13. Аналитика

Раздел Аналитика UserGate Log Analyzer предоставляет функционал SIEM -- системы управления информацией о безопасности и событиями информационной безопасности. UserGate Log Analyzer предоставляет возможность проведения анализа журналов событий безопасности, получаемых с настроенных сенсоров, таких как МЭ UserGate, конечные устройства UserGate Client, сторонние сетевые устройства, поддерживающие передачу данных по протоколу SNMP, сенсоры WMI. Все данные хранятся в одной базе данных, что даёт возможность осуществлять сложный поиск, корреляцию повторяющихся событий, их агрегацию, создавая инциденты безопасности, и упростить процесс изучения особенностей инцидентов.

Первоначальной единицей информации, которая поступает в UserGate Log Analyzer, является событие. Событие - это одна запись в журнале, например, единичное срабатывание правила СОВ на МЭ UserGate, блокировка доступа к запрещенному ресурсу (срабатывание блокирующего правила контентной фильтрации), успешная или неуспешная попытка доступа в консоль управления и другие подобные события, которые регистрируются на устройствах, подключенных к UserGate Log Analyzer. Отдельное событие может не нести достаточно информации об угрозе ИБ, но несколько однотипных событий (например, неуспешных попыток доступа в консоль управления) или разных событий, зарегистрированных в определенной последовательности и поступивших из разных источников, могут представлять ценность в идентификации угрозы. Этот процесс называется корреляция событий. Группа событий, объединенная правилом аналитики (корреляции), представляет собой Срабатывание. Инженер безопасности проводит анализ срабатывания, изучает входящие в срабатывание события и при необходимости может создавать Инцидент компьютерной безопасности на основе одного или нескольких срабатываний.

С помощью правил аналитики инженер безопасности может автоматизировать процесс корреляции событий и создание срабатываний, а также назначить определенные Действия реагирования (реакцию) системы на создаваемые срабатывания. Все это позволяет облегчить процесс изучения регистрируемых событий и сократить время между обнаружением проблемы и ее решением.

Настройка данной функции доступна во вкладке Аналитика, где можно настроить правила аналитики, создать действия реагирования, просмотреть журнал срабатываний правил и подробности срабатывания.

Данные функции будут рассмотрены далее в соответствующих разделах: Действия реагирования, Срабатывания и Подробности срабатывания.

Во вкладке Правила аналитики можно создавать правила обработки событий журналов. Настройка правил аналитики позволяет производить сложный поиск среди событий информационной безопасности. Срабатывание правила происходит при выявлении корреляции событий с разных источников. Правила могут работать в двух режимах: исторический режим (анализ событий за выбранный период) и режим реального времени.

Правила создаются нажатием кнопки Добавить. Далее во вкладке Общие необходимо указать свойства правила.

Наименование

Описание

Включено

Включает/отключает правило аналитики для работы в режиме реального времени.

Название

Отображает название правила аналитики.

Описание

Описывает правила аналитики. Данное поле необязательно для заполнения.

Уровень угрозы

Показывает уровень угрозы, который будет отображаться при срабатывании правила.

Для выбора доступны следующие уровни:

  • Очень низкий: события, сформировавшие срабатывание правила аналитики, представляют очень низкий уровень угрозы, и администратор может не предпринимать никаких действий.

  • Низкий: события, сформировавшие срабатывание правила аналитики, представляют низкий уровень угрозы, и администратор может не предпринимать никаких действий.

  • Средний: необходимо обратить внимание на события, попавшие под срабатывание правила аналитики.

  • Высокий: события, требующие исследования и принятия мер.

  • Очень высокий: события, требующие исследования и срочного принятия мер.

Приоритет

Показывает приоритет, установленный для срабатывания правила аналитики:

  • Низкий: срабатывания данных правил обладают низким приоритетом реагирования.

  • Нормальный: на срабатывания данных правил необходимо обратить внимание и, возможно, предпринять меры.

  • Важный: на срабатывания данных правил необходимо обратить внимание и предпринять меры.

  • Критический: срабатывания данных правил требуют незамедлительного реагирования.

При срабатывании правила установленный приоритет будет указывать на важность срабатывания правила аналитики.

Категория

Отображает категорию, к которой относится срабатывание.

По умолчанию для выбора доступны следующие категории:

  • Security: правила данной категории определяют инциденты, приводящие к ухудшению безопасности информационных систем.

  • Availability: правила данной категории определяют инциденты, которые приводят к ухудшению доступности информационных систем.

  • Performance: правила данной категории определяют инциденты, которые приводят к ухудшению производительности информационных систем.

Дополнительные категории срабатываний могут быть созданы во вкладке Настройки в разделе Библиотеки --> Категории срабатываний.

Часовой пояс

Указывает на часовой пояс, по времени которого будут работать правила аналитики, т.к. сервер может собирать данные с источников, находящихся в различных часовых поясах.

Во вкладке Условия необходимо указать условие/условия срабатывания правила. Если условий несколько, то они связаны между собой логическим «И» и выполняются сверху вниз. Т.е. правило сработает только в том случае, если будут выполнены все условия. Условие можно создать нажатием кнопки Создать. Далее необходимо указать следующие параметры.

Наименование

Описание

Название

Отображает название условия правила аналитики.

Описание

Описывает условие правила аналитики. Данное поле необязательно для заполнения.

Ограничить время выполнения условия

Включить/отключить ограничение времени выполнения условия.

При включении ограничения времени правило аналитики сработает, только в том случае, когда за указанный отрезок времени условие выполнится заданное количество раз.

Время выполнения условия

Указывает на отрезок времени, за который условие должно выполнится заданное количество раз, чтобы произошло срабатывание правила аналитики. Время указывается в секундах.

Указание времени выполнения условия доступно при включённом чекбоксе Ограничить время выполнения условия.

Запрос фильтра

Отображает SQL-подобный поисковый запрос условия, который пишется по базе журналов. Для формирования запроса используются названия полей, значения полей, ключевые слова и операторы.

Синтаксис написания запроса можно просмотреть в разделе Поиск и фильтрация данных.

Запрос также может быть написан с использованием синтаксиса Google/RE2 в операторе MATCH.

Например. Поисковый запрос:

source = 'wmi log' and logFile = 'Microsoft-Windows-Sysmon/Operational' and logEventId = 1 and data MATCH 'ParentCommandLine:(.*)cmd.exe' and data ~ 'CertReq -Post -config'.

Данный запрос производит поиск в журнале событий конечных устройств, который берёт данные из журнала Microsoft-Windows-Sysmon/Operational. При нахождении события, которое соответствует созданию нового процесса, запускается поиск родительского процесса (т.е. процесса, который вызвал создание нового процесса) и поиск вызова команды certreq c параметрами. Часть запроса с оператором MATCH позволяет определить, что certreq запустили из cmd (командной строки). Таким образом определяется то, что у текущего процесса родительским был cmd.exe.

Подробнее о синтаксисе Google/RE2 в операторе MATCH: https://github.com/google/re2/wiki/Syntax.

Группировать по

Отображает список параметров, по которым могут быть сгруппированы правила в результате срабатывания. Поля будут отображены при просмотре карточки срабатывания.

О параметрах, по которым возможна группировка, читайте в разделе Поиск.

При указании категорий для группировки правило аналитики сработает только в том случае, если условие выполнится именно для выбранной категории заданное количество раз, указанное в поле параметра Повторений шаблона.

Повторений шаблона

Показывает количество выполнений условия, необходимое для срабатывания правила. Данный параметр может быть использован вместе с параметром Ограничить время выполнения условия или без него.

Запустить сейчас

Производит запуск анализа событий за определённый период времени (работа в историческом режиме).

Далее необходимо задать временной диапазон. Если чекбокс Указать диапазон времени не активен, то анализ по созданному правилу аналитики проводится по всей базе событий за всё время. После завершения анализа, нажав кнопку Показать срабатывания в окне Запуск правила аналитики, можно перейти в журнал срабатываний и просмотреть информацию о срабатывании этого правила.

Также правило можно запустить без записи в журнал срабатываний, т.е. для проверки работоспособности правила или просмотра количества срабатываний. Для этого необходимо включить чекбокс Тестовый запуск.

Во вкладке Действия реагирования могут быть добавлены действия, которые будут выполнены автоматически при срабатывании правила аналитики. Действия реагирования могут быть созданы нажатием кнопки Создать и добавить новый объект или добавлены из списка существующих действий. Подробнее о действиях реагирования и их настройке читайте в разделе Действия реагирования.

Чтобы запустить правило в режиме реального времени необходимо нажать кнопку Включить. Кнопка Отключить завершает выполнение выбранного правила аналитики.

Созданные правила можно редактировать, удалять и копировать. Кнопка Показать срабатывания отобразит журнал с краткой информацией о всех срабатываниях выбранного правила. Также можно настроить отображение списка правил: отображать все правила, только включённые/выключенные правила.

При настройке условий правил аналитики возможно производить группировку событий по параметрам, представленным в записях журналов LogAn, NGFW и конечных устройств. Список параметров, по которым возможна группировка событий, смотрите в таблице раздела Поиск.