Обзор изменений в SIEM-системе RuSIEM: удобный интерфейс и новые функции

Российская компания RuSIEM (ООО «РуСИЕМ») занимается созданием решений в области мониторинга и управления событиями информационной безопасности и ИТ-инфраструктуры на основе анализа данных в реальном времени. Среди решений компании — одноименный  программный комплекс,  который позволяет собирать и анализировать информацию о событиях ИБ из разнородных источников. Работа RuSIEM дает возможность увидеть максимально полную картину активности сетевой инфраструктуры и событий информационной безопасности.

SIEM-система RuSIEM внедрена практически во всех отраслях, включая построение коммерческих SOC, и обеспечивает соответствие требованиям законов № 152-ФЗ, 161-ФЗ, 187-ФЗ, приказов ФСБ России № 282, ФСТЭК России № 17, 21, 31, 239, приказа ФСБ России и ФСТЭК России № 416/489, СТО БР ИББС, РС БР ИББС-2.5-2014, ГОСТ Р 57580.1-2017, международного PCI DSS.

Особенность RuSIEM — микросервисная архитектура

Схемы работы SIEM-систем различных производителей всегда строятся по одинаковому принципу: сначала события собираются из источников в рамках единой платформы, затем происходит процесс нормализации (для приведения к единому виду), далее следуют процессы обогащения, корреляции и сохранения событий в базе данных. Зачастую все этапы обработки событий происходят в рамках единого компонента, однако в RuSIEM нашли свой подход к данному вопросу.

Решение RuSIEM построено на базе микросервисной архитектуры, предполагающей разнесение различных этапов обработки событий по отдельным микросервисам.

Каждым миркросервисом можно управлять по отдельности (независимо): обновлять, перезапускать, масштабировать, останавливать и возобновлять работу без необходимости перезапуска всей системы и остановки сбора событий.

На каждом микросервисе имеется свой собственный мастер очереди, который обеспечивает гарантированную доставку всех событий в систему в случаях недоступности одного или даже нескольких микросервисов одновременно, например, при их обслуживании или масштабировании. В течение всего периода недоступности события будут накапливаться мастером очереди локально на недоступном микросервисе, а как только микросервис вновь станет доступен, события из очереди будут переданы ему на обработку, и очередь полностью разберется. При этом микросервисы, которые остаются доступными, продолжают обработку всех поступающих в систему событий, не нарушая непрерывность всего процесса по сбору и анализу событий, сохраняя все события и полный контекст инцидента.

Преимущества новой версии RuSIEM

В феврале 2024 года компания RuSIEM выпустила крупное обновление своего флагманского продукта, в рамках которого представила абсолютно новый web-интерфейс системы. Архитектура решения не претерпела изменений, сохранив в себе уникальные преимущества, однако сам SIEM получил много существенных улучшений, о которых мы поговорим далее.

Новый интерфейс и настраиваемые виджеты

Первое, что бросается в глаза при взгляде на новую версию RuSIEM — это полностью переработанный дизайн web-интерфейса и новая панель мониторинга с гибко настраиваемыми виджетами.

Добавлена возможность просмотреть источники событий

В системе появился новый раздел «Источники», в рамках которого стал доступен функционал изучения источников, присылающих события в систему.

В нем содержится информация о том, какие продукты на источнике направляют события с SIEM и какие парсеры используются для нормализации событий с того или иного продукта.

Дополнительные метрики мониторинга системы

Помимо отслеживания состояния каждого микросервиса теперь можно мониторить нагрузку на систему: использование RAM, заполненность дискового пространства и нагрузка на процессоры. Этот функционал стал доступен не только для головной ноды, но и для всех подчиненных нод в режиме мультитенантности. Из единого окна головной ноды можно просмотреть нагрузку на все подчиненные и при необходимости оперативно отреагировать на недостаток ресурсов на нодах, расположенных в филиалах предприятия.

Работать с разделом «Корреляции» стало проще

При создании нового правила корреляции этапы описания логики выявления инцидента теперь разбиты на логические разделы. В разделе «Основные настройки» определяются ключевые параметры для выявляемого инцидента: наименование, категория, критичность и описание инцидента.

Также есть возможность ограничить работу конкретного правила корреляции таким образом, что оно будет либо отрабатываться для всех поступающих в систему событий, либо только для событий, поступающих по определенному транспорту, от источника конкретного производителя и даже отдельно взятого продукта. Такой подход позволяет использовать правила корреляции так, чтобы они работали только с теми событиями, которые могут подойти под логику срабатывания данного правила, при этом не нагружая систему бесполезной нагрузкой, то есть не обрабатывая конкретным правилом те события, которые изначально не подходят под условия срабатывания правила.

Вкладка «Условия срабатывания» позволяет описать логику выявления инцидента, по которой все подозрения на инцидент будут выявляться в автоматическом режиме с оповещением ответственных за расследование сотрудников в реальном времени.

Здесь специалисты RuSIEM сохранили понятный и полюбившийся многим заказчикам графический конструктор, с помощью которого можно создать новое правило корреляции всего за несколько минут. При этом сам конструктор не требует от пользователя изучения языков программирования. Вот так просто и эффективно:

Отдельного упоминания заслуживает и раздел «Симптоматика».

Симптомы — это понятные русскоязычные описания для событий, с помощью которых можно проще и быстрее идентифицировать их в потоке. Из «коробки» вендор предоставляет более 1900 симптомов для абсолютно разных типов источников событий, будь то события рабочих станций, серверов, сетевого оборудования, межсетевых экранов или гипервизоров.

Помимо добавления русскоязычных описаний к событиям, симптомы также могут использоваться в правилах корреляции в качестве условий, благодаря чему существенно упрощаются процессы создания новых или изменения существующих правил корреляции.

В RuSIEM больше не нужно вручную писать наборы условий в правилах корреляции, их можно заменить симптомами, сохранив драгоценное время и снизив вероятность человеческой ошибки. К примеру, есть целая категория симптомов «Неуспешный вход ssh». События от Ubuntu, Sun OS, Red Hat, Suse, FreeBSD — все имеют различный формат событий. В RuSIEM есть правила для обнаружения неуспешных попыток доступа по ssh для критичных активов, служебных учетных записей, многочисленных и распределенных по времени атак и прочие правила, где необходимо оперировать именно этим фактом «неуспешного входа по ssh». С симптоматикой достаточно использовать один или даже целую группу симптомов, характеризующих эти действия/воздействия, и уже к ним привязывать паттерны в зависимости от различных источников с разными форматами событий.  

Использование симптомов и категорий позволяет теперь сделать правила корреляции более универсальными. При подключении к системе совершенно нового источника достаточно добавить новые условия в симптомы. События от нового источника начнут теггироваться данными симптомами, и старые правила корреляции будут работать с новым потоком событий.

Всего за прошедшее полугодие 2024 года в систему было добавлено более 40 правил корреляции, свыше 30 новых поддерживаемых источников событий и 15 возможностей. И это лишь небольшая часть функциональных изменений, которые были реализованы в последних версиях RuSIEM.

Ознакомиться с более подробной информацией о новых возможностях SIEM-системы RuSIEM можно на официальном сайте или обратившись напрямую к производителю по электронной почте: info@rusiem.com.

erid: 2SDnjdEZLcS

* Реклама, Рекламодатель ООО «РуСИЕМ», ИНН 7731317045