ВКР. Фгбоу во Сыктывкарский государственный университет им. Питирима Сорокина Колледж экономики, права и информатики
Скачать 1.78 Mb.
|
Применение KOMRAD Enterprise SIEMСобытия по информационной безопасности поступают в KOMRAD Enterprise SIEM из различных источников: ОС, СУБД, сетевого оборудования, СЗИ, прикладного ПО и т. д. Для сбора событий используются коллекторы. Некоторые из них работают в пассивном режиме, ожидая входящих данных на определённых сетевых портах (Syslog, xFlow), другие сами инициируют соединения для извлечения необходимой информации (SQL, файловый, SNMP). Для сбора событий с Windows – машин используется специальный WMI – агент. Коллекторы могут быть установлены как на одном узле с основными компонентами системы, так и на выделенных серверах. Важнейшими коллекторами, которые позволяют организовать сбор событий с абсолютного большинства источников, являются Syslog – коллектор и WMI – агент. Подключение Windows – машины в качестве источника событий доступно для администраторов системы за три простых шага, а именно: одной командой установить агент на нужный узел, в конфигурационном файле указать IP – адрес коллектора KOMRAD Enterprise SIEM, после чего применить настройки. WMI – агент также позволяет собирать данные из локальных файлов журналов. Агенты устанавливаются в качестве службы Windows и управляются через веб – интерфейс администратора KOMRAD Enterprise SIEM. Управление WMI – агентами представлено на рисунке 12. Рисунок 12 – Управление WMI – агентами в KOMRAD Enterprise SIEM В случае отсутствия соединения между WMI – агентом и сервером KOMRAD Enterprise SIEM события будут собираться в свою локальную базу данных во избежание их потери, а при возобновлении соединения поступят по назначению. Корреляция в KOMRAD Enterprise SIEM позволяет выявлять инциденты в информационной безопасности по срабатыванию фильтров и выполнению различных условий, определённых в директиве корреляции. Директива корреляции — построенная по иерархическому принципу логическая совокупность правил, в соответствии с которыми осуществляется сравнение параметров событий в информационной безопасности, а также их количества и частоты с заданными показателями для выявления инцидентов. В KOMRAD Enterprise SIEM существует собственный графический конструктор для управления директивами корреляции. Создание директивы с выбранным фильтром показано на рисунке 13. Рисунок 13 – Создание директивы с выбранным фильтром в KOMRAD Enterprise SIEM Правила в директиве корреляции могут быть следующих типов: «Событие» — блок конструктора директив на проверку приходящих событий на соответствие заранее созданным фильтрам. Этот тип блока может иметь привязку ко времени до и после события, может дополнительно содержать выражение и переменные, также в нём доступна функция «Ветвления»; «Отсутствие события» — блок обратный предыдущему. Он сработает в том случае, если событие, соответствующее указанным параметрам, не поступило; «Утверждение» — блок на простое утверждение. Содержит булево выражение. Если результат вычисления — «Истина», то выполнение правила корреляции продолжается, иначе — прерывается, инцидент не будет зарегистрирован; «Задержка» — интервал времени, которое коррелятор проигнорирует. Отсчёт выполняется от времени предыдущего найденного события. В случае появления события или набора событий, соответствующих включённым директивам корреляции, происходит регистрация инцидента и в веб – интерфейсе KOMRAD Enterprise SIEM появляется всплывающее уведомление, а ответственным лицам отправляется электронное письмо, если соответствующая настройка была активирована. При возникновении инцидента в системе создаётся карточка для его расследования, которая изначально помещается в список неподтверждённых инцидентов. Уведомление об обнаружении инцидентов в ИБ из общего потока событий и неподтверждённые инциденты показаны на рисунках 14 – 15. Рисунок 14 – Уведомление об обнаружении инцидентов в ИБ из общего потока событий в KOMRAD Enterprise SIEM Рисунок 15 – Неподтверждённые инциденты в KOMRAD Enterprise SIEM Для подтверждения инцидента или определения его как «Ложное срабатывание» необходимо выбрать один или несколько инцидентов из «Неподтверждённых» и с помощью функциональных клавиш определить их в нужную группу. В KOMRAD Enterprise SIEM доступны следующие предустановленные виджеты: количество событий по протоколам за 24 часа; EPS — количество событий в секунду; общее количество событий по ИБ; число событий в минуту (EPM) за последние 30 минут; топ – 10 IP – адресов активов; количество событий по протоколам за неделю; статистика инцидентов по важности за последние 24 часа; статистика инцидентов по статусам за последнюю неделю; незакрытые инциденты по уровню важности за всё время. Также продукт обеспечивает возможность построения отчётов на основе собранной информации об инцидентах за определённый период. |