Для многих ИБ-команд SIEM-система де-факто является основным рабочим инструментом. Так что безопасность компании в значительной мере зависит от того, насколько экспертам удобно взаимодействовать с SIEM, концентрируясь непосредственно на борьбе с угрозами, а не на рутине. Поэтому практически в каждом обновлении нашей системы Kaspersky Unified Monitoring and Analysis Platform (KUMA) мы уделяем особое внимание улучшению пользовательского интерфейса, автоматизации рутинных процессов и добавлению функций, позволяющих специалистам работать максимально эффективно. Значительная часть усовершенствований создается на основании обратной связи от экспертов наших заказчиков. В частности, в последней версии платформы KUMA — 3.0.3 мы добавили следующие возможности и улучшения.
Написание условий фильтров и корреляционных правил в виде кода
Раньше аналитикам приходилось задавать фильтры и писать корреляционные правила, выбирая требуемые условия мышкой. В обновлении мы расширили возможности написания правил для продвинутых пользователей, переработав интерфейс написания условий и добавив возможность написания их в виде кода. При этом режим конструктора, разумеется, остался на месте — условия фильтров и селекторов автоматически транслируются между режимами конструктора и кода.
При этом конструктор позволяет писать условия при помощи клавиатуры. Вы можете начать набирать условия фильтра, и KUMA подскажет подходящие варианты из полей событий, словарей, активных листов и так далее, после чего вы сможете выбрать подходящий вариант. Можно сразу сократить диапазон вариантов, набрав соответствующий префикс. Для удобства типы условий подсвечиваются разными цветами.
Режим кода позволяет быстро редактировать условия корреляционных правил, а кроме того, выделять и копировать условия в виде кода и легко переносить их между разными правилами или разными селекторами в рамках одного правила. Эти же блоки кода могут быть перенесены и в фильтры (отдельный ресурс системы), что значительно упрощает их создание.
Расширение схемы событий
В KUMA формат CEF остается основой для схемы событий, но при этом мы добавили возможность создания пользовательских полей, что позволяет реализовать произвольную таксономию. Теперь нет необходимости использовать только те поля, которые были придуманы вендором, — вы можете давать названия полям событий на свое усмотрение, что значительно сокращает время написания поисковых запросов. Пользовательские поля типизированы и должны начинаться с префикса, определяющего его тип и тип массива. Использование полей с массивами возможно только в нормализаторах данных в форматах JSON или KV.
Автоматическое распознавание источника событий
Администраторам KUMA больше не требуется устанавливать отдельный коллектор для каждого типа событий, открывать порты для каждого коллектора на межсетевом экране — в новой версии KUMA мы реализовали возможность сбора событий разных форматов одним коллектором. Коллектор на основе IP-адреса источника подберет корректный нормализатор. Допускается использование цепочки нормализаторов. Например, нормализатор [OOTB] Syslog header принимает события с нескольких серверов, позволяет определять DeviceProcessName и направлять события bind в нормализатор [OOTB] BIND Syslog, а события squid — в нормализатор [OOTB] Squid access Syslog.
Нормализация событий теперь доступна в следующих вариантах:
1 коллектор — 1 нормализатор. Мы рекомендуем использовать такой способ, если у вас много событий одного типа или много IP-адресов, с которых могут приходить события одного типа. С точки зрения производительности SIEM-системы оптимальным вариантом будет именно настройка одного коллектора только с одним нормализатором.
1 коллектор — несколько нормализаторов с привязкой к IP. Такой способ доступен для коллекторов с коннектором типа UDP, TCP, HTTP. Если в коллекторе на шаге «Транспорт» указан коннектор UDP, TCP, HTTP, то на шаге «Парсинг событий» на вкладке «Настройки парсинга» вы можете задать несколько IP-адресов и указать, какой нормализатор следует использовать для событий, поступающих с заданных адресов. Доступны следующие типы нормализаторов: json, cef, regexp, syslog, csv, kv, xml. Для нормализаторов типа Syslog и regexp вы можете задать дополнительные условия нормализации в зависимости от значения поля DeviceProcessName.
Это далеко не все обновления KUMA. Среди перечисленного есть также обновления, связанные с контекстными таблицами, упрощение привязки правил к корреляторам и другие. Все они направлены на улучшение пользовательского опыта ИБ-экспертов — с полным списком можно ознакомиться по ссылке. Подробнее о нашей SIEM-системе Kaspersky Unified Monitoring and Analysis Platform можно узнать на официальной странице продукта.