DOI: 10.22184/2070-8963.2024.120.4.74.79

Проведен анализ современных системы мониторинга информационной безопасности и выбрана SIEM-система MaxPatrol. Описаны принципы обработки событий в системе, описан алгоритм построения правил корреляции. Разработана архитектура, интерфейс и модули системы.

sitemap
Наш сайт использует cookies. Продолжая просмотр, вы даёте согласие на обработку персональных данных и соглашаетесь с нашей Политикой Конфиденциальности
Согласен
Поиск:

Вход
Архив журнала
Журналы
Медиаданные
Редакционная политика
Реклама
Авторам
Контакты
TS_pub
technospheramag
technospheramag
ТЕХНОСФЕРА_РИЦ
© 2001-2025
РИЦ Техносфера
Все права защищены
Тел. +7 (495) 234-0110
Оферта

Яндекс.Метрика
R&W
 
ISSN 2070-8963
Книги по связи
 
Вход:

Ваш e-mail:
Пароль:
 
Регистрация
Забыли пароль?
Книги по связи
Листвин В. Н., Трещиков В. Н.
Другие серии книг:
Мир связи
Библиотека Института стратегий развития
Мир квантовых технологий
Мир математики
Мир физики и техники
Мир биологии и медицины
Мир химии
Мир наук о Земле
Мир материалов и технологий
Мир электроники
Мир программирования
Мир строительства
Мир цифровой обработки
Мир экономики
Мир дизайна
Мир увлечений
Мир робототехники и мехатроники
Для кофейников
Мир радиоэлектроники
Библиотечка «КВАНТ»
Умный дом
Мировые бренды
Вне серий
Библиотека климатехника
Мир транспорта
Мир фотоники
Мир станкостроения
Мир метрологии
Мир энергетики
Книги, изданные при поддержке РФФИ
Выпуск #4/2024
Е.И.Ларионова, М.А.Студянникова
Разработка системы формирования правил корреляции SIEM-систем
Просмотры: 765
DOI: 10.22184/2070-8963.2024.120.4.74.79

Проведен анализ современных системы мониторинга информационной безопасности и выбрана SIEM-система MaxPatrol. Описаны принципы обработки событий в системе, описан алгоритм построения правил корреляции. Разработана архитектура, интерфейс и модули системы.
Разработка системы формирования правил корреляции SIEM-систем

Е.И.Ларионова, к.пед.н., доцент Оренбургского филиала ПГУТИ / ananeva_ei@mail.ru,
М.А.Студянникова, к.пед.н., доцент Оренбургского филиала ПГУТИ / studyannikovam@mail
УДК 004.9, DOI: 10.22184/2070-8963.2024.120.4.74.79

Проведен анализ современной системы мониторинга информационной безопасности и выбрана SIEM-система MaxPatrol. Описаны принципы обработки событий в системе, описан алгоритм построения правил корреляции. Разработана архитектура, интерфейс и модули системы.

Введение
В современном цифровом мире, где данные являются одним из самых ценных ресурсов, обеспечение информационной безопасности становится ключевой задачей для любой компании. Системы управления информационной безопасностью (СУИБ) и управления собы­тиями (SIEM − Security Information and Event Management) играют важную роль в поддержании целостности, конфиденциальности и доступности данных. SIEM объединяет в себе функции мониторинга, анализа и реагирования на события, происходящие в информационной системе, что помогает выявлять и предотвращать угрозы безопасности.

SIEM-системы позволяют анализировать и коррелировать данные о безопасности из различных источников, таких как журналы событий, угрозы извне, атаки на систему и даже необычное поведение пользователей. Благодаря этому компании могут оперативно реагировать на инциденты безопасности и предотвращать потенциальные угрозы.

Одним из основных преимуществ SIEM является возможность централизованного управления событиями безопасности. Благодаря этому администраторы могут видеть полную картину происходящего в информационной системе, выявлять слабые места и недостатки в защите данных, а также принимать меры для устранения уязвимостей.

Важно отметить, что SIEM не является универсальным средством безопасности и требует грамотной настройки и постоянного мониторинга. Работа с такой системой включает в себя построение сценариев обработки событий, определение пороговых значений для срабатывания тревог, обучение персонала и аудит безопасности.

Правильно настроенная и интегрированная SIEM позволяет оперативно реагировать на инциденты безопасности, обеспечивать целостность и конфиденциальность данных, а также повышать общий уровень информационной безопасности.

Одним из ключевых аспектов работы SIEM-систем является корреляция событий, которая позволяет выявлять потенциальные угрозы и инциденты безопасности. Корреляция событий осуществляется путем анализа и сопоставления различных событий и индикаторов безопасности, которые могут указывать на наличие угрозы. Это может включать в себя обнаружение необычных сетевых активностей, попыток несанкционированного доступа к системе, регистрацию подозрительных действий пользователей и другие аномалии.
Правильная корреляция событий в SIEM-системе позволяет обнаруживать угрозы в более ранней стадии, что помогает предотвращать серьезные инциденты безопасности и минимизировать ущерб для организации. Кроме того, SIEM-системы также способствуют лучшей координации действий по реагированию на инциденты и обеспечивают централизованное хранение и анализ логов, что упрощает контроль над безопасностью информации в организации.

Правило корреляции представляет собой совокупность текстовых конструкций, написанных на определенном языке программирования, в данной статье мы рассматриваем систему формирования правил корреляции для SIEM.

Обрабатываемая в системе информация
В системе предполагается использование мандатной модели разграничения доступа. Пользователи системы производят вход по логину и паролю.
Разрабатываемая программа имеет клиент-серверную архитектуру и является корпоративной по масштабу использования.

В данной системе используется конфиденциальная информация, к которой имеет доступ ограниченный круг пользователей. К такой информации относятся аутенификационные данные, то есть логин и пароль пользователя, правила корреляции, в которых содержатся IP-адреса, доменные имена и данные о корпоративной сети организации.

Концептуальная модель системы
Разрабатываемая система предназначена для аналитиков SIEM-систем и предназначена для автоматизации процесса создания правил корреляции. Разработанная программа представляет собой некий конструктор для формирования правил корреляции и выполнена с авторизацией по логину и паролю.

Для разработки программного продукта были проведены структурный анализ и проектирование с использованием специальной методологии SADT (Structured Analysis and Design Technique − метод структурированного анализа и проектирования). Функциональные требования к программному продукту представлены в виде диаграммы прецедентов на рис.1.

Контекстная диаграмма, отображающая основные функции программного обеспечения в виде одного блока, представлена на рис.2.

Внешние потоки, представленные на контекстной диаграмме, описаны в табл.1.
Далее производим декомпозицию контекстной диаграммы согласно стандарту IDEF3, где более детально описывается модель. Данная диаграмма показана на рис.3.
Внутренние информационные потоки представлены в табл.2.

Описание архитектуры автоматизированной системы
Для реализации автоматизированной системы выбрана платформа .NET Framework в виду того, что в ней есть поддержка среды разработки Microsoft Visual Studio и языка программирования C#. Для реализации графического интерфейса была выбрана платформа WPF – Windows Presentation Foundation.

.NET Framework − это модульная платформа для разработки ПО с открытым исходным кодом. Она совместима с различными операционными системами.

Разработанная автоматизированная система запускается одновременно на нескольких персональных компьютерах и может работать параллельно в корпоративной сети. Учетные данные пользователей хранятся на сервере базы данных. Пользователи системы могут работать внутри локальной сети без подключения к глобальной. Папка с создаваемыми правилами находится в общих документах сети организации.

Описание модулей автоматизированной системы
Описание основных модулей автоматизированной системы представлено в табл.3.
Сведения о файлах программы и способе их установки
Программа включает в себя файл ARgCorrGenerator.exe.

Рекомендуемые ресурсы компьютера, на который устанавливается программа:
  • Например ОС Windows;
  • .NET 6.0;
  • жесткий диск со свободным пространством на 15 МБ;
  • процессор с тактовой частотой от 2,3 ГГц.

Для начала создается папка на диске компьютера, копируются установщики программы, используя дамп базы данных, устанавливается база данных для учетных записей пользователей, далее можно начинать работу с программой, запустив файл ARgCorrGenerator.exe. Для пользователя данной программой выполняется меньше шагов: исключается шаг "установить базу данных". Пользователь подключается к той, что установил администратор в сети.

Интерфейс и управление программой
После запуска приложения пользователь видит главное окно программы со страницей входа в приложение, вводит логин и пароль, попадая в административную панель.
В панели администратора отображаются существующие учетные записи пользователей, в нее можно добавить пользователя, а также удалить его. Администратор также может вписать логин, пароль для нового пользователя и выставить уровень доступа. По умолчанию он выставлен как "1", уровень доступа администратора – "0". Удаление пользователя происходит по его логину и нажатию на кнопку "Удалить".

Окно пользователя состоит из трех основных вкладок, в которых находятся поля, необходимые для заполнения, и кнопки для просмотра составленных правил корреляции.
В основном окне (рис.4) пользователю предлагается заполнить параметры правила корреляции, такие как название, описание, важность, тип и категория.

На рис.5 показана третья вкладка основного окна. В ней пользователь может заполнить данные о событиях, которые должны будут коррелироваться, ввести свой код для события в правило корреляции.

При нажатии на кнопку "Добавить событие" появится вкладка "Событие B" с окном, подобным событию А, и условия для связи этих двух событий.

Также в основной вкладке пользователь описывает само корреляционное событие. В поле будут отображаться логин и описание, которое видит аналитик при выполнении инцидента.
Пользователь может нажать кнопку "Создать правило", заполнить все необходимые поля для создания правила, далее он увидит текстовый документ со сформированным правилом корреляции. Если что-то было не заполнено, программа сообщит об ошибке. Пример текстового документа, сформированного программой, представлен на рис.6.

При нажатии на кнопку "Просмотр правил" пользователь попадает в окно, в котором представлены все правила, написанные им. При необходимости можно внести изменения, отредактировать и удалить. Окно просмотра правил представлено на рис.7.

Заключение
В статье представлена разработка автоматизированной системы формирования правил корреляции SIEM-систем в соответствии с методикой разработки правил корреляции, синтаксическими и семантическими особенностями языка формирования правил корреляции в MaxPatrol SIEM. Разработан алгоритм построения правил корреляции, который лег в основу прототипа автоматизированной системы формирования правил корреляции.
Программный продукт разработан на платформе .NET Framework с использованием парадигмы событийно-ориентированного программирования.
Разработанная автоматизированная система является прототипом системы формирования правил корреляции, данную систему можно перепрограммировать под заданные правила корреляции.

ЛИТЕРАТУРА
Что такое SIEM? [Электронный ресурс]. URL: http://www.securitylab .ru/analytics/430777.php (дата обращения 05.03.2024).
Юрков А.А., Ивайловский Е.О. Как правильно выбрать и внедрить SIEM-систему // Современные научные исследования и инновации. 2023. № 9. [Электронный ресурс]. URL: https://web.snauka.ru/issues/2023/09/100743 (дата обращения: 21.05.2024).
Справочный портал Positive Technologies: Документация по продуктам. [Электронный ресурс]. URL: https://help.ptsecurity.com/projects/
1566366731 (дата обращения: 05.03.2024).
Исхаков С.Ю. и др. Визуализация больших данных с применением методов корреляции событий информационной безопасности в инфраструктуре интернета вещей // Цифровая Земля и Большие Данные: ТУСУР, 2018. С. 312−313.
Хабр: как экспертиза в мониторинге событий ИБ помогает создавать качественные продукты [Электронный ресурс]. URL: https://habr.com/ru/companies/pt/articles/703084/ (дата обращения: 05.03.2024).
Справочный портал Positive Technologies: Структура правила корреляции [Электронный ресурс]. URL: https://help.ptsecurity.com/projects/maxpatrol10/26.1/ru-RU/help/735350795 (дата обращения: 05.03.2024).
Крыжановский А.В. Управление инцидентами информационной безопасности // Сборник докладов и тезисов X Всероссийской научно-практической конференции "Проблемы передачи информации в инфокоммуникационных системах". Волгоград, 2019. С. 30−33.
SIEM: ответы на часто задаваемые вопросы [Электронный ресурс]. URL: https://habr.com/post/172389/ (дата обращения: 05.03.2024).
Обзор российского рынка SIEM. [Электронный ресурс]. URL: https://www.anti-malware.ru/analytics/Market_Analysis/Security-Information-and-Event-Management-SIEM-2023#part55 (дата обращения: 05.03.2024).
Исхаков А.Ю. и др. Модели нормализации данных в системах управления событиями безопасности // Вопросы кибербезопасности. 2022. № 5(51). С. 82−99.
Справочный портал PositiveTechnologies: Развертывание MaxPatrol SIEM [Электронный ресурс]. URL: https://help.ptsecurity.com/projects/siem/7.2/ru-RU/help/3203962507 (дата обращения: 05.03.2024).
 
 Отзывы читателей
Разработка: студия Green Art