2024/12/18 06:28:57

Авторский надзор: эксплуатация R-Vision SIEM в реальных условиях

Внедрение SIEM (Security Information and Event Management) — ключевой шаг для снижения рисков безопасности, соблюдения нормативных требований и подготовки отчетности. По данным R-Vision, за последний год количество киберугроз увеличилось в полтора раза. Один из главных источников этих угроз — риск взлома со стороны подрядчиков, задействованных в цепочке поставок. Чтобы наши заказчики не столкнулись с риском кибератаки через поставщика, R-Vision должна соответствовать требованиям безопасности, оперативно выявлять и предотвращать подобные инциденты. Это позволит нам гарантировать безопасность и, как следствие, обеспечить целостность бизнеса наших клиентов. Поэтому мы приняли решение усилить уровень безопасности с помощью мониторинга событий ИБ. Для реализации этой задачи мы использовали наш инструмент R-Vision SIEM. В этой статье мы подробно расскажем о процессе внедрения.

Что надо знать про R-Vision SIEM?

R-Vision SIEM базируется на технологии Kubernetes, что делает ее гибкой, масштабируемой при эксплуатации в разных средах. Кроме того, в системе предусмотрен визуальный интерфейс для настройки источников событий, универсальной модели данных, учитывающей более 160 полей, которые можно полностью кастомизировать под конкретные задачи бизнеса.

R-Vision SIEM предлагает как готовые правила для обнаружения инцидентов, так и возможность создания собственных правил через конструктор или с использованием подхода Detection As Code.

Внедрение R-Vision SIEM

Мы начали с четкого определения целей и задач, которые должны были решить с помощью системы R-Vision SIEM. В процессе внедрения мы выделили основные направления для работы:

Определить объекты мониторинга

ИТ-эксперты совместно с бизнес-командой провели оценку возможных рисков и определили ключевые системы, требующие особого внимания и контроля. Это позволило нам понять, с чего следует начинать процесс внедрения системы SIEM.

Получить опыт эксплуатации

Второй важный аспект — получение практического опыта работы с системой. Мы попробовали себя в роли внутреннего заказчика: от инженеров по установке до аналитиков SOC. Это позволило нам понять все нюансы работы с системой и адаптировать ее для устойчивой работы.

Проверить системы в реальных условиях

Мы решили не ограничиваться тестированием системы в условиях лаборатории, а проверить ее в боевых условиях, чтобы гарантировать нашу собственную защищенность и продемонстрировать возможность использования R-Vision SIEM в реальных ситуациях. Это помогло оценить надежность и эффективность системы и внести необходимые корректировки.

Старт проекта: источники и интеграция

В августе мы внедрили R-Vision SIEM в нашу внутреннюю инфраструктуру и уже более полугода ее эксплуатируем. На этапе внедрения мы выделили пул из более 100 бизнес-систем с разной степенью критичности данных и более 400 автоматизированных рабочих мест. Нам нужно было собирать данные со всех этих систем, и важно было, чтобы SIEM обеспечивал удобный способ интеграции с источниками событий, такими как агенты, syslog, NetFlow и другие.

Первым шагом было подключение источников событий информационной безопасности (ИБ). Для этого мы использовали собственный агент R-Vision Endpoint, который помог собрать детальную информацию с нашей инфраструктуры. А благодаря разработанному визуальному конвейеру для обработки событий мы сделали необходимые настройки менее, чем за день. За счет визуализации каждого элемента конвейера аналитику проще собирать данные, как можно увидеть на примере с Windows-системой.

Рис. 1. Конвейер обработки событий с Windows.

Также мы завели несколько syslog-источников и подключили сбор NetFlow V9, чтобы видеть, что происходит в сети. R-Vision SIEM справился с интеграцией, и мы получили все необходимые данные для нормализации и последующего анализа. Система также успешно обрабатывает специфические данные, поступающие с сетевых устройств. Однако, из-за особенностей формата NetFlow на наших устройствах, настройка немного усложнилась. Некоторые события приходили в запакованном виде, то есть фактически содержали несколько событий в одном. Нам необходимо было распаковать их и отправить каждое событие для нормализации отдельно.

Благодаря возможностям конвейеров R-Vision SIEM, мы смогли решить эту задачу без привлечения команды разработчиков. Мы добавили дополнительный блок VRL-трансформации, что позволило нам успешно нормализовать все события в кратчайшие сроки.

Рис. 2. Сбор событий syslog.

Рис. 3. Сбор данных с NetFlow.

Корреляция событий и обнаружение угроз

осле подключения источников событий и их нормализации, следующим шагом стала настройка правил выявления. В августе у нас было более 350 предустановленных правил, которые полностью удовлетворяли наши потребности в обнаружении инцидентов. Стоит отметить, что к концу 2024 года наша экспертиза насчитывает более 500 правил корреляции.

Неожиданное испытание

После внедрения системы, в компании был запланирован пентест, о котором команда ИТ-экспертов специально не была предупреждена. В первые часы пентеста SIEM-система обнаружила подозрительную активность, зафиксировав аномальные действия. Это подтвердило, что система оперативно реагирует на реальные угрозы. Пентест был обнаружен сразу после его начала, а результаты были оперативно выведены на дашборды, предоставляя аналитикам срез о происходящем.

Результаты внедрения

По завершении внедрения мы пришли к следующим выводам:

База R-Vision SIEM соответствует задачам

Продукт выполнил поставленную цель — повысить защищенность компании и сопутствующие задачи: определить объекты мониторинга, получить опыт эксплуатации и проверить систему в реальных условиях. Его технические характеристики, функции и возможности интуитивно понятны и просты в освоении. Например, сотрудникам ИТ-отдела, которые получили продукт для поддержки, потребовалось всего 5-6 часов, чтобы разобраться во всех тонкостях системы.

Гибкость и адаптивность

Система справляется с интеграцией с различными источниками событий и сетевыми устройствами, включая специфические форматы и протоколы. На сегодняшний день мы поддерживаем более 200 источников.

Корреляция и анализ

Встроенные правила корреляции позволяют обнаруживать события разного происхождения и уровня сложности. Помимо встроенных правил, в R-Vision SIEM доступен конструктор правил и возможность создания правил с использованием кода.

Оперативность в реальных условиях

После внедрения системы мы убедились, что наш SIEM работает стабильно как во время бета-тестирования, так и в реальных условиях. Он также успешно выявляет хакерскую активность, что было подтверждено в ходе пентеста.

Итоги

Невозможно гарантировать абсолютную защиту от кибератак на цепочку поставок ПО. Поэтому главная цель — обнаружить атаку на ранней стадии, пока киберпреступники не успели закрепиться в инфраструктуре.

Проект внедрения R-Vision SIEM оказался успешным и позволил нам не только эффективно настроить систему мониторинга безопасности, но и уверенно прошел незапланированные боевые испытания пентестом. Аналитики своевременно обнаружили «тестовую» атаку в первые часы, смогли пошагово проследить путь злоумышленника по нашей инфраструктуре и нейтрализовать его. Благодаря интеграции R-Vision SIEM мы повысили уровень безопасности внутри компании, чтобы минимизировать риски и обеспечить надежную защиту наших клиентов.

Источник — «https://fin.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%90%D0%B2%D1%82%D0%BE%D1%80%D1%81%D0%BA%D0%B8%D0%B9_%D0%BD%D0%B0%D0%B4%D0%B7%D0%BE%D1%80:_%D1%8D%D0%BA%D1%81%D0%BF%D0%BB%D1%83%D0%B0%D1%82%D0%B0%D1%86%D0%B8%D1%8F_R-Vision_SIEM_%D0%B2_%D1%80%D0%B5%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85_%D1%83%D1%81%D0%BB%D0%BE%D0%B2%D0%B8%D1%8F%D1%85»