Настольное приложение, веб-приложение и BI-сервер на базе «Форсайт. Аналитическая платформа» поддерживают работу с системами управления событиями информационной безопасности (SIEM-системами).
Готовое решение на базе «Форсайт. Аналитическая платформа» может быть интегрировано через прикладную систему со средством, позволяющим анализировать в реальном времени происходящие события и вовремя реагировать на угрозы безопасности в информационных системах.
Примечание. SIEM-системы не входят в комплект поставки «Форсайт. Аналитическая платформа».
Основополагающий принцип SIEM-систем заключается в том, что данные о безопасности информационной системы собираются из разных источников, и результат их обработки предоставляется в едином интерфейсе, доступном для аналитиков безопасности, что облегчает изучение характерных особенностей, соответствующих инцидентам безопасности
Одной из главных целей использования SIEM-систем является повышение уровня информационной безопасности в имеющейся архитектуре за счет обеспечения возможности манипулировать информацией о безопасности и осуществлять упреждающее управление инцидентами и событиями безопасности в близком к реальному времени режиме
При работе с системами управления событиями безопасности решаются следующие задачи:
сбор, обработка и анализ событий безопасности, поступающих в систему из множества источников;
обнаружение в режиме реального времени атак и нарушений критериев и политик безопасности;
оперативная оценка защищенности информационных, телекоммуникационных и других критически важных ресурсов;
анализ и управление рисками безопасности;
проведение расследований инцидентов;
принятие эффективных решений по защите информации;
формирование отчетных документов.
Для интеграции может быть использован протокол доступа.
Установку и настройку системы управления событиями безопасности осуществляет системный администратор.
Система управления событиями безопасности разворачивается в среде окружения. При планировании и развертывании приложения системный администратор окружения должен использовать руководства по администрированию, предоставляемые производителями соответствующих SIEM-систем.
Интеграция с внешними SIEM-системами поддерживается через файлы формата CEF и через пересылку сообщений о событиях безопасности формата CEF в реальном времени по протоколу syslog.
Журнал аудита безопасности продукта «Форсайт. Аналитическая платформа» хранится в базе данных во внутреннем виде.
Для экспорта файла используйте менеджер безопасности или планировщик задач.
в менеджере безопасности:
Зайдите в менеджер безопасности под учетной записью с администратора.
Перейдите на вкладку «Протокол доступа».
Сохраните протокол доступа в файл:
в настольном приложении выполните команду «Протокол доступа > Сохранить в файл > Полный протокол/Текущее представление» в главном меню;
в веб-приложении нажмите кнопку «Экспортировать» на панели инструментов.
После чего будет открыт стандартный диалог, в котором необходимо указать:
имя файла;
тип файла. Для полного протокола выберите тип «Файлы протокола доступа (*.cef)». Для текущего представления - CEF (*.cef);
месторасположение файла.
Нажмите кнопку «Сохранить».
в планировщике задач:
Создайте Fore-модуль с помощью методов IAuditLog.Archive или IAuditLog.ArchiveToDate.
Создайте задачу выполнения модуля, укажите созданный модуль и настройте периодичность выполнения задачи.
Запустите задачу на выполнение.
Затем средствами SIEM-сервера настройте импорт файла.
Для получения информации о создании декодера для разбора события обратитесь к статье «Пример импорта данных в Wazuh».
Для пересылки сообщений аудита на syslog-сервер настройте:
файл Settings.xml;
Приоритет поиска настроек:
Settings.xml.
Раздел [HKEY_CURRENT_USER].
Раздел [HKEY_LOCAL_MACHINE].
Если при поиске в источнике найден раздел SysLogServer, то считается, что настройки прочитаны успешно, даже если раздел пустой или содержит некорректные записи. Чтение остальных источников не производится. Если в источнике какой-либо из параметров отсутствует, то значения будут браться по умолчанию:
Active = False
Host = 127.0.0.1
Port = 514
Protocol = 0
Все события протокола доступа делятся на группы. В зависимости от группы в событиях используются разные наборы полей.
CEF-файл состоит из набора событий, каждое событие записано текстовой строкой. Каждая строка события состоит из заголовка и набора полей. Заголовок начинается с CEF:0| и заканчивается |AuditLog|Unknown|. В заголовке также указана группа.
Группа FAP_EV_LOGONS – события входа/выхода
Группа FAP_EV_VCS_OPERATIONS – события VCS
Группа FAP_EV_SECURITY_OPERATIONS – события безопасности
Группа FAP_EV_OBJECTS_SECURITY_OPERATIONS – события безопасности объектов
Группа FAP_EV_UPDATE_OPERATIONS – обновления
Группа FAP_EV_OBJECT_OPERATIONS – операции с объектами
Группа FAP_EV_DICT_ELEMS_OPERATIONS – операции с элементами справочников НСИ
Группа FAP_EV_EXPORT_IMPORT_OPERATIONS – операции импорта/экспорта
Группа FAP_EV_CUSTOM_OPERATIONS – операции пользовательских объектов
См. также: