За пять лет существования системы для выявления инцидентов ИБ MaxPatrol SIEM у продукта появилась обширная функциональность. Теперь разработчики Positive Technologies работают над тем, чтобы поэтапно снижать трудозатраты специалистов на работу в SIEM. В этой статье покажем пять мажорных фич последних версий MaxPatrol SIEM, которые упрощают работу сотрудников в системе.
По данным нашего опроса в 2019 году, 25% специалистов по ИБ проводят в SIEM-системах от двух до четырех часов ежедневно, а 22% опрошенных — больше половины рабочего дня. Причем 62% респондентов отметили, что за год это время увеличилось.
Мы взяли курс на снижение порога входа для специалистов в мир SIEM, чтобы даже новички в мониторинге безопасности могли быстро начать работу в MaxPatrol SIEM. Для этого от релиза к релизу мы добавляем удобные фичи и упрощаем прежние. Давайте посмотрим детально, что это за функции и как он поможет специалистам снизить трудозатраты.
№ 1. Регулярная поставка экспертизы в продукт
С января 2019 года пользователи MaxPatrol SIEM ежемесячно получают свежий набор правил обнаружения угроз, так называемые пакеты экспертизы. Каждый пакет посвящен определенным видам атак и аномалий. В основе пакетов экспертизы — непрерывный мониторинг новых угроз, изучение атак и расследование инцидентов. Например, в апреле мы выпустили пакет экспертизы для безопасной удаленной работы. Другие популярные пакеты направлены на выявление продвинутых атак на Active Directory, аномалий в активности пользователей, атак с применением тактик по модели MITRE ATT&CK.
Как это снижает трудозатраты
Регулярная поставка такой экспертизы снижает необходимость в мониторинге актуальных атак и написании собственных правил. Правила в составе пакетов экспертизы не требуют трудоемкой адаптации и готовы к работе сразу после настройки по инструкции в документации.
У каждого пакета экспертизы есть подробное описание: какие правила есть в его составе, как настроить источники событий, как правильно реагировать на инцидент. Описание доступно прямо из интерфейса. Если описание пакета экспертизы устраивает пользователя и он хочет установить правила на свою инсталляцию, то с версии 5.1 он может это сделать в два клика.
Как это работает
Посмотрите, как выглядят и работают пакеты экспертизы в MaxPatrol SIEM с версии 5.1:
https://youtu.be/iC82eTdUf8g.
№ 2 Чек-лист для быстрого старта работы
В шестой версии MaxPatrol SIEM появился чек-лист настройки системы. В нем 11 шагов, необходимых для старта работы SIEM. Шаги сгруппированы по трем разделам: администрирование, инфраструктура и экспертиза. Каждый шаг сопровождает список действий, которые нужно выполнить, и ссылки на подробные материалы.
Как это снижает трудозатраты
Обычно внедрение SIEM-системы в инфраструктуру компании занимает несколько месяцев и требует от исполнителей определенных квалификации, опыта и знаний. С чек-листом специалистам не придется изучать многостраничную документацию. Им будет сразу понятно, какие шаги необходимо выполнить в первую очередь, как их реализовать и правильно ли они их выполнили.
Как это работает
Посмотрите, как настроить MaxPatrol SIEM по чек-листу:
№ 3 Конструктор правил корреляции
Правила корреляции, поставляемые вместе с SIEM-системами, часто бывают устаревшими или неподходящими для специфики деятельности компании. В результате пользователям приходится самим переписывать правила или привлекать специалистов со стороны. Мы попытались решить эту проблему. С версии 5 в MaxPatrol SIEM не обязательно осваивать специальный язык программирования, чтобы написать собственные правила корреляции: их можно создать в несколько кликов в удобном конструкторе.
Как это снижает трудозатраты
· Не нужно изучать специальный язык программирования для написания правил обнаружения угроз.
· Чтобы не заставлять пользователей писать код, в котором указаны условия для событий ИБ, мы реализовали макросы. С их помощью можно быстро подставить часто применяемые или сложные для самостоятельного написания фрагменты программного кода. Набор предустановленных макросов регулярно пополняется. При этом пользователи могут расширять набор собственными фрагментами кода.
Как это работает
Пошагово создание нового правила выглядит так:
1. Конкретизируйте цель корреляции (например, «выполнение процесса на удаленном компьютере с использованием интерфейса WMI»).
2. Выберите события ИБ и условия для них.
3. Настройте последовательность событий.
4. Задайте интервал времени, в течение которого события должны произойти.
5. Нажмите кнопку, чтобы установить новое правило.
Кроме того, в условиях для событий ИБ можно анализировать поля событий и запрашивать данные из табличных списков — например, из списка пользователей с привилегиями администратора.
Прежде чем сохранить правило, пользователь может просмотреть полный его код и проверить заполненность полей. Пропущенные поля, обязательные для заполнения, подсветятся красным.
№ 4 Быстрое исключение повторных ложных срабатываний
Самая трудоемкая задача специалистов по ИБ в SIEM — работа с ложными срабатываниями. Эту задачу отметили 58% опрошенных специалистов по ИБ, работающих с любой SIEM-системой.
Чтобы снизить количество ложных срабатываний, пользователи MaxPatrol SIEM версии 6 могут в пару кликов добавлять исключения для работы правил обнаружения угроз. Для этого пользователю нужно отметить параметры в событиях, на которые правило в дальнейшем не будет реагировать. Например, имя, адрес сетевого узла или конкретного пользователя. Выбранные параметры автоматически добавятся в исключения.
Как это снижает трудозатраты
Добавление исключений для правил в пару кликов позволяет исключить повторные ложные срабатывания в будущем. Добавление исключений для правил было возможно и в предыдущих версиях MaxPatrol SIEM, но требовало больше усилий. Для этого нужно было вручную заполнять белые списки и устанавливать список в систему.
Как это работает
В видеоролике показываем, как добавить исключения для правил в пару кликов двумя способами — с помощью быстрого добавления исключений и через ручное заполнение белых списков:
№ 5 Объединение похожих событий в один инцидент
В версии 5.1 мы добавили в MaxPatrol SIEM возможность объединять похожие подозрительные события в один инцидент.
Как это снижает трудозатраты
Агрегация подозрительных событий в один инцидент избавляет пользователей MaxPatrol SIEM от потока одинаковых инцидентов. А значит инцидентов для разбора будет меньше.
Как это работает
В конструкторе правил корреляции пользователю нужно выбрать правило и задать параметры «склеивания»: к какому инциденту добавить события (уже закрытому или новому), как считать уровень опасности инцидента, за какой временной интервал агрегировать события и с какого момента его отсчитывать. К примеру, несколько последовательных неудачных попыток аутентификации можно задать как один инцидент. Это мы и сделали в видео:
Мы привели пять примеров фич, которые позволят пользователям MaxPatrol SIEM снизить трудозатраты на написание собственных правил обнаружения угроз, разбор инцидентов и настройку системы. Разумеется, это не все функции, которые делают работу с продуктом проще. Каждый релиз сопровождает множество UX-улучшений и минорных фич, которые тоже способствуют снижению порога входа в мир SIEM. А впереди — еще больше упрощений и автоматизаций! До новых фич :)