UserGate SIEM позволяет проводить анализ журналов событий безопасности, получаемых с настроенных сенсоров, таких как МЭ UserGate, конечные устройства UserGate Client, сторонние сетевые устройства, поддерживающие передачу данных по протоколу SNMP, сенсоры WMI. Все данные хранятся в одной базе данных, что даёт возможность осуществлять сложный поиск, корреляцию повторяющихся событий, их агрегацию, создавая инциденты безопасности, и упростить процесс изучения особенностей инцидентов.

Первоначальной единицей информации, которая поступает в UserGate SIEM, является событие. Событие — это одна запись в журнале, например, единичное срабатывание правила СОВ на МЭ UserGate, блокировка доступа к запрещенному ресурсу (срабатывание блокирующего правила контентной фильтрации), успешная или неуспешная попытка доступа в консоль управления и другие подобные события, которые регистрируются на устройствах, подключенных к UserGate SIEM. Отдельное событие может не нести достаточно информации об угрозе ИБ, но несколько однотипных событий (например, неуспешных попыток доступа в консоль управления) или разных событий, зарегистрированных в определенной последовательности и поступивших из разных источников, могут представлять ценность в идентификации угрозы. Этот процесс называется корреляция событий. Группа событий, объединенная правилом аналитики (корреляции), представляет собой Срабатывание. Инженер безопасности проводит анализ срабатывания, изучает входящие в срабатывание события и при необходимости может создавать Инцидент компьютерной безопасности на основе одного или нескольких срабатываний.

С помощью правил аналитики инженер безопасности может автоматизировать процесс корреляции событий и создание срабатываний, а также назначить определенные Действия реагирования (реакцию) системы на создаваемые срабатывания. Все это позволяет облегчить процесс изучения регистрируемых событий и сократить время между обнаружением проблемы и ее решением.

В разделе Аналитика веб-интерфейса администратора можно настроить правила аналитики, создать действия реагирования, просмотреть журнал срабатываний правил и подробности срабатывания. Данные функции будут рассмотрены далее в соответствующих главах: Действия реагирования, Срабатывания и Подробности срабатывания.

На вкладке Правила аналитики можно создавать правила обработки событий журналов. Настройка правил аналитики позволяет производить сложный поиск среди событий информационной безопасности. Срабатывание правила происходит при выявлении корреляции событий с разных источников. Правила могут работать в двух режимах: исторический режим (анализ событий за выбранный период) и режим реального времени.

Правила создаются нажатием кнопки Добавить на панели инструментов. В открывшемся окне свойств правила аналитики на вкладке Общие необходимо указать параметры настройки правила:

Наименование	Описание
Включено	Включение/отключение правила аналитики для работы в режиме реального времени.
Название	Название правила аналитики.
Описание	Опциональное описание правила аналитики.
Уровень угрозы	Уровень угрозы, который будет отображаться при срабатывании правила. Для выбора доступны следующие уровни: Очень низкий: события, сформировавшие срабатывание правила аналитики, представляют очень низкий уровень угрозы, и администратор может не предпринимать никаких действий. Низкий: события, сформировавшие срабатывание правила аналитики, представляют низкий уровень угрозы, и администратор может не предпринимать никаких действий. Средний: необходимо обратить внимание на события, попавшие под срабатывание правила аналитики. Высокий: события, требующие исследования и принятия мер. Очень высокий: события, требующие исследования и срочного принятия мер.
Приоритет	Приоритет, установленный для срабатывания правила аналитики: Низкий: срабатывания данных правил обладают низким приоритетом реагирования. Нормальный: на срабатывания данных правил необходимо обратить внимание и, возможно, предпринять меры. Важный: на срабатывания данных правил необходимо обратить внимание и предпринять меры. Критический: срабатывания данных правил требуют незамедлительного реагирования. При срабатывании правила установленный приоритет будет указывать на важность срабатывания правила аналитики.
Категория	Категория, к которой относится срабатывание. По умолчанию для выбора доступны следующие категории: Security: правила данной категории определяют инциденты, приводящие к ухудшению безопасности информационных систем. Availability: правила данной категории определяют инциденты, которые приводят к ухудшению доступности информационных систем. Performance: правила данной категории определяют инциденты, которые приводят к ухудшению производительности информационных систем. Дополнительные категории срабатываний могут быть созданы во вкладке Настройки в разделе Библиотеки ➜ Категории срабатываний.
Часовой пояс	Часовой пояс, по времени которого будут работать правила аналитики, т.к. сервер может собирать данные с источников, находящихся в различных часовых поясах.
Ограничить общее время условий	Включение/отключение ограничения времени выполнения всех условий в правиле. При включении ограничения общего времени правило аналитики сработает только в том случае, когда за указанный отрезок времени все условия, настроенные в правиле, выполнятся заданное количество раз.
Общее время условий, сек	Указание отрезка времени, за который все условия, указанные в правиле, должны выполнится заданное количество раз, чтобы произошло срабатывание правила аналитики. Время указывается в секундах. Указание общего времени выполнения условий доступно при поставленном флажке Ограничить общее время условий.

На вкладке Условия в окне свойств правила аналитики необходимо указать условие/условия срабатывания правила. Если условий несколько, то они связаны между собой логическим «И» и выполняются сверху вниз. Т.е. правило сработает только в том случае, если будут выполнены все условия.

Условие можно создать нажатием кнопки Добавить. Далее необходимо указать следующие параметры:

Наименование	Описание
Название	Название условия правила аналитики.
Описание	Опциональное описание условия правила аналитики.
Ограничить время выполнения условия	Включение/отключение ограничения времени выполнения условия. При включении ограничения времени правило аналитики сработает, только в том случае, когда за указанный отрезок времени условие выполнится заданное количество раз.
Время выполнения условия	Указание отрезка времени, за который условие должно выполнится заданное количество раз, чтобы произошло срабатывание правила аналитики. Время указывается в секундах. Указание времени выполнения условия доступно при поставленном флажке Ограничить время выполнения условия.
Использовать запрос остановки	Включение/отключение использования запроса остановки в правиле аналитики.
Запрос остановки	SQL-подобный поисковый запрос остановки выполняется вместе с запросом условия. Для формирования запроса используются названия полей, значения полей, ключевые слова и операторы (задаётся аналогично запросу фильтра). Если при выполнении анализа найдётся хотя бы одна запись, соответствующая заданному запросу остановки, до того, как будет найдено заданное количество событий, соответствующих условию правила аналитики, то правило аналитики не сработает, а счётчик количества записей, найденных до выполнения запроса остановки, будет обнулён.
Запрос фильтра	SQL-подобный поисковый запрос условия, который выполняется по базе журналов. Для формирования запроса используются названия полей, значения полей, ключевые слова и операторы. Синтаксис написания запроса можно просмотреть в разделе Поиск и фильтрация данных. Запрос также может быть написан с использованием синтаксиса Google/RE2 в операторе MATCH. Например. Поисковый запрос: source = 'wmi log' and logFile = 'Microsoft-Windows-Sysmon/Operational' and logEventId = 1 and data MATCH 'ParentCommandLine:(.)cmd.exe' and data ~ 'CertReq -Post -config'.* Данный запрос производит поиск в журнале событий конечных устройств, который берёт данные из журнала Microsoft-Windows-Sysmon/Operational. При нахождении события, которое соответствует созданию нового процесса, запускается поиск родительского процесса (т.е. процесса, который вызвал создание нового процесса) и поиск вызова команды certreq c параметрами. Часть запроса с оператором MATCH позволяет определить, что certreq запустили из cmd (командной строки). Таким образом определяется то, что у текущего процесса родительским был cmd.exe. Подробнее о синтаксисе Google/RE2 в операторе MATCH: https://github.com/google/re2/wiki/Syntax.
Группировать по	Список параметров, по которым могут быть сгруппированы правила в результате срабатывания. Поля будут отображены при просмотре карточки срабатывания. О параметрах, по которым возможна группировка, читайте в разделе Поиск. При указании категорий для группировки правило аналитики сработает только в том случае, если условие выполнится именно для выбранной категории заданное количество раз, указанное в поле параметра Повторений шаблона.
Повторений шаблона	Количество выполнений условия, необходимое для срабатывания правила. Данный параметр может быть использован вместе с параметром Ограничить время выполнения условия или без него.

Кнопка Запустить сейчас внизу окна свойств правила аналитики производит запуск анализа событий за определённый период времени (работа в историческом режиме). В открывшемся окне необходимо задать временной диапазон анализа. Если флажок Указать диапазон времени не поставлен, то анализ по созданному правилу аналитики проводится по всей базе событий за всё время.

Также правило можно запустить без записи в журнал срабатываний, т.е. для проверки работоспособности правила или просмотра количества срабатываний. Для этого необходимо поставить флажок Тестовый запуск:

После завершения анализа, нажав кнопку Показать срабатывания в окне Запуск правила аналитики, можно перейти в журнал срабатываний и просмотреть информацию о срабатывании этого правила.

На вкладке Действия реагирования в окне свойств правила аналитики могут быть добавлены действия, которые будут выполнены автоматически при срабатывании правила аналитики. Действия реагирования могут быть созданы нажатием строки Создать и добавить новый объект или добавлены из списка существующих действий (нажатием кнопки Добавить):

Подробнее о действиях реагирования и их настройке читайте в разделе Действия реагирования.

Чтобы запустить правило в режиме реального времени необходимо нажать кнопку Включить на панели инструментов раздела аналитики. Кнопка Отключить завершает выполнение выбранного правила аналитики.

Созданные правила можно редактировать, удалять и копировать. Кнопка Показать срабатывания на панели инструментов раздела аналитики отобразит журнал с краткой информацией о всех срабатываниях выбранного правила. Также можно настроить отображение списка правил: отображать все правила, только включённые/выключенные правила.

Кнопка Настроить на панели инструментов раздела аналитики позволяет установить значения интервалов запуска правил аналитики, работающих в режиме реального времени, в зависимости от уровня критичности правила:

Для правил аналитики также доступны функции экспорта и импорта. Импорт правил производится в бинарном формате или формате YAML. Экспортировать правила можно только в бинарном формате; экспортируются выделенные правила или все созданные, если правила не были выбраны.

При настройке условий правил аналитики возможно производить группировку событий по параметрам, представленным в записях журналов SIEM, NGFW и конечных устройств. Список параметров, по которым возможна группировка событий, смотрите в таблице раздела Поиск.