connector: отправка команды на выбранный коннектор. Настройка действия Послать команду на коннектор будет рассмотрена далее в разделе Действие типа послать send-command-to-connector.
send-command-to-endpoint: отправка команды на конечное устройство с установленным ПО UserGate Client. Подробнее читайте в раздел Действие типа send-command-to-endpoint.
enable-logging
Включает/отключает журналирование данных о срабатывании действия реагирования. Данные записываются в журнал событий SIEM.
grouping
Для удобства при настройке действий реагирования возможно использование функции группировки срабатываний.
Группировка возможна по следующим параметрам:
never — никогда.
period — при настройке группировки срабатываний правила аналитики за период времени действие реагирования выполнится, если в течение указанного времени произошло хотя бы одно срабатывание.
number — при настройке группировки по количеству срабатываний правила аналитики действие реагирования выполнится только после указанного количества срабатываний.
time-period
Отображает период группировки в минутах. Задание параметра возможно только при выборе группировки похожих срабатываний за период времени.
alerts-number
Отображает заданное количество срабатываний. Задание параметра возможно только при выборе группировки похожих срабатываний по их количеству.
Для действий реагирования также доступны команды set (редактирование), show (просмотр) и delete (удаление).
Действие типа send-email
Если в качестве действия реагирования была выбрана отправка email, то в свойствах правила реагирования необходимо указать следующие параметры.
Наименование
Описание
notification-profile
Профиль оповещения SMTP, который будет использован для отправки email.
Список почтовых адресов получателей. Получатели должны быть добавлены в списки в библиотеке элементов. О добавлении почтовых адресов читайте в разделе Настройка почтовых адресов.
template
Шаблон письма уведомления с возможностью передачи значений различных переменных, относящихся к срабатыванию.
Список номеров телефонов получателей. Получатели должны быть добавлены в библиотеке элементов. О добавлении телефонных номеров читайте в разделе Настройка номеров телефонов.
template
Шаблон сообщения с возможностью передачи значений различных переменных, относящихся к срабатыванию.
Для тестирования webhook можно воспользоваться сервисом https://webhook.site. Для этого необходимо перейти на сайт Webhook.site и скопировать сгенерированную ссылку. Далее её необходимо указать в свойствах правила реагирования в поле url параметра action.
Действие типа send-command-to-connector
В качестве одного из действий реагирования может быть настроена отправка команды на коннектор.
Если в качестве действия реагирования настроена передача команды для исполнения на коннекторе, то необходимо указать следующие параметры:
Наименование
Описание
connectors
Выбор устройств, на которые необходимо отправить команду в случае срабатывания правила аналитики. Коннектор должен быть заранее добавлен и настроен. Подробнее читайте в разделе Коннекторы.
Важно! Могут выбраны только коннекторы с одинаковой группой команд.
command
Определение команды, которая будет передана на коннектор для выполнения; представлены команды группы, указанной для выбранных коннекторов.
В случае наличия в команде переменных, будут отображены дополнительные поля для указания их значений.
В качестве одного из действий реагирования может быть настроена отправка команды на конечное устройство с установленным ПО UserGate Client. Доступны следующие команды:
block — блокировка доступа к сети Интернет.
kill — завершение указанного в запросе фильтра процесса.
Шаблон уведомлений
В параметре template необходимо указать текст уведомления. Можно передавать не только фиксированный текст, но и данные, относящиеся к срабатыванию или его записям в журнале.
Чтобы передать данные, относящиеся к срабатыванию, необходимо в поле template ввести название одного из параметров, представленных в таблице. Например, если ввести {ANALYTICS_RULE_NAME}, то в тексте уведомления, настроенном как отправка email, SMS или webhook, будет отражено название правила аналитики, которое сработало. Если заполнить шаблон при настройке действия create incident, то текст будет отображён в описании инцидента.
