МЖ
Пример отличного UBA от Эльмана :)
Посмотрим когда технологии догонят людей :)
Посмотрим когда технологии догонят людей :)
Пример отличного UBA от Эльмана :)
Посмотрим когда технологии догонят людей :)
Size: a a a
2019 July 24
EB
Максим Жевнерев
В массе UBA будет лучше, но в отношении одного Макса Эльман справится лучше )
2019 July 25
v
Максим Жевнерев
А давай попробуем :)
1. структурирование и обогащение информации из исходных данных (контекст к хостам, уз, событиям, ip, обогащение из внешних источников и т.д.)
- Хочу вместо сырого лога видеть где и кто (имена и описания)
- понимать статус инфраструктуры: инвентаризация и детекты изменений
- типизация логов и возможность работать с данными от разных систем в едином интерфейсе единой логикой запросов\фильтров\правил
2. возможность давать быстрые ответы на простые вопросы:
- когда и кто создал учетку Х
- когда резолвился и во что домен Х
- кто логинился на ip X
- Когда и где был файл X с md5 Y
- Кто удалил файл Х в папке Y на сервере Z
3. Корреляция
- при срабатывании правила получить максимум контекста, необходимого для разбора: докинуть доступную в логах информацию (даже если это событие было год назад)\сделать запросы к внешним сервисам\добавить инфу из сетевой модели\привязать алерт к человеку а не к УЗ
- фильтрация фолсов\исключения (и по логам и по внешней информации) - хочу сам выбирать логику, что и как убирать из срабатываний. Причем делать это максимально просто и быстро без редактирования кода правила
- Получить информацию о статусе хоста\уз в момент возникновения события, а не то, что было неделю назад при сканировании или будет через Х минут после отработки скриптов при наличии доступов\прав\сзи и т.д.
- Выявлять инциденты: возможность любым способом обработать событие, приклеить к нему другие, посчитать кол-ва на нужном интервале времени. Хочу иметь возможность выявлять любые паттерны атак, которые есть в логах, максимально быстро (минуты) к моменту, когда соответствующая информация появилась в логах. При неограниченном кол-ве правил детекта (тысячи)
- Возможность агрегировать и схлопывать «однотипные» алерты и управлять окном агрегации, чтобы не флудить в SD и не формировать эту логику там
4. Поиск по данным
- Разбор инцидентов: хочу иметь возможность извлекать из данных различную информацию, группировать в разных вариантах, смотреть статистику, менять формат и набор полей\графиков для отображения событий
- выгрузки\отчеты для разбора\отчетности и\или дальнейшей обработки с гибкой настройкой
5. Архитектура
- нормально переживать всплески (х10 от «среднего»): не падать и не дропать события при превышениях лицензии\лимита и т.д.
- быстрое подключать новые системы так, чтобы вся корреляция для типовых кейсов на них распространялась без необходимости писать все заново
- возможность сокращать входящий поток для экономия места и железа
- интегрироваться с любыми внешними системами (скрипты на корреляцию, апи для получения данных, коннекторы для сбора данных по любым доступным протоколам)
6. Не терять логи и быть готовым к поиску и восстановлению таймлайна атаки\взлома\утечки
7. Упростить работу с логами: не писать скрипты на питоне\С\yaml\java и т.д., а работать с данными в нормальном удобном и простом
Ну и так далее :)
1. структурирование и обогащение информации из исходных данных (контекст к хостам, уз, событиям, ip, обогащение из внешних источников и т.д.)
- Хочу вместо сырого лога видеть где и кто (имена и описания)
- понимать статус инфраструктуры: инвентаризация и детекты изменений
- типизация логов и возможность работать с данными от разных систем в едином интерфейсе единой логикой запросов\фильтров\правил
2. возможность давать быстрые ответы на простые вопросы:
- когда и кто создал учетку Х
- когда резолвился и во что домен Х
- кто логинился на ip X
- Когда и где был файл X с md5 Y
- Кто удалил файл Х в папке Y на сервере Z
3. Корреляция
- при срабатывании правила получить максимум контекста, необходимого для разбора: докинуть доступную в логах информацию (даже если это событие было год назад)\сделать запросы к внешним сервисам\добавить инфу из сетевой модели\привязать алерт к человеку а не к УЗ
- фильтрация фолсов\исключения (и по логам и по внешней информации) - хочу сам выбирать логику, что и как убирать из срабатываний. Причем делать это максимально просто и быстро без редактирования кода правила
- Получить информацию о статусе хоста\уз в момент возникновения события, а не то, что было неделю назад при сканировании или будет через Х минут после отработки скриптов при наличии доступов\прав\сзи и т.д.
- Выявлять инциденты: возможность любым способом обработать событие, приклеить к нему другие, посчитать кол-ва на нужном интервале времени. Хочу иметь возможность выявлять любые паттерны атак, которые есть в логах, максимально быстро (минуты) к моменту, когда соответствующая информация появилась в логах. При неограниченном кол-ве правил детекта (тысячи)
- Возможность агрегировать и схлопывать «однотипные» алерты и управлять окном агрегации, чтобы не флудить в SD и не формировать эту логику там
4. Поиск по данным
- Разбор инцидентов: хочу иметь возможность извлекать из данных различную информацию, группировать в разных вариантах, смотреть статистику, менять формат и набор полей\графиков для отображения событий
- выгрузки\отчеты для разбора\отчетности и\или дальнейшей обработки с гибкой настройкой
5. Архитектура
- нормально переживать всплески (х10 от «среднего»): не падать и не дропать события при превышениях лицензии\лимита и т.д.
- быстрое подключать новые системы так, чтобы вся корреляция для типовых кейсов на них распространялась без необходимости писать все заново
- возможность сокращать входящий поток для экономия места и железа
- интегрироваться с любыми внешними системами (скрипты на корреляцию, апи для получения данных, коннекторы для сбора данных по любым доступным протоколам)
6. Не терять логи и быть готовым к поиску и восстановлению таймлайна атаки\взлома\утечки
7. Упростить работу с логами: не писать скрипты на питоне\С\yaml\java и т.д., а работать с данными в нормальном удобном и простом
Ну и так далее :)
Максим, Спасибо тебе огромное за развернутый ответ. Если удастся (найти время) я бы попробовал погруппировать и поформулировать решаемые задачи. Но пока подождем чуть-чуть, вдруг ещё кто-то захочет высказаться. (Хотя целых двое против 666 человек это уже показатель)
$
Максим, Спасибо тебе огромное за развернутый ответ. Если удастся (найти время) я бы попробовал погруппировать и поформулировать решаемые задачи. Но пока подождем чуть-чуть, вдруг ещё кто-то захочет высказаться. (Хотя целых двое против 666 человек это уже показатель)
А что есть «против»?)
v
"Молчание"
v
Я насчитал всего два ответа. Твой и Макса.
$
Теперь понятно)
$
Я насчитал всего два ответа. Твой и Макса.
Ну Горчакова (теоретически) можно тоже сосчитать
$
Не дорос ещё до фешн блоггера от ИБ. Фотки с конём нет.
Ладно, хватит будить уважаемых)
Ладно, хватит будить уважаемых)
v
Ну тогда мне нужна расшифровка. А то я ведь потом все не правильно перетрактую. ).
AL
"Молчание"
Иногда нет смысла комментировать очевидные вещи и проще помолчать 😊
v
Однако я два года тут наблюдаю как когда дело доходит до дела то все сворачиваются до "у каждого свои задачи"
v
Но мнение Алексея запишем "смотрит на песочницу со скамейки для бабушек"
AL
Однако я два года тут наблюдаю как когда дело доходит до дела то все сворачиваются до "у каждого свои задачи"
Так оно так и есть. Есть некий "полный" спектр задач, которые может решать SIEM, если сложить все SIEMы с рынка вместе. И дальше мы повторяем анекдот. Чем отличается Windows 95 от Windows 98? В первой не использутся 95% функций, а во второй - 98%. Вот и со списком задач SIEM тоже самое. Каждый выбирает для себя. Вот недавно в одном проекте по SOC мы встретили одного производителя SIEM и одного производителя IRP а-ля SOAR. Так вот первый говорил, что управление инцидентами - это функция SIEM (потому что они вроде как это могли), а второй говорил, что управление инцидентами - это функция IRP/SOAR. А заказчик в итоге выбрал их обоих, но развел по функциям 😊
v
Записано.
v
Спасибо
v
Alexey Lukatsky
Так оно так и есть. Есть некий "полный" спектр задач, которые может решать SIEM, если сложить все SIEMы с рынка вместе. И дальше мы повторяем анекдот. Чем отличается Windows 95 от Windows 98? В первой не использутся 95% функций, а во второй - 98%. Вот и со списком задач SIEM тоже самое. Каждый выбирает для себя. Вот недавно в одном проекте по SOC мы встретили одного производителя SIEM и одного производителя IRP а-ля SOAR. Так вот первый говорил, что управление инцидентами - это функция SIEM (потому что они вроде как это могли), а второй говорил, что управление инцидентами - это функция IRP/SOAR. А заказчик в итоге выбрал их обоих, но развел по функциям 😊
Ну тут как бы все же просто. Почти в каждом сиеме есть зачатки Ирп , просто потому что для 90% надо хоть с чего-то начинать. Ни в одном сиеме нет Ирп который мог бы тягаться с решениями ирп или соар , как нынче модно говорить.
AL
Ну тут как бы все же просто. Почти в каждом сиеме есть зачатки Ирп , просто потому что для 90% надо хоть с чего-то начинать. Ни в одном сиеме нет Ирп который мог бы тягаться с решениями ирп или соар , как нынче модно говорить.
Да непросто это 😊 Вот мы в Cisco Infosec искали SIEM много лет назад для себя (еще когда тесно дружили с лидером рынка того времени netForensics). Но не устраивал он нас по своим возможностям. Каким? А все просто - скорость индексации и поиска. В итоге мы написали свое решение - OpenSOC (сейчас Apache Metron). А потом стали тесно дружить со Splunk'ом, который, по сути и вырос, на наших запросах, и стали использовать его у себя. Но в ИБ он у нас решает совершенно базовые вещи - сложные запросы, неструктурированные данные, data lake и т.п. делается по-прежнему на OpenSOC. Для TIP мы вообще юзаем зоопарк из MISP и CRiTS и еще написали собственный gosint. IRP у нас долго был на JIRA и скрипты, а сейчас перешли на одно из коммерческих решений, единое для ИТ/ИБ. Так что все действительно зависит от заказчика. Хотя признаю, мы не показательный заказчик, у нас в день 1,2 триллиона событий анализируется. Не каждый продукт на рынке такое потянет.
AL
Ну это было не самое удачное решение уже неработающего у нас менеджмента
v
Неудачное решение слить? Или наоборот сделать? Что именно вышло неудачно?