Мониторинг событий безопасности на уровне корпоративной сети

Мониторинг событий безопасности на уровне корпоративной сети

Привет всем участникам обсуждения!
В этой теме я предлагаю поделится опытом по использованию различных инструментальных средств мониторинга событий безопасности в корпоративных сетях. Насколько удается уменьшить количество false positives and false negatives в для каждого из инструментов.

5 months ago

28 comments

Volodymyr Styran Тюнинг, тюнинг и еще раз тюнинг =) Или есть инструменты, в которых это не требуется?

Alexey Kornilov о каких конкретно "событиях безопасности" идет речь? Можно конкретику, а то мы тут в провинциях словам иностранным не обучены, а разговор без конкретики рискует превратиться в философскую беседу. ;)

Vladimir Matviychuk, CISA, CISM Событие информационной безопасности - идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

Инцидент информационной безопасности - событие, являющееся следствием одного или нескольких нежелательных, или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операции и создания угрозы ИБ.

Это чтобы договориться о понятиях :)

Andrey Bezverkhiy Да, давайте конкретизировать инструменты.
Если мы говорим, например, об IPS и VM (сканнерах), то есть SIEM системы в которых это проходит out-of-the-box без какого либо тюнинга напильником (конечно же при условии, что все входящие события корректно парсятся на этапе сбора). Т.е. если уязвимости нет, а IPS срабатывает, то автоматически приоритет события снижается до 0. (так например в ArcSight ESM).

Andriy Lysyuk, CCIE#10933, CISSP, CISM, CISA to Volodymyr Styran: Тонкая настройка требуется во всех инструментах, это действительно так. Однако инструменты сами по себе и инсталляции инструментов отличаются по тому, насколько много ложных срабатываний существует на самом начальном этапе эксплуатации. Для тонкой настроки необходимо использовать обратную связь из процесса анализа инцидентов.
У меня такой вопрос возник потому, что на практике я наблюдал очень много ситуаций, когда инструменты мониторинга используются неэффективно, генерируют очень много сообщений, не являющихся событием ИБ, у подразделений ИБ нет времени на просмотр этих огромных журналов.
Поэтому мне интересно, как обстоит дело с эффективным мониторингом у участников группы.

Andriy Lysyuk, CCIE#10933, CISSP, CISM, CISA To Andrey Bezverkhiy: Если пытаться фильтровать события после сбора, то могут возникнуть проблеммы загрузки информационных каналов и инструментов хранилища событий.
Возможно, более эффективно было бы донастроить IPS либо вообще исправить конфигурацию сетевого оборудования, которое генерирует большое количество событий из-за ошибки конфигурации (например, есть правило межсетевого экрана запрещать ICMP трафик и логировать события попадания в это правило, а у другого оборудования в конфигурации прописано проверять регулярно доступность сервиса генерацией этих ICMP пакетов). Количество таких событий в журнале может достигать доли 80-90% от всех событий.
Возникает второй ньюанс. Если уязвимости нет, то это не всегда является отсутствием события безопасности. Например, "возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности". Попытка злоумышленником провести атаку, которая была неуспешной может так же интересовать службу ИБ.

Alexey Kornilov Анализировать каждую сработку файрвола или IPS не вижу как можно это сделать реальным в большой сети, очень огромные объемы информации. Но здесь у меня не паханное поле, надо искать приемлемые варианты и работать.
Внутри локалки есть amptrack, он регистрирует всякие события изменения топологии соединения и появления/перемещения новых устройств в сети. Не идеальное решение, не делает все так, как хотелось.
На novell подняты сервисы аудита, которые регистрируют все события как на уровне edirectory/серверов так и файловые события в важных директориях.
А на уровне приложений есть свои примочки анализа логов на предмет выявления разного рода активностей пользователей или изменения конфигурации представляющих интересных для ИБ. Это пишем сами.

Dima Evdokimov Позвольте мне так же присоединиться к беседе. Скажу сразу опыта у меня мало и возможно буду нести ересь по этому поводу. если где поправляйте. ) Так вот я про что, кроме систем IDS IPS есть еще журналы с серверов, рабочих станций которые так же несут определенного рода информацию. Меня в частности интересует опыт настройки Windows Event Collector. да и упоминание продуктов при вашем общении тоже было бы не плохо.
Спасибо.

Alexey Kornilov Если говорить за виндовс, то простой поиск дает сразу типовойе решение от микросфт. http://msdn.microsoft.com/en-us/library/bb427443(VS.85).aspx
Вообще в рамках виндового домена там очень богатые возможности ка по мониторингу так и по управлению.

Gleb Paharenko Кстати антивирусы - можно тоже считать своего рода средством мониторинга ;-) У нас иногда встречаются false-positives на файлы даже от Майкрософт :) но их очень не много. В принципе они не мешают, и не засоряют отчеты.

Nikolay Golovin собственно никто так и не сказал какие SIEM используют?
Symantec Information Manager
IBM Tivoli Security Operations Manager
RSA
ArcSight

Vladimir Matviychuk, CISA, CISM Cisco Mars очень распостранен. Особенно в банках. Правда, по своему опыту скажу, что, как универсальное средство он так себе, на троечку. Очень много возни, да и далеко не все, что Cisco заявляет, он умеет качественно делать.

NIST SP800-92 Guide to Computer Security Log Management рекомендует следующие продукты (список кривой, извините, но форматировать не буду. идет название продукта, вендор и адрес) :
ArcSight Enterprise Security Manager (ESM)
ArcSight
http://www.arcsight.com/product.htm
Cisco Security Monitoring, Analysis and Response System (MARS)
Cisco Systems
http://www.cisco.com/en/US/products/ps6241/index.html
Consul InSight
Consul Risk Management
http://www.consul.com/Content.asp?id=54
Enterprise System Analyzer
eIQnetworks
http://www.eiqnetworks.com/products/EnterpriseSecurityAnalyzer.shtml
enVision
Network Intelligence
http://www.network-intelligence.com/Product/eFeatures/baselines.asp
eTrust Audit
Computer Associates
http://www3.ca.com/solutions/Product.aspx?ID=157
eTrust Security Command Center (SCC)
Computer Associates
http://www3.ca.com/solutions/SubSolution.aspx?ID=4350
EventTracker
Prism Microsystems
http://www.eventlogmanager.com/
High Tower
High Tower Software
http://www.high-tower.com/products.asp
Intellitactics Security Manager
Intellitactics
http://www.intellitactics.com/
InTrust
Quest Software
http://www.quest.com/intrust/
Log Correlation Engine
Tenable Network Security
http://www.tenablesecurity.com/products/lce.shtml
LogCaster
RippleTech
http://www.rippletech.com/products/
LogLogic
LogLogic
http://www.loglogic.com/products/
LogRhythm
LogRhythm
http://www.logrhythm.com/solutions.html
nFX
netForensics
http://www.netforensics.com/
Netcool/NeuSecure
IBM
http://www.micromuse.com/sols/dom_man/sec_man.html
NetIQ Security Manager
NetIQ
http://www.netiq.com/products/sm/default.asp
Open Source Security Information Management (OSSIM)
Open source project
http://www.ossim.net/ , http://sourceforge.net/projects/os-sim/
QRadar Network Security Management
Q1Labs
http://www.q1labs.com/content.php?id=175
Security Information Manager
Symantec
http://www.symantec.com/Products/enterprise?c=prodinfo&refId=929&cid=1004
Security Management Center (SMC)
OpenService
http://www.openservice.com/products/smc.jsp
SenSage
SenSage
http://www.sensage.com/products-sensage.htm
Sentinel
Novell
http://www.novell.com/products/sentinel/
Snare Server
InterSect Alliance
http://www.intersectalliance.com/snareserver/index.html
TriGeo Security Information Manager (SIM)
TriGeo Network Security
http://www.trigeo.com/products/

Nikolay Golovin согласен с вами, его так и позиционируют(слышал не раз), агрегатор для cisco оборудования, с последующей передачей на "взрослые" SIEM

Vladimir Matviychuk, CISA, CISM И в догонку бесплатные (тот же источник, тот же формат):
fwlogwatch
Log analyzer
http://fwlogwatch.inside-security.de/
Log Parser
Log parser
http://www.microsoft.com/downloads/details.aspx?FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en
Log Tool
Log parser
http://xjack.org/logtool/
LogSentry (formerly known as Logcheck)
Log analyzer
http://logcheck.org/ , http://sourceforge.net/projects/logcheck/
Logsurfer
Log analyzer
http://www.cert.dfn.de/eng/logsurf/
Logwatch
Log analyzer
http://www.logwatch.org/
Project Lasso
Windows event log management
http://sourceforge.net/projects/lassolog
Swatch
Log analyzer
http://swatch.sourceforge.net/

Nikolay Golovin хотелось бы узнать чем "живым" народ пользуется.

Vladimir Matviychuk, CISA, CISM to Gleb Paharenko:
Антивирусы не только можно, но и нужно считать :)
Стандарты об этом так и пишут.

На счет false-positives антивирусов - это проблема эвристики. Составили список потенциально опасных опреаций, белые спсики с хешами не используем - вот у нас и false-positives на нормальные файлы. Некоторые антивирусы находят опасные комбинации даже в текстовых файлах :)

Vladimir Matviychuk, CISA, CISM Я работал со 150 компаниями, включая 30 банков.
Кроме марса, из коммерческих продуктов видел новеловский Sentinel, и по одному-два раза eTrust, Quest Software, LogLogic, Snare Server, ArcSight (одна живая инсталляция и одна игрушечная). А в основном народ либо вообще не смотрит логи, либо смотрит их глазами.

Dmytro Ponomar'ov тут ещё вот какой момент - мониторинг событий безопасности чего? сетевые устройства, сервера, СУБД, аппликухи, почта, прокси? если всего сразу, то натюненую работающую систему не видел ни разу.

в одном из наших банков сейчас идёт проект - всё пытаются завязать на Arcsight. пока финальных результатов нет, потому прокомментировать не могу. на начальном же этапе установки повозился немного с ним, мне понравилось.

Vladimir Matviychuk, CISA, CISM Мониторинг событий безопасности всего :) Вплоть до корреляции событий со СКУДа с, например. ОДБ. По карточке не вошел в здание, но залогинился - событие для расследования.

Работающих централизованных систем на Украине очень мало. Именно, чтобы по-честному, не "для аудиторов".

Arcsight - это флагман SIEM систем. В Райфайзене сейчас используют. И еще парочка околобанковских и банковских компаний примеряются. Но от рук конечно зависит 98% успеха внедрения. Процесс все равно нужно ставить - просто поставить систему - не панацея.

Мы недавно закончили внедрение в связке двух процессов - мониторинг событий безопасности и управление инцидентами. С центральной системой сбора и корреляции событий, инструкциями по реагированию и KPI для тюнинга процесса для одного и крупных процессингов. И до этого ставили несколько аналогичных, но не для банков.
Если есть вопросы по деталям - пожалуйста в личку.

Nikolay Golovin не соглашусь по поводу "98% от рук зависит" технически грамотных людей найти можно, сложно но можно. самая большая проблема это понимания у внутри заказчика зачем ему это надо, как вы сказали (не для аудиторов). потому как именно сейчас на этот класс систем так и смотрят, например прикрыться от требования тогоже PCI DSS

Vladimir Matviychuk, CISA, CISM Так я же говорю о работающем процессе. Полноценном. На не "прикрыться от требования тогоже PCI DSS".

Dmytro Ponomar'ov вот а для "понимания" зачем это нужно часто и нужны внутренние ИТ-аудиторы и безопасность :)

Vladimir Matviychuk, CISA, CISM основные проблемы при внедрении - это не "зачем?" - мы ведь уже внедряем, а "как?". И тут начинаются чудеса:
включили аудит - упала производительность
для включения аудита нужно перевести систему в enhance security mode - падают некоторые бизнес приложения
нужно мониторить конкретные события в системе, а она не имеет такого функционала
и т.д. и т.д. и т.д.
вот тут и начинаются "руки", от которых все зависит

Artem Karpinsky OSSIM + жесточайшая кастомизация=мегак коммандный центр

Ihor Kravchuk NetForensics+syslog-ng + много работы напильником
IBM ISS Site-Protector
а чтоб это все отображать на экране вот:
http://security-ingvar-ua.blogspot.com/2010/05/building-soc.html
Фильтрацию событий можно делать в рамках инфраструктуры raw log collection на лог-хостах с последующим форвардингом на системы корреляции и мониторинга только нужных событий.
Зачем так? - не всегда возможно изменение настроек отправляемых событий непосредственно на источнике событий (разные владельцы систем, не всегда полное знание, что может понадобиться в случае инцидента для расследования и тд)

Andriy Lysyuk, CCIE#10933, CISSP, CISM, CISA To Николай Головин: Технически грамотные люди - это одно, другое это люди, которые могут грамотно оценить риски и определить, какие области являются более рисковыми для организации, соотвественно какие события необходимо отслеживать в первую очередь. В плане мониторинга очень часто происходит перекос: тщательно мониторятся и анализируются активы, которые не представляют ценность для бизнеса, а ценные активы не попадают под мониторинг вообще в виду отсутствия ресурсов.

Nikolay Golovin 2 Andriy Lysyuk: вы абсолютно правы, но когда я отвечал на цитату Vladimir Matviychuk, мы на другую сторону смотрели.

Andrey Loginov Помимо Cisco MARS у наших клиентов стоят кореляторы от Fortinet FortiAnalyzer.
Железка снимает события с файрволов и генерирует агрегированые достаточно компактные, легко воспринимаемые отчеты.

Comments