ID статьи: 306
Последнее обновление: 16 янв, 2024
Documentation: Product: LogAn Version: 7.0.1
Раздел Аналитика LogAn предоставляет функционал SIEM — системы управления информацией о безопасности и событиями информационной безопасности. LogAn предоставляет возможность проведения анализа журналов событий безопасности, получаемых с настроенных сенсоров, таких как МЭ UserGate, конечные устройства UserGate Client, сторонние сетевые устройства, поддерживающие передачу данных по протоколу SNMP, сенсоры WMI. Все данные хранятся в одной базе данных, что даёт возможность осуществлять сложный поиск, корреляцию повторяющихся событий, их агрегацию, создавая инциденты безопасности, и упростить процесс изучения особенностей инцидентов. Первоначальной единицей информации, которая поступает в LogAn, является событие. Событие — это одна запись в журнале, например, единичное срабатывание правила СОВ на МЭ UserGate, блокировка доступа к запрещенному ресурсу (срабатывание блокирующего правила контентной фильтрации), успешная или неуспешная попытка доступа в консоль управления и другие подобные события, которые регистрируются на устройствах, подключенных к LogAn. Отдельное событие может не нести достаточно информации об угрозе ИБ, но несколько однотипных событий (например, неуспешных попыток доступа в консоль управления) или разных событий, зарегистрированных в определенной последовательности и поступивших из разных источников, могут представлять ценность в идентификации угрозы. Этот процесс называется корреляция событий. Группа событий, объединенная правилом аналитики (корреляции), представляет собой Срабатывание. Инженер безопасности проводит анализ срабатывания, изучает входящие в срабатывание события и при необходимости может создавать Инцидент компьютерной безопасности на основе одного или нескольких срабатываний. С помощью правил аналитики инженер безопасности может автоматизировать процесс корреляции событий и создание срабатываний, а также назначить определенные Действия реагирования (реакцию) системы на создаваемые срабатывания. Все это позволяет облегчить процесс изучения регистрируемых событий и сократить время между обнаружением проблемы и ее решением. Настройка данной функции доступна во вкладке Аналитика, где можно настроить правила аналитики, создать действия реагирования, просмотреть журнал срабатываний правил и подробности срабатывания. Данные функции будут рассмотрены далее в соответствующих разделах: Действия реагирования, Срабатывания и Подробности срабатывания. Во вкладке Правила аналитики можно создавать правила обработки событий журналов. Настройка правил аналитики позволяет производить сложный поиск среди событий информационной безопасности. Срабатывание правила происходит при выявлении корреляции событий с разных источников. Правила могут работать в двух режимах: исторический режим (анализ событий за выбранный период) и режим реального времени. Правила создаются нажатием кнопки Добавить. Далее во вкладке Общие необходимо указать свойства правила.
Во вкладке Условия необходимо указать условие/условия срабатывания правила. Если условий несколько, то они связаны между собой логическим «И» и выполняются сверху вниз. Т.е. правило сработает только в том случае, если будут выполнены все условия. Условие можно создать нажатием кнопки Добавить. Далее необходимо указать следующие параметры.
Во вкладке Действия реагирования могут быть добавлены действия, которые будут выполнены автоматически при срабатывании правила аналитики. Действия реагирования могут быть созданы нажатием кнопки Создать и добавить новый объект или добавлены из списка существующих действий. Подробнее о действиях реагирования и их настройке читайте в разделе Действия реагирования. Чтобы запустить правило в режиме реального времени необходимо нажать кнопку Включить. Кнопка Отключить завершает выполнение выбранного правила аналитики. Созданные правила можно редактировать, удалять и копировать. Кнопка Показать срабатывания отобразит журнал с краткой информацией о всех срабатываниях выбранного правила. Также можно настроить отображение списка правил: отображать все правила, только включённые/выключенные правила. Для правил аналитики также доступны функции экспорта и импорта. Импорт правил производится в бинарном формате или формате YAML. Экспортировать правила можно только в бинарном формате; экспортируются выделенные правила или все созданные, если правила не были выбраны. При настройке условий правил аналитики возможно производить группировку событий по параметрам, представленным в записях журналов LogAn, NGFW и конечных устройств. Список параметров, по которым возможна группировка событий, смотрите в таблице раздела Поиск.
Эта статья была:
Полезна |
Не полезна
Сообщить об ошибке
ID статьи: 306
Последнее обновление: 16 янв, 2024
Ревизия: 9
Просмотры: 5135
Комментарии: 0
Теги
|