Раздел Аналитика предоставляет функциональность SIEM — системы управления информацией о безопасности и событиями информационной безопасности. UserGate SIEM позволяет проводить анализ журналов событий безопасности, получаемых с настроенных сенсоров, таких как МЭ UserGate, конечные устройства UserGate Client, сторонние сетевые устройства, поддерживающие передачу данных по протоколу SNMP, сенсоры WMI. Все данные хранятся в одной базе данных, что даёт возможность осуществлять сложный поиск, корреляцию повторяющихся событий, их агрегацию, создавая инциденты безопасности, и упростить процесс изучения особенностей инцидентов.
Первоначальной единицей информации, которая поступает в UserGate SIEM, является событие. Событие — это одна запись в журнале, например, единичное срабатывание правила СОВ на МЭ UserGate, блокировка доступа к запрещенному ресурсу (срабатывание блокирующего правила контентной фильтрации), успешная или неуспешная попытка доступа в консоль управления и другие подобные события, которые регистрируются на устройствах, подключенных к UserGate SIEM. Отдельное событие может не нести достаточно информации об угрозе ИБ, но несколько однотипных событий (например, неуспешных попыток доступа в консоль управления) или разных событий, зарегистрированных в определенной последовательности и поступивших из разных источников, могут представлять ценность в идентификации угрозы. Этот процесс называется корреляция событий. Группа событий, объединенная правилом аналитики (корреляции), представляет собой Срабатывание. Инженер безопасности проводит анализ срабатывания, изучает входящие в срабатывание события и при необходимости может создавать Инцидент компьютерной безопасности на основе одного или нескольких срабатываний.
С помощью правил аналитики инженер безопасности может автоматизировать процесс корреляции событий и создание срабатываний, а также назначить определенные Действия реагирования (реакцию) системы на создаваемые срабатывания. Все это позволяет облегчить процесс изучения регистрируемых событий и сократить время между обнаружением проблемы и ее решением.
Настройка данной функции доступна во вкладке Аналитика, где можно настроить правила аналитики, создать действия реагирования, просмотреть журнал срабатываний правил и подробности срабатывания.
Во вкладке Правила аналитики можно создавать правила обработки событий журналов. Настройка правил аналитики позволяет производить сложный поиск среди событий информационной безопасности. Срабатывание правила происходит при выявлении корреляции событий с разных источников. Правила могут работать в двух режимах: исторический режим (анализ событий за выбранный период) и режим реального времени.
Правила создаются нажатием кнопки Добавить на панели инструментов раздела аналитики. Далее во вкладке Общие необходимо указать свойства правила.
Наименование
Описание
Включено
Включает/отключает правило аналитики для работы в режиме реального времени.
Название
Отображает название правила аналитики.
Описание
Описывает правила аналитики. Данное поле необязательно для заполнения.
Уровень угрозы
Показывает уровень угрозы, который будет отображаться при срабатывании правила.
Для выбора доступны следующие уровни:
Очень низкий: события, сформировавшие срабатывание правила аналитики, представляют очень низкий уровень угрозы, и администратор может не предпринимать никаких действий.
Низкий: события, сформировавшие срабатывание правила аналитики, представляют низкий уровень угрозы, и администратор может не предпринимать никаких действий.
Средний: необходимо обратить внимание на события, попавшие под срабатывание правила аналитики.
Высокий: события, требующие исследования и принятия мер.
Очень высокий: события, требующие исследования и срочного принятия мер.
Приоритет
Показывает приоритет, установленный для срабатывания правила аналитики:
Низкий: срабатывания данных правил обладают низким приоритетом реагирования.
Нормальный: на срабатывания данных правил необходимо обратить внимание и, возможно, предпринять меры.
Важный: на срабатывания данных правил необходимо обратить внимание и предпринять меры.
Критический: срабатывания данных правил требуют незамедлительного реагирования.
При срабатывании правила установленный приоритет будет указывать на важность срабатывания правила аналитики.
Категория
Отображает категорию, к которой относится срабатывание.
По умолчанию для выбора доступны следующие категории:
Security: правила данной категории определяют инциденты, приводящие к ухудшению безопасности информационных систем.
Availability: правила данной категории определяют инциденты, которые приводят к ухудшению доступности информационных систем.
Performance: правила данной категории определяют инциденты, которые приводят к ухудшению производительности информационных систем.
Дополнительные категории срабатываний могут быть созданы во вкладке Настройки в разделе Библиотеки ➜ Категории срабатываний.
Часовой пояс
Указывает на часовой пояс, по времени которого будут работать правила аналитики, т.к. сервер может собирать данные с источников, находящихся в различных часовых поясах.
Ограничить общее время условий
Включить/отключить ограничение времени выполнения всех условий в правиле.
При включении ограничения общего времени правило аналитики сработает только в том случае, когда за указанный отрезок времени все условия, настроенные в правиле, выполнятся заданное количество раз.
Общее время условий, сек
Указывает на отрезок времени, за который все условия, указанные в правиле, должны выполнится заданное количество раз, чтобы произошло срабатывание правила аналитики. Время указывается в секундах.
Указание общего времени выполнения условий доступно при поставленном флажке Ограничить общее время условий.
Во вкладке Условия необходимо указать условие/условия срабатывания правила. Если условий несколько, то они связаны между собой логическим «И» и выполняются сверху вниз. Т.е. правило сработает только в том случае, если будут выполнены все условия. Условие можно создать нажатием кнопки Добавить. Далее необходимо указать следующие параметры.
Наименование
Описание
Название
Отображает название условия правила аналитики.
Описание
Описывает условие правила аналитики. Данное поле необязательно для заполнения.
Ограничить время выполнения условия
Включить/отключить ограничение времени выполнения условия.
При включении ограничения времени правило аналитики сработает, только в том случае, когда за указанный отрезок времени условие выполнится заданное количество раз.
Время выполнения условия
Указывает на отрезок времени, за который условие должно выполнится заданное количество раз, чтобы произошло срабатывание правила аналитики. Время указывается в секундах.
Указание времени выполнения условия доступно при поставленном флажке Ограничить время выполнения условия.
Использовать запрос остановки
Включить/отключить использование запроса остановки в правиле аналитики.
Запрос остановки
SQL-подобный поисковый запрос остановки выполняется вместе с запросом условия. Для формирования запроса используются названия полей, значения полей, ключевые слова и операторы (задаётся аналогично запросу фильтра).
Если при выполнении анализа найдётся хотя бы одна запись, соответствующая заданному запросу остановки, до того, как будет найдено заданное количество событий, соответствующих условию правила аналитики, то правило аналитики не сработает, а счётчик количества записей, найденных до выполнения запроса остановки, будет обнулён.
Запрос фильтра
Отображает SQL-подобный поисковый запрос условия, который пишется по базе журналов. Для формирования запроса используются названия полей, значения полей, ключевые слова и операторы.
Запрос также может быть написан с использованием синтаксиса Google/RE2 в операторе MATCH.
Например. Поисковый запрос:
source = 'wmi log' and logFile = 'Microsoft-Windows-Sysmon/Operational' and logEventId = 1 and data MATCH 'ParentCommandLine:(.*)cmd.exe' and data ~ 'CertReq -Post -config'.
Данный запрос производит поиск в журнале событий конечных устройств, который берёт данные из журнала Microsoft-Windows-Sysmon/Operational. При нахождении события, которое соответствует созданию нового процесса, запускается поиск родительского процесса (т.е. процесса, который вызвал создание нового процесса) и поиск вызова команды certreq c параметрами. Часть запроса с оператором MATCH позволяет определить, что certreq запустили из cmd (командной строки). Таким образом определяется то, что у текущего процесса родительским был cmd.exe.
Отображает список параметров, по которым могут быть сгруппированы правила в результате срабатывания. Поля будут отображены при просмотре карточки срабатывания.
О параметрах, по которым возможна группировка, читайте в разделе Поиск.
При указании категорий для группировки правило аналитики сработает только в том случае, если условие выполнится именно для выбранной категории заданное количество раз, указанное в поле параметра Повторений шаблона.
Повторений шаблона
Показывает количество выполнений условия, необходимое для срабатывания правила. Данный параметр может быть использован вместе с параметром Ограничить время выполнения условия или без него.
Запустить сейчас
Производит запуск анализа событий за определённый период времени (работа в историческом режиме).
Далее необходимо задать временной диапазон. Если флажок Указать диапазон времени не поставлен, то анализ по созданному правилу аналитики проводится по всей базе событий за всё время. После завершения анализа, нажав кнопку Показать срабатывания в окне Запуск правила аналитики, можно перейти в журнал срабатываний и просмотреть информацию о срабатывании этого правила.
Также правило можно запустить без записи в журнал срабатываний, т.е. для проверки работоспособности правила или просмотра количества срабатываний. Для этого необходимо поставить флажок Тестовый запуск.
Во вкладке Действия реагирования могут быть добавлены действия, которые будут выполнены автоматически при срабатывании правила аналитики. Действия реагирования могут быть созданы нажатием кнопки Создать и добавить новый объект или добавлены из списка существующих действий.
Подробнее о действиях реагирования и их настройке читайте в разделе Действия реагирования.
Чтобы запустить правило в режиме реального времени необходимо нажать кнопку Включить на панели инструментов раздела аналитики. Кнопка Отключить завершает выполнение выбранного правила аналитики.
Созданные правила можно редактировать, удалять и копировать. Кнопка Показать срабатывания на панели инструментов раздела аналитики отобразит журнал с краткой информацией о всех срабатываниях выбранного правила. Также можно настроить отображение списка правил: отображать все правила, только включённые/выключенные правила.
Кнопка Настроить на панели инструментов раздела аналитики позволяет установить значения интервалов запуска правил аналитики, работающих в режиме реального времени, в зависимости от уровня критичности правила:
Для правил аналитики также доступны функции экспорта и импорта. Импорт правил производится в бинарном формате или формате YAML. Экспортировать правила можно только в бинарном формате; экспортируются выделенные правила или все созданные, если правила не были выбраны.
При настройке условий правил аналитики возможно производить группировку событий по параметрам, представленным в записях журналов SIEM, NGFW и конечных устройств. Список параметров, по которым возможна группировка событий, смотрите в таблице раздела Поиск.