- обеспечить контроль уровня информационной безопасности имеющейся IT- инфраструктуры с выработкой технических решений по обеспечению требуемого уровня защиты;

Мониторинг и корреляция событий информационной безопасности (SIEM)

Термины и определения

CMDB – (англ. Centralized Management Database) - База данных управления конфигурации

SIEM – (англ. Security Information and Event Management) – система управления информационной безопасностью и событиями безопасности

WMI – Windows Management Instrumention

ИБ – информационная безопасность

ИТ – информационные технологии

ПО – программное обеспечение

Описание услуги

Общая информация об услуге

Услуга «Мониторинг и корреляция событий информационной безопасности (SIEM)» (далее – Услуга) представляет собой круглосуточный мониторинг корпоративных ИТ-систем Заказчика с целью регистрации и анализа событий информационной безопасности в реальном времени.

Услуга реализована на базе SIEM-системы FortiSIEM от корпорации Fortinet.

Источники событий ИБ

В качестве источников событий FortiSIEM поддерживает оборудование\базы данных\приложения от более чем 100 вендоров.

Полный список представлен на сайте производителя.

Также в рамках дополнительной опции возможна разработка парсера для события ИБ (передаваемых по протоколу syslog), для которых нет предустановленных правил парсинга.

Основные функциональные возможности

Услуга применяется для решения следующих задач:

Консолидация данных – система осуществляет сбор событий ИБ из различных источников (сетевые устройства, ИТ-сервисы, системы безопасности, операционные системы, базы данных, бизнес-приложения).

Хранение данных – структурирование событий безопасности из различных источников в историческом порядке для различных экспертиз с применением ретроспективного анализа и определения цепочек действий, ставших причиной возникновения инцидентов безопасности.

Корреляция и обработка событий безопасности – поиск общих атрибутов и взаимосвязей между различными событиями. Система содержит более 2500 предустановленных правили корреляции.

Анализ событий безопасности и обработка инцидентов - предоставление инструментов для изучения и оценки инцидентов безопасности с возможностью поиска по множеству параметров и построению моделей связи событий между собой.

Автоматизированное противодействие – при возникновении инцидента ИБ может быть запущен автоматический сценарий для подавления или устранения угрозы. Встроенные сценарии поддерживают множество сетевых устройств, ОС и систем информационной безопасности. Встроенные сценарии могут выполнять широкий спектр действий, в том числе отключение учетной записи пользователя Active Directory, отключение порта коммутатора, блокирование IP-адреса на межсетевом экране, деаутентификация пользователя с беспроводной точкой доступа и т. д.

Автоматизированное обнаружения инфраструктуры – услуга предоставляет интеллектуальную технологию обнаружения инфраструктуры и приложений, способную обнаруживать и сопоставлять топологию физической и виртуальной инфраструктуры для частных и общедоступных облачных сред, просто используя учетные данные без какой-либо предварительной информации о том, что из себя представляет устройство или приложение. Современная CMDB позволяет анализировать сложные события с учетом контекста, используя объекты базы CMDB в условиях поиска.

Автоматическое оповещение – информирование администратора безопасности через интерфейс SIEM и\или посредством электронной почты.

Веб-интерфейс управления услугой

В рамках Услуги Заказчику предоставляется доступ к веб-интерфейсу SIEM-системы для управления своей организацией (ORGANIZATION).

Веб-интерфейс системы доступен из сети Интернет;

Веб-интерфейс предоставляет следующие возможности:

многофункциональные настраиваемые панели мониторинга (Dashboards);

создание собственных панелей мониторинга;

построение и просмотр отчетов;

подключение источников событий;

управление CMDB;

просмотр событий;

работа с инцидентами и кейсами ИБ;

интеграция с внешними базами угроз;

настройка корреляции правил корреляции.

Технологии подключения источников событий

Для FortiSIEM в качестве источников событий выступают три сущности:

Endpoint – сервер или рабочая станция под управлением ОС Windows или Linux (WMI и Syslog соответственно);

Device – сетевое устройство, физический сервер, устройство безопасности и т.д. (SNMP, Telnet, SSH, Syslog);

Advanced Agent – ПО, позволяющее собирать расширенные логи с серверов и рабочих станций.

Таблица 1. Сравнение технологий получения событий.

Сценарии предоставления услуги

Услуга реализована на базе FortiSIEM. Основным элементом FortiSIEM является супервизор (Supervisor), на котором располагаются все службы по обработке и корреляции событий, веб-сервер, сервер приложений, интерфейс пользователя.

События ИБ, по соответствующим протоколам, передаются от источников событий к супервизору.

Источники событий находятся за пределами DF Cloud

В сценарии, когда источники событий ИБ располагаются за пределами DF Cloud, между площадкой Заказчика и платформой DF Cloud строится IPSec-туннель. Внутри данного туннеля происходит передача событий.

Рисунок 1. Сценарий предоставления Услуги №1.

Источники событий находятся в DF Cloud

В сценарии, когда источники событий располагаются в DF Cloud, передача событий ИБ происходит внутри сети передачи данных DF Cloud.

Рисунок 2. Сценарий предоставления Услуги №2.

Гибридный сценарий

Возможен сценарий, который объединяет первые два сценария: источники событий ИБ находятся как на площадке Заказчика, так и в DF Cloud. Схема реализации услуги представлена на Рисунке 3.

Рисунок 3. Сценарий предоставления Услуги №3.

Дополнительный коллектор

Также до этапа внедрения может быть принято решение, что в схему будет добавлен дополнительный элемент: Collector (коллектор).

Коллекторы общаются с устройствами, собирают и проводят первичную обработку событий и журналов, сжимают данные, а затем направляют их нормализованным потоком супервизору для мониторинга, анализа и отслеживания возникающих инцидентов. Коллекторы также могут буферизовать события в случае прерывания передачи супервизору.

Существует два основных случая, когда при настройке одного супервизора недостаточно:

межсетевой экран блокирует протоколы (например, WMI), используемые супервизором для контроля устройств, расположенных за межсетевым экраном;

супервизор подключается к источникам событий через сеть с высокой задержкой, и в этом случае мониторинг через протоколы, такие как SNMP или WMI, как правило, не внедряется или не работает.

Супервизор и коллектор взаимодействуют между собой по протоколу HTTPS.

В зависимости от архитектуры и параметров сети коллектор может располагаться на площадке Заказчика, в пуле ресурсов Заказчика и в технологическом пуле DF Cloud.

Состав услуги

Услуга «Мониторинг и корреляция событий информационной безопасности (SIEM)» предоставляется в качестве самостоятельной услуги.

В составе услуги Исполнитель выполняет:

предоставление доступа к супервизору (через web-интерфейс);

создание пользователей на супервизоре;

настройка Организации (ORGANIZATION) Заказчика;

подтверждение добавления источника событий в Организацию Заказчика;

мониторинг работоспособности супервизора и коллекторов;

работы по устранению аварий и неисправностей на супервизоре и коллекторах;

хранение резервных копий настроек;

обновление супервизора и установка патчей;

настройка уведомлений по протоколу SMTP (до 5 уведомлений на одно устройство) после получения технического задания от Заказчика;

работы по сервисным заявкам Заказчика (за дополнительную плату).

Администрирование Услуги

Система базируется на виртуальных ресурсах, входящих в вычислительный пул Исполнителя. Вычислительные ресурсы для указанных машин (виртуальные процессорные ядра, оперативная память, дисковая емкость) выделяются в необходимом объеме с учетом требований к производительности системы для расчетного количества пользователей услуги.

Исполнитель несёт ответственность за поддержание работоспособности предоставляемых вычислительных ресурсов до уровня приложения, реализующего функционал Услуги, предоставляемого Заказчику. Под этим подразумевается:

Работоспособность виртуальной машины, на базе которых реализуется Услуга;

Работоспособность гостевой операционной системы, на которую устанавливаются компоненты Услуги;

Работоспособность служб, обеспечивающих функциональность Услуги.

Дополнительные работы

Дополнительные работы, связанные с Услугой и не входящие в ее состав.

Перечень дополнительных работ представлен в Таблице 2.

Таблица 2. Перечень работ, не входящих в состав Услуги.

Тарификация услуги

Услуга предусматривает следующие элементы тарификации:

количество источников событий (не менее 5);

количество событий в секунду (EPS) (не менее 50, далее кратно 10)*;

глубина хранения событий (минимум 3 месяца, далее кратно 1 месяцу);

количество источников, передаваемых события при помощи агентов.

Проведение дополнительных работ.

В случае необходимости проведения дополнительных работ, они оплачиваются отдельно в рамках услуг по предоставлению ИТ-специалистов. Работы проводятся на основании заявок от уполномоченных представителей Заказчика, указанных в Бланке Заказа, и тарифицируются согласно объемам трудозатрат, указанных в Таблице 2 данного Описания Услуги.

Примечание: Если фактическое количество событий в секунду превышает значение, указанное в бланке заказа, то события, сверхустановленного лимита, будут отброшены супервизором автоматически.

Трудно решиться на преобразования? Эксперты СТК помогут оптимизировать и чётко формализовать Ваши потребности, провести переговоры с ООО "ИБС ДатаФорт", обеспечив максимальную эффективность при минимальных затратах.

О стоимости и порядке предоставления услуги Вы можете узнать обратившись к форме обратной связи.