IBM QRadar SIEM

IBM QRadar SIEM

Цель проекта

Целями создания СМСБ для компании-заказчика, представляющей банковский сектор являются:

  • соответствие требованиям J-SOX, Федерального закона «О персональных данных», Положения Банка России №382-П, стандарта PCI DSS, Комплекса документов Стандарта Банка России по обеспечению информационной безопасности в части, связанной с мониторингом событий безопасности, выявлением и реагированием на инциденты, а также контролем информационной безопасности;
  • организации процесса сбора, обработки и хранения данных о событиях ИБ;
  • организации процесса быстрого доступа, поиска, категорирования данных о событиях ИБ;
  • организации процесса оперативного и эффективного реагирования на инциденты ИБ;
  • минимизации рисков ИБ и принятия превентивных мер до нанесения ущерба путем оптимизации процесса управления инцидентами ИБ;

 

2_1

 

Задачи, которые должна решать СМСБ:

  • сбор и централизованное хранение данных о событиях ИБ;
  • контроль активности пользователей, устройств, приложений;
  • корреляция и анализ событий ИБ от различных источников;
  • формирование инцидентов информационной безопасности;
  • помощь в проведении расследований произошедших инцидентов;
  • предупреждение о потенциальных угрозах безопасности;
  • оценка уязвимостей информационных систем;
  • снижение рисков возникновения инцидентов безопасности.

При возникновении угроз информационной безопасности или для профилактики и расследования инцидентов ручной анализ данных из лог-файлов занимает значительное время и не всегда возможен в связи с загруженностью персонала Заказчика. В инфраструктуре Заказчика не имеется автоматизированных средств для анализа данных и корреляции событий безопасности из различных лог-файлов.

Поэтому возникла необходимость в создании системы мониторинга событий безопасности для сбора, корреляции и анализа данных о событиях и угрозах безопасности, поступающих от различных информационных систем 

Решение

В качестве решения для построения СМСБ используется программно-аппаратный комплекс IBM Security QRadar SIEM (QRadar).

Процесс работы СМСБ и порядок взаимодействия компонентов системы состоит из следующих шагов:

  1. Подсистема анализа событий собирает (получает) события с устройств IT-инфраструктуры (маршрутизаторы, МСЭ, сервера, приложения и т.д.).
  2. Подсистема сбора сетевого трафика получает данные о сетевых потоках из ЛВС (через «зеркалированный» порт коммутатора) и перенаправляет их на подсистему анализа событий.
  3. Подсистема анализа событий производит нормализацию исходных событий (приведение к единому формату). События фильтруются и агрегируются (опционально) в соответствие с заданной конфигурацией.
  4. Подсистема анализа событий производит анализ и корреляцию событий, используя данные об угрозах, сетевых потоках, уязвимостях, активах IT-инфраструктуры и сохраняет полученные события в хранилище событий.
  5. Полученные события безопасности вызывают срабатывание правил корреляции и создают инциденты безопасности.
  6. Инциденты безопасности сохраняются в базе инцидентов.
  7. Пользователи системы просматривают инциденты и отчеты о произошедших событиях и обеспечивают их разрешение (расследование). 

В качестве аппаратных платформ для компонентов СМСБ используются следующие устройства:

  • IBM QRadar QFlow Collector 1201
  • IBM QRadar Core Appliance 3105

Плафторма IBM QRadar QFlow Collector 1201 позволяет собирать сетевой трафик на уровне приложений (7 уровень модели OSI) и передавать данные о трафике на IBM QRadar Core Appliance 3105.

Платформа IBM QRadar Core Appliance 3105 представляет комбинированный программно-аппаратный комплекс, который обеспечивает функции сбора, анализа, корреляции и хранения данных. Устройство обеспечивает наращивание производительности до 5000 событий в секунду (EPS) при установившемся потоке событий путем программного обновления лицензии, без необходимости замены, расширения или приобретения новой аппаратной части, поддерживает подключение не менее 1000 сетевых устройств, обеспечивает сбор и обработку не менее 25 000 сетевых потоков в минуту

Устройство IBM QRadar Core Appliance 3105 включает:

  • Коллектор сбора информации (Event Collector);
  • Обработчик событий (Event Processor) для анализа событий и сетевых потоков;
  • Внутреннее хранилище для событий и сетевых потоков.

Система мониторинга событий безопасности логически включает в себя следующие компоненты (подсистемы):

  • подсистема анализа событий (на основе IBM QRadar SIEM);
  • подсистема сбора сетевого трафика (на основе IBM QRadar QFlow)

Подсистема анализа событий

Данная подсистема функционирует на программно-аппаратном комплексе IBM QRadar SIEM All-In-One Hardware Appliance 2100 Light и обеспечивает корреляцию событий, долгосрочное хранение событий безопасности и сетевых потоков, их архивацию и формирование отчетов. Производительность комплекса обеспечивает подключение до 750 источников событий и обработку не менее 500 событий в секунду (Events per Second, EPS) при установившемся потоке событий (Sustained Rate). События, как нормализованные, так и ненормализованные (raw), а также сетевые потоки, сохраняются в единой высокопроизводительной специализированной базе данных для хранения и последующей обработки.

Подсистема обеспечивает сбор, обработку и отображение событий в реальном времени, а также обеспечивает полнотекстовый поиск по событиям.

Подсистема анализа событий включает специализированный агент WinCollect, устанавливаемый на основанные на Windows устройства в виде ПО. Агент WinCollect позволяет собирать логи с ОС Windows и приложений и перенаправлять их на IBM QRadar SIEM.

 2_2

Для сбора событий с инфраструктуры Заказчика используются следующие протоколы:

  • Syslog;
  • NetFlow;
  • Программный агент WinCollect;
  • Microsoft Exchange protocol;
  • IBM AIX.

Способы подключения источников данных

Тип источника данных Способ подключения к СУИБ
Windows Server Audit Logs Агент WinCollect
Microsoft SQL Server JDBC
Microsoft TMG 2010 Агент Adaptive Log Exporter
Check Point UTM-1 OPSEC
Microsoft SCOM 2007 R2 JDBC
VMware ESX 5.1, VMware vCenter syslog
Symantec Endpoint Protection 12 syslog
Microsoft IIS syslog
Apache HTTP Server syslog

 

2_3

 

Подсистема анализа событий автоматически производит обнаружение источников событий после получения нескольких лог-сообщений за определенный промежуток времени. Все полученные данные категорезуются по трем категориям:

  • События (events);
  • Потоки сетевых данных (flows);
  • Информация об уязвимостях (Vulnerability assessment).

Подсистема анализа событий обеспечивает прием и обработку событий с компонентов всей IT-инфраструктуры

Подсистема сбора сетевого трафика

Подсистема сбора сетевого трафика функционирует на программно-аппаратном комплексе IBM QRadar SIEM All-In-One Hardware Appliance 2100 Light и производит сбор сетевого трафика на SPAN («зеркальных») портах и выполняет профилирование трафика до Уровня 7 (уровня приложений). На основании анализа типа приложения подсистема производит выявление поведения приложений в сети и обнаруживает поведенческие аномалии сетевого трафика на уровне приложений.

Основным назначением СМСБ является формирование инцидентов информационной безопасности, возникающих в корпоративной информационной инфраструктуре

Для формирования инцидентов информационной безопасности необходимо функционирование правил корреляции событий информационной безопасности, поступающих от различных источников или сетевых потоков. Техническое решение предусматривает следующие категории угроз информационной безопасности

 

Категория

Описание

Аномалия

Правилами должны определяться потенциально опасные события, когда поведение хоста или сетевого трафика являются подозрительными (например, фрагментация пакетов или известные техники обхода систем обнаружения вторжений).

Аутентификация

Правилами должны определяться события, относящиеся к аутентификации пользователей, групп или изменению привилегий аккаунтов (например, вход и выход пользователей из системы).

DDoS атака

Правилами должны определяться события, относящиеся к потенциальным атакам типа «Отказ в обслуживании» (Denial of Service) или «Распределенный отказ в обслуживании» (Distributed Denial of Service) на хосты или сервисы.

Ботнеты

Правилами должны определяться события, связанные с обнаружением активности сети ботнетов (например, если локальный хост пытается установить соединение с известной сетью ботнетов).

Нарушение политики

Правилами должны определяться события, связанные с нарушением корпоративных политик безопасности или общепринятых рекомендаций по безопасности.

Соответствие стандартам

Правилами должны определяться события, определяемые как нежелательные или потенциально опасные с точки зрения международных стандартов по безопасности.

База данных

Правилами должны определяться события, относящиеся к работе с базами данных, например, изменения прав доступа, доступ к базе данных из недоверенной сети или не в рабочее время.

Эксплоит

Правилами должны определяться события, связанные с попытками эксплуатации эксплоитов, переполнения буфера или атаки, использующие уязвимости web приложений.

Величина регулировки

Правилами должны определяться параметры значимости и достоверности событий и сетевых потоков для формирования инцидентов.

Вредоносное ПО

Правилами должны определяться события, связанные с вирусными атаками или другими формами активности вредоносного программного обеспечения (трояны, шпионы, малваре).

Подозрительная активность

Правилами должны определяться события, связанные с обнаружением сканирования сети и другими техниками, применяемыми для поиска и определения сетевых ресурсов.

Система

Правилами должны определяться события, связанные с системными изменениями, установкой ПО или информационными служебными сообщениями.

 

В случае возникновения инцидента СМСБ формирует соответствующую запись в перечне инцидентов и отправляет уведомление администратору через почтовый сервер

Для оптимального функционирования механизмов корреляции и выделения наболее критичных событий безопасности определяются следующие параметры в системе:

  1. Указываются значения важности ресурсов.
  2. Указываются параметры сетевой иерархии (имя сети, маска сети, критичность сети, основные узлы сети).
  3. Для ресурсов задаются параметры операционных систем и используемых приложений (номеров портов).

СМСБ использует сетевую иерархию для понимания сетевого трафика и предоставления информации по всем активностям, происходящим в сети. Сетевая иерархия определяется через диапазоны IP-адресов, которые используются для логической группировки отдельных сегментов. После задания сетевой иерархии СМСБ автоматически обнаруживает и классифицирует активы в сети, ведет базу данных активов, содержащую IP-адреса, имена хостов, ОС, список запущенных служб, список открытых портов, список уязвимостей, бизнес-владельца, технического владельца и расположение актива, а также identity-информацию о пользователях и применяет эту информацию к событиям безопасности.

Количество ложных срабатываний уменьшается также за счет использования значений типов операционной системы. Технические решения, используемые в СМСБ обеспечивают возможность интеграции с поддерживаемыми сканерами уязвимостей, автоматически импортируя информацию об уязвимостях во время проведения сканирования.

Для разрешения или запрета доступа и разграничения выполняемых действий в СМСБ используется ролевое управление.

Каждая создаваемая роль может определять полномочия доступа ко всей системе СМСБ (через интерфейс управления). При создании роли есть возможность определить доступ либо ко всем действиям, либо разграничить административные полномочия по управлению системой и полномочия по мониторингу (просмотру). При этом каждому пользователю может назначаться несколько ролей.

Технические решения предусматривают создание в СМСБ четырех типов ролей:

  1. Роль, которая обеспечивает административные полномочия к управлению системой.
  2. Роль, которая обеспечивает управление правилами, конфигурациями и системными настройками.
  3. Роль, которая обеспечивает управление инцидентами.
  4. Роль, которая позволяет только просматривать данные СМСБ.

Для работы компонентов СМСБ и взаимодействия их между собой должна быть настроена:

  1. Маршрутизация трафика между подсистемой анализа событий и подсистемой сбора сетевого трафика
  2. Маршрутизация трафика между подсистемой анализа событий и источниками событий в сети Заказчика.

 

Для обеспечения правильных единых настроек времени на компонентах СМСБ и подключаемых источниках событий (маршрутизаторы, коммутаторы, серверы, межсетевые экраны и др.) настраивается протокол NTP. Использование NTP гарантирует, что события, сообщения будут своевременными и скоординированными по времени. Этот протокол является критически важным компонентом для правильного функционирования СМСБ и корреляции событий безопасности.

Результат

В результате внедрения системы управления инцидентами информационной безопасности в информационной инфраструктуре заказчика были обеспечены:

  • сбор и централизованное хранение данных о событиях ИБ;
  • контроль активности пользователей, устройств, приложений;
  • корреляция и анализ событий ИБ от различных источников;
  • формирование инцидентов информационной безопасности;
  • возможности для проведения расследований инцидентов;
  • предупреждение о потенциальных угрозах безопасности;
  • оценка уязвимостей информационных систем;
  • снижение рисков возникновения инцидентов безопасности.

Цель внедрения СУИБ была успешно достигнута.