Выпуск #4/2024
Е.И.Ларионова, М.А.Студянникова
Разработка системы формирования правил корреляции SIEM-систем
Разработка системы формирования правил корреляции SIEM-систем
Просмотры: 765
DOI: 10.22184/2070-8963.2024.120.4.74.79
Проведен анализ современных системы мониторинга информационной безопасности и выбрана SIEM-система MaxPatrol. Описаны принципы обработки событий в системе, описан алгоритм построения правил корреляции. Разработана архитектура, интерфейс и модули системы.
Проведен анализ современных системы мониторинга информационной безопасности и выбрана SIEM-система MaxPatrol. Описаны принципы обработки событий в системе, описан алгоритм построения правил корреляции. Разработана архитектура, интерфейс и модули системы.
Теги: information security is monitoring systems siem (security information and event management) systems siem-system maxpatrol. siem-система maxpatrol информационная безопасность системы siem (security information and event management) системы мониторинга иб
Разработка системы формирования правил корреляции SIEM-систем
Е.И.Ларионова, к.пед.н., доцент Оренбургского филиала ПГУТИ / ananeva_ei@mail.ru,
М.А.Студянникова, к.пед.н., доцент Оренбургского филиала ПГУТИ / studyannikovam@mail
УДК 004.9, DOI: 10.22184/2070-8963.2024.120.4.74.79
Проведен анализ современной системы мониторинга информационной безопасности и выбрана SIEM-система MaxPatrol. Описаны принципы обработки событий в системе, описан алгоритм построения правил корреляции. Разработана архитектура, интерфейс и модули системы.
Введение
В современном цифровом мире, где данные являются одним из самых ценных ресурсов, обеспечение информационной безопасности становится ключевой задачей для любой компании. Системы управления информационной безопасностью (СУИБ) и управления событиями (SIEM − Security Information and Event Management) играют важную роль в поддержании целостности, конфиденциальности и доступности данных. SIEM объединяет в себе функции мониторинга, анализа и реагирования на события, происходящие в информационной системе, что помогает выявлять и предотвращать угрозы безопасности.
SIEM-системы позволяют анализировать и коррелировать данные о безопасности из различных источников, таких как журналы событий, угрозы извне, атаки на систему и даже необычное поведение пользователей. Благодаря этому компании могут оперативно реагировать на инциденты безопасности и предотвращать потенциальные угрозы.
Одним из основных преимуществ SIEM является возможность централизованного управления событиями безопасности. Благодаря этому администраторы могут видеть полную картину происходящего в информационной системе, выявлять слабые места и недостатки в защите данных, а также принимать меры для устранения уязвимостей.
Важно отметить, что SIEM не является универсальным средством безопасности и требует грамотной настройки и постоянного мониторинга. Работа с такой системой включает в себя построение сценариев обработки событий, определение пороговых значений для срабатывания тревог, обучение персонала и аудит безопасности.
Правильно настроенная и интегрированная SIEM позволяет оперативно реагировать на инциденты безопасности, обеспечивать целостность и конфиденциальность данных, а также повышать общий уровень информационной безопасности.
Одним из ключевых аспектов работы SIEM-систем является корреляция событий, которая позволяет выявлять потенциальные угрозы и инциденты безопасности. Корреляция событий осуществляется путем анализа и сопоставления различных событий и индикаторов безопасности, которые могут указывать на наличие угрозы. Это может включать в себя обнаружение необычных сетевых активностей, попыток несанкционированного доступа к системе, регистрацию подозрительных действий пользователей и другие аномалии.
Правильная корреляция событий в SIEM-системе позволяет обнаруживать угрозы в более ранней стадии, что помогает предотвращать серьезные инциденты безопасности и минимизировать ущерб для организации. Кроме того, SIEM-системы также способствуют лучшей координации действий по реагированию на инциденты и обеспечивают централизованное хранение и анализ логов, что упрощает контроль над безопасностью информации в организации.
Правило корреляции представляет собой совокупность текстовых конструкций, написанных на определенном языке программирования, в данной статье мы рассматриваем систему формирования правил корреляции для SIEM.
Обрабатываемая в системе информация
В системе предполагается использование мандатной модели разграничения доступа. Пользователи системы производят вход по логину и паролю.
Разрабатываемая программа имеет клиент-серверную архитектуру и является корпоративной по масштабу использования.
В данной системе используется конфиденциальная информация, к которой имеет доступ ограниченный круг пользователей. К такой информации относятся аутенификационные данные, то есть логин и пароль пользователя, правила корреляции, в которых содержатся IP-адреса, доменные имена и данные о корпоративной сети организации.
Концептуальная модель системы
Разрабатываемая система предназначена для аналитиков SIEM-систем и предназначена для автоматизации процесса создания правил корреляции. Разработанная программа представляет собой некий конструктор для формирования правил корреляции и выполнена с авторизацией по логину и паролю.
Для разработки программного продукта были проведены структурный анализ и проектирование с использованием специальной методологии SADT (Structured Analysis and Design Technique − метод структурированного анализа и проектирования). Функциональные требования к программному продукту представлены в виде диаграммы прецедентов на рис.1.
Контекстная диаграмма, отображающая основные функции программного обеспечения в виде одного блока, представлена на рис.2.
Внешние потоки, представленные на контекстной диаграмме, описаны в табл.1.
Далее производим декомпозицию контекстной диаграммы согласно стандарту IDEF3, где более детально описывается модель. Данная диаграмма показана на рис.3.
Внутренние информационные потоки представлены в табл.2.
Описание архитектуры автоматизированной системы
Для реализации автоматизированной системы выбрана платформа .NET Framework в виду того, что в ней есть поддержка среды разработки Microsoft Visual Studio и языка программирования C#. Для реализации графического интерфейса была выбрана платформа WPF – Windows Presentation Foundation.
.NET Framework − это модульная платформа для разработки ПО с открытым исходным кодом. Она совместима с различными операционными системами.
Разработанная автоматизированная система запускается одновременно на нескольких персональных компьютерах и может работать параллельно в корпоративной сети. Учетные данные пользователей хранятся на сервере базы данных. Пользователи системы могут работать внутри локальной сети без подключения к глобальной. Папка с создаваемыми правилами находится в общих документах сети организации.
Описание модулей автоматизированной системы
Описание основных модулей автоматизированной системы представлено в табл.3.
Сведения о файлах программы и способе их установки
Программа включает в себя файл ARgCorrGenerator.exe.
Рекомендуемые ресурсы компьютера, на который устанавливается программа:
Для начала создается папка на диске компьютера, копируются установщики программы, используя дамп базы данных, устанавливается база данных для учетных записей пользователей, далее можно начинать работу с программой, запустив файл ARgCorrGenerator.exe. Для пользователя данной программой выполняется меньше шагов: исключается шаг "установить базу данных". Пользователь подключается к той, что установил администратор в сети.
Интерфейс и управление программой
После запуска приложения пользователь видит главное окно программы со страницей входа в приложение, вводит логин и пароль, попадая в административную панель.
В панели администратора отображаются существующие учетные записи пользователей, в нее можно добавить пользователя, а также удалить его. Администратор также может вписать логин, пароль для нового пользователя и выставить уровень доступа. По умолчанию он выставлен как "1", уровень доступа администратора – "0". Удаление пользователя происходит по его логину и нажатию на кнопку "Удалить".
Окно пользователя состоит из трех основных вкладок, в которых находятся поля, необходимые для заполнения, и кнопки для просмотра составленных правил корреляции.
В основном окне (рис.4) пользователю предлагается заполнить параметры правила корреляции, такие как название, описание, важность, тип и категория.
На рис.5 показана третья вкладка основного окна. В ней пользователь может заполнить данные о событиях, которые должны будут коррелироваться, ввести свой код для события в правило корреляции.
При нажатии на кнопку "Добавить событие" появится вкладка "Событие B" с окном, подобным событию А, и условия для связи этих двух событий.
Также в основной вкладке пользователь описывает само корреляционное событие. В поле будут отображаться логин и описание, которое видит аналитик при выполнении инцидента.
Пользователь может нажать кнопку "Создать правило", заполнить все необходимые поля для создания правила, далее он увидит текстовый документ со сформированным правилом корреляции. Если что-то было не заполнено, программа сообщит об ошибке. Пример текстового документа, сформированного программой, представлен на рис.6.
При нажатии на кнопку "Просмотр правил" пользователь попадает в окно, в котором представлены все правила, написанные им. При необходимости можно внести изменения, отредактировать и удалить. Окно просмотра правил представлено на рис.7.
Заключение
В статье представлена разработка автоматизированной системы формирования правил корреляции SIEM-систем в соответствии с методикой разработки правил корреляции, синтаксическими и семантическими особенностями языка формирования правил корреляции в MaxPatrol SIEM. Разработан алгоритм построения правил корреляции, который лег в основу прототипа автоматизированной системы формирования правил корреляции.
Программный продукт разработан на платформе .NET Framework с использованием парадигмы событийно-ориентированного программирования.
Разработанная автоматизированная система является прототипом системы формирования правил корреляции, данную систему можно перепрограммировать под заданные правила корреляции.
ЛИТЕРАТУРА
Что такое SIEM? [Электронный ресурс]. URL: http://www.securitylab .ru/analytics/430777.php (дата обращения 05.03.2024).
Юрков А.А., Ивайловский Е.О. Как правильно выбрать и внедрить SIEM-систему // Современные научные исследования и инновации. 2023. № 9. [Электронный ресурс]. URL: https://web.snauka.ru/issues/2023/09/100743 (дата обращения: 21.05.2024).
Справочный портал Positive Technologies: Документация по продуктам. [Электронный ресурс]. URL: https://help.ptsecurity.com/projects/
1566366731 (дата обращения: 05.03.2024).
Исхаков С.Ю. и др. Визуализация больших данных с применением методов корреляции событий информационной безопасности в инфраструктуре интернета вещей // Цифровая Земля и Большие Данные: ТУСУР, 2018. С. 312−313.
Хабр: как экспертиза в мониторинге событий ИБ помогает создавать качественные продукты [Электронный ресурс]. URL: https://habr.com/ru/companies/pt/articles/703084/ (дата обращения: 05.03.2024).
Справочный портал Positive Technologies: Структура правила корреляции [Электронный ресурс]. URL: https://help.ptsecurity.com/projects/maxpatrol10/26.1/ru-RU/help/735350795 (дата обращения: 05.03.2024).
Крыжановский А.В. Управление инцидентами информационной безопасности // Сборник докладов и тезисов X Всероссийской научно-практической конференции "Проблемы передачи информации в инфокоммуникационных системах". Волгоград, 2019. С. 30−33.
SIEM: ответы на часто задаваемые вопросы [Электронный ресурс]. URL: https://habr.com/post/172389/ (дата обращения: 05.03.2024).
Обзор российского рынка SIEM. [Электронный ресурс]. URL: https://www.anti-malware.ru/analytics/Market_Analysis/Security-Information-and-Event-Management-SIEM-2023#part55 (дата обращения: 05.03.2024).
Исхаков А.Ю. и др. Модели нормализации данных в системах управления событиями безопасности // Вопросы кибербезопасности. 2022. № 5(51). С. 82−99.
Справочный портал PositiveTechnologies: Развертывание MaxPatrol SIEM [Электронный ресурс]. URL: https://help.ptsecurity.com/projects/siem/7.2/ru-RU/help/3203962507 (дата обращения: 05.03.2024).
Е.И.Ларионова, к.пед.н., доцент Оренбургского филиала ПГУТИ / ananeva_ei@mail.ru,
М.А.Студянникова, к.пед.н., доцент Оренбургского филиала ПГУТИ / studyannikovam@mail
УДК 004.9, DOI: 10.22184/2070-8963.2024.120.4.74.79
Проведен анализ современной системы мониторинга информационной безопасности и выбрана SIEM-система MaxPatrol. Описаны принципы обработки событий в системе, описан алгоритм построения правил корреляции. Разработана архитектура, интерфейс и модули системы.
Введение
В современном цифровом мире, где данные являются одним из самых ценных ресурсов, обеспечение информационной безопасности становится ключевой задачей для любой компании. Системы управления информационной безопасностью (СУИБ) и управления событиями (SIEM − Security Information and Event Management) играют важную роль в поддержании целостности, конфиденциальности и доступности данных. SIEM объединяет в себе функции мониторинга, анализа и реагирования на события, происходящие в информационной системе, что помогает выявлять и предотвращать угрозы безопасности.
SIEM-системы позволяют анализировать и коррелировать данные о безопасности из различных источников, таких как журналы событий, угрозы извне, атаки на систему и даже необычное поведение пользователей. Благодаря этому компании могут оперативно реагировать на инциденты безопасности и предотвращать потенциальные угрозы.
Одним из основных преимуществ SIEM является возможность централизованного управления событиями безопасности. Благодаря этому администраторы могут видеть полную картину происходящего в информационной системе, выявлять слабые места и недостатки в защите данных, а также принимать меры для устранения уязвимостей.
Важно отметить, что SIEM не является универсальным средством безопасности и требует грамотной настройки и постоянного мониторинга. Работа с такой системой включает в себя построение сценариев обработки событий, определение пороговых значений для срабатывания тревог, обучение персонала и аудит безопасности.
Правильно настроенная и интегрированная SIEM позволяет оперативно реагировать на инциденты безопасности, обеспечивать целостность и конфиденциальность данных, а также повышать общий уровень информационной безопасности.
Одним из ключевых аспектов работы SIEM-систем является корреляция событий, которая позволяет выявлять потенциальные угрозы и инциденты безопасности. Корреляция событий осуществляется путем анализа и сопоставления различных событий и индикаторов безопасности, которые могут указывать на наличие угрозы. Это может включать в себя обнаружение необычных сетевых активностей, попыток несанкционированного доступа к системе, регистрацию подозрительных действий пользователей и другие аномалии.
Правильная корреляция событий в SIEM-системе позволяет обнаруживать угрозы в более ранней стадии, что помогает предотвращать серьезные инциденты безопасности и минимизировать ущерб для организации. Кроме того, SIEM-системы также способствуют лучшей координации действий по реагированию на инциденты и обеспечивают централизованное хранение и анализ логов, что упрощает контроль над безопасностью информации в организации.
Правило корреляции представляет собой совокупность текстовых конструкций, написанных на определенном языке программирования, в данной статье мы рассматриваем систему формирования правил корреляции для SIEM.
Обрабатываемая в системе информация
В системе предполагается использование мандатной модели разграничения доступа. Пользователи системы производят вход по логину и паролю.
Разрабатываемая программа имеет клиент-серверную архитектуру и является корпоративной по масштабу использования.
В данной системе используется конфиденциальная информация, к которой имеет доступ ограниченный круг пользователей. К такой информации относятся аутенификационные данные, то есть логин и пароль пользователя, правила корреляции, в которых содержатся IP-адреса, доменные имена и данные о корпоративной сети организации.
Концептуальная модель системы
Разрабатываемая система предназначена для аналитиков SIEM-систем и предназначена для автоматизации процесса создания правил корреляции. Разработанная программа представляет собой некий конструктор для формирования правил корреляции и выполнена с авторизацией по логину и паролю.
Для разработки программного продукта были проведены структурный анализ и проектирование с использованием специальной методологии SADT (Structured Analysis and Design Technique − метод структурированного анализа и проектирования). Функциональные требования к программному продукту представлены в виде диаграммы прецедентов на рис.1.
Контекстная диаграмма, отображающая основные функции программного обеспечения в виде одного блока, представлена на рис.2.
Внешние потоки, представленные на контекстной диаграмме, описаны в табл.1.
Далее производим декомпозицию контекстной диаграммы согласно стандарту IDEF3, где более детально описывается модель. Данная диаграмма показана на рис.3.
Внутренние информационные потоки представлены в табл.2.
Описание архитектуры автоматизированной системы
Для реализации автоматизированной системы выбрана платформа .NET Framework в виду того, что в ней есть поддержка среды разработки Microsoft Visual Studio и языка программирования C#. Для реализации графического интерфейса была выбрана платформа WPF – Windows Presentation Foundation.
.NET Framework − это модульная платформа для разработки ПО с открытым исходным кодом. Она совместима с различными операционными системами.
Разработанная автоматизированная система запускается одновременно на нескольких персональных компьютерах и может работать параллельно в корпоративной сети. Учетные данные пользователей хранятся на сервере базы данных. Пользователи системы могут работать внутри локальной сети без подключения к глобальной. Папка с создаваемыми правилами находится в общих документах сети организации.
Описание модулей автоматизированной системы
Описание основных модулей автоматизированной системы представлено в табл.3.
Сведения о файлах программы и способе их установки
Программа включает в себя файл ARgCorrGenerator.exe.
Рекомендуемые ресурсы компьютера, на который устанавливается программа:
- Например ОС Windows;
- .NET 6.0;
- жесткий диск со свободным пространством на 15 МБ;
- процессор с тактовой частотой от 2,3 ГГц.
Для начала создается папка на диске компьютера, копируются установщики программы, используя дамп базы данных, устанавливается база данных для учетных записей пользователей, далее можно начинать работу с программой, запустив файл ARgCorrGenerator.exe. Для пользователя данной программой выполняется меньше шагов: исключается шаг "установить базу данных". Пользователь подключается к той, что установил администратор в сети.
Интерфейс и управление программой
После запуска приложения пользователь видит главное окно программы со страницей входа в приложение, вводит логин и пароль, попадая в административную панель.
В панели администратора отображаются существующие учетные записи пользователей, в нее можно добавить пользователя, а также удалить его. Администратор также может вписать логин, пароль для нового пользователя и выставить уровень доступа. По умолчанию он выставлен как "1", уровень доступа администратора – "0". Удаление пользователя происходит по его логину и нажатию на кнопку "Удалить".
Окно пользователя состоит из трех основных вкладок, в которых находятся поля, необходимые для заполнения, и кнопки для просмотра составленных правил корреляции.
В основном окне (рис.4) пользователю предлагается заполнить параметры правила корреляции, такие как название, описание, важность, тип и категория.
На рис.5 показана третья вкладка основного окна. В ней пользователь может заполнить данные о событиях, которые должны будут коррелироваться, ввести свой код для события в правило корреляции.
При нажатии на кнопку "Добавить событие" появится вкладка "Событие B" с окном, подобным событию А, и условия для связи этих двух событий.
Также в основной вкладке пользователь описывает само корреляционное событие. В поле будут отображаться логин и описание, которое видит аналитик при выполнении инцидента.
Пользователь может нажать кнопку "Создать правило", заполнить все необходимые поля для создания правила, далее он увидит текстовый документ со сформированным правилом корреляции. Если что-то было не заполнено, программа сообщит об ошибке. Пример текстового документа, сформированного программой, представлен на рис.6.
При нажатии на кнопку "Просмотр правил" пользователь попадает в окно, в котором представлены все правила, написанные им. При необходимости можно внести изменения, отредактировать и удалить. Окно просмотра правил представлено на рис.7.
Заключение
В статье представлена разработка автоматизированной системы формирования правил корреляции SIEM-систем в соответствии с методикой разработки правил корреляции, синтаксическими и семантическими особенностями языка формирования правил корреляции в MaxPatrol SIEM. Разработан алгоритм построения правил корреляции, который лег в основу прототипа автоматизированной системы формирования правил корреляции.
Программный продукт разработан на платформе .NET Framework с использованием парадигмы событийно-ориентированного программирования.
Разработанная автоматизированная система является прототипом системы формирования правил корреляции, данную систему можно перепрограммировать под заданные правила корреляции.
ЛИТЕРАТУРА
Что такое SIEM? [Электронный ресурс]. URL: http://www.securitylab .ru/analytics/430777.php (дата обращения 05.03.2024).
Юрков А.А., Ивайловский Е.О. Как правильно выбрать и внедрить SIEM-систему // Современные научные исследования и инновации. 2023. № 9. [Электронный ресурс]. URL: https://web.snauka.ru/issues/2023/09/100743 (дата обращения: 21.05.2024).
Справочный портал Positive Technologies: Документация по продуктам. [Электронный ресурс]. URL: https://help.ptsecurity.com/projects/
1566366731 (дата обращения: 05.03.2024).
Исхаков С.Ю. и др. Визуализация больших данных с применением методов корреляции событий информационной безопасности в инфраструктуре интернета вещей // Цифровая Земля и Большие Данные: ТУСУР, 2018. С. 312−313.
Хабр: как экспертиза в мониторинге событий ИБ помогает создавать качественные продукты [Электронный ресурс]. URL: https://habr.com/ru/companies/pt/articles/703084/ (дата обращения: 05.03.2024).
Справочный портал Positive Technologies: Структура правила корреляции [Электронный ресурс]. URL: https://help.ptsecurity.com/projects/maxpatrol10/26.1/ru-RU/help/735350795 (дата обращения: 05.03.2024).
Крыжановский А.В. Управление инцидентами информационной безопасности // Сборник докладов и тезисов X Всероссийской научно-практической конференции "Проблемы передачи информации в инфокоммуникационных системах". Волгоград, 2019. С. 30−33.
SIEM: ответы на часто задаваемые вопросы [Электронный ресурс]. URL: https://habr.com/post/172389/ (дата обращения: 05.03.2024).
Обзор российского рынка SIEM. [Электронный ресурс]. URL: https://www.anti-malware.ru/analytics/Market_Analysis/Security-Information-and-Event-Management-SIEM-2023#part55 (дата обращения: 05.03.2024).
Исхаков А.Ю. и др. Модели нормализации данных в системах управления событиями безопасности // Вопросы кибербезопасности. 2022. № 5(51). С. 82−99.
Справочный портал PositiveTechnologies: Развертывание MaxPatrol SIEM [Электронный ресурс]. URL: https://help.ptsecurity.com/projects/siem/7.2/ru-RU/help/3203962507 (дата обращения: 05.03.2024).
Отзывы читателей