Поддержка работы с системами управления событиями информационной безопасности

Настольное приложение, веб-приложение и BI-сервер на базе «Форсайт. Аналитическая платформа» поддерживают работу с системами управления событиями информационной безопасности (SIEM-системами).

Готовое решение на базе «Форсайт. Аналитическая платформа» может быть интегрировано через прикладную систему со средством, позволяющим анализировать в реальном времени происходящие события и вовремя реагировать на угрозы безопасности в информационных системах.

Примечание. SIEM-системы не входят в комплект поставки «Форсайт. Аналитическая платформа».

Основополагающий принцип SIEM-систем заключается в том, что данные о безопасности информационной системы собираются из разных источников, и результат их обработки предоставляется в едином интерфейсе, доступном для аналитиков безопасности, что облегчает изучение характерных особенностей, соответствующих инцидентам безопасности

Одной из главных целей использования SIEM-систем является повышение уровня информационной безопасности в имеющейся архитектуре за счет обеспечения возможности манипулировать информацией о безопасности и осуществлять упреждающее управление инцидентами и событиями безопасности в близком к реальному времени режиме

При работе с системами управления событиями безопасности решаются следующие задачи:

Установку и настройку системы управления событиями безопасности осуществляет системный администратор.

Система управления событиями безопасности разворачивается в среде окружения. При планировании и развертывании приложения системный администратор окружения должен использовать руководства по администрированию, предоставляемые производителями соответствующих SIEM-систем.

Интеграция с внешними SIEM-системами поддерживается через файлы формата CEF и через пересылку сообщений о событиях безопасности формата CEF в реальном времени по протоколу syslog.

Импорт журнала аудита безопасности в SIEM-системы

Журнал аудита безопасности продукта «Форсайт. Аналитическая платформа» хранится в базе данных во внутреннем виде.

Для экспорта файла используйте менеджер безопасности или планировщик задач.

После чего будет открыт стандартный диалог, в котором необходимо указать:

Затем средствами SIEM-сервера настройте импорт файла.

Для получения информации о создании декодера для разбора события обратитесь к статье «Пример импорта данных в Wazuh».

Пересылка сообщений о событиях безопасности формата CEF в реальном времени по протоколу syslog

Для пересылки сообщений аудита на syslog-сервер настройте:

Если при поиске в источнике найден раздел SysLogServer, то считается, что настройки прочитаны успешно, даже если раздел пустой или содержит некорректные записи. Чтение остальных источников не производится. Если в источнике какой-либо из параметров отсутствует, то значения будут браться по умолчанию:

Формат событий CEF, используемый в «Форсайт. Аналитическая платформа»

Все события протокола доступа делятся на группы. В зависимости от группы в событиях используются разные наборы полей.

CEF-файл состоит из набора событий, каждое событие записано текстовой строкой. Каждая строка события состоит из заголовка и набора полей. Заголовок начинается с CEF:0| и заканчивается |AuditLog|Unknown|. В заголовке также указана группа.

В группу входят события: вход в систему, выход из системы, вход в навигатор.

Набор используемых полей:

Наименование поля	Описание
act	Событие (операция)
cs1Label	Значение всегда MetabaseId
cs1	Идентификатор репозитория
rt	Дата и время генерации события
outcome	Результат выполнения операции. Допустимые значения: Success, Failure
shost	Рабочая станция
suser	Пользователь ОС
cs2Label	Значение всегда PlatformUser
cs2	Пользователь «Форсайт. Аналитическая платформа» Примечание. Поле будет пустым, если вход был неуспешен, значение поля outcome = Failure.
cs3Label	Значение всегда IPAddresses
cs3	Набор IP-адресов
msg	Комментарий к событию (может быть пустым)

Примеры событий:

CEF:0|Foresight|Foresight Analytical Platform|9.8.0|FAP_EV_LOGONS|AuditLog|Unknown|act=Входв навигатор cs1Label=MetabaseId cs1=MB_DEF rt=Aug 11 2022 11:25:02+05:00 outcome=Success shost=WKSTATION suser=name.surname cs2Label=PlatformUser cs2=DOMAIN\\ NAME.SURNAME cs3Label=IPAddresses cs3=192.168.176.1;172.26.224.1;192.168.141.1;192.168.217.1;172.17.32.1;10.9.43.44 msg=

CEF:0|Foresight|Foresight Analytical Platform|9.8.0|FAP_EV_LOGONS|AuditLog|Unknown|act=Вход в систему cs1Label=MetabaseId cs1= MB_DEF rt=Aug 11 2022 11:25:01+05:00 outcome=Success shost= WKSTATION suser= name.surname cs2Label=PlatformUser cs2= DOMAIN\\ NAME.SURNAME cs3Label=IPAddresses cs3=192.168.176.1;172.26.224.1;192.168.141.1;192.168.217.1;172.17.32.1;10.9.43.44 msg=Версия платформы: 9.8.0.0 D Master x64 Настольное приложение

CEF:0|Foresight|Foresight Analytical Platform|9.8.0|FAP_EV_LOGONS|AuditLog|Unknown|act=Выход из системы cs1Label=MetabaseId cs1= MB_DEF rt=Aug 10 2022 18:05:01+05:00 outcome=Success shost= WKSTATION suser= name.surname cs2Label=PlatformUser cs2= DOMAIN\\NAME.SURNAME cs3Label=IPAddresses cs3=172.30.32.1;172.21.96.1;192.168.141.1;192.168.217.1;172.30.208.1;10.9.43.44 msg=

В группу входят события: Подключение к VCS, Отключение от VCS, Изменение настроек VCS.

Набор используемых полей:

Наименование поля	Описание
act	Событие (операция)
cs1Label	Значение всегда MetabaseId
cs1	Идентификатор репозитория
rt	Дата и время генерации события
outcome	Результат выполнения операции. Допустимые значения: Success, Failure
shost	Рабочая станция
suser	Пользователь ОС
cs2Label	Значение всегда PlatformUser
cs2	Пользователь «Форсайт. Аналитическая платформа»
cs3Label	Значение всегда IPAddresses
cs3	Набор IP-адресов
msg	Комментарий к событию

Примеры событий:

CEF:0|Foresight|Foresight Analytical Platform|9.8.0|FAP_EV_VCS_OPERATIONS|AuditLog|Unknown|act=Подключение к VCS cs1Label=MetabaseId cs1=MB_DEF rt=Aug 08 2022 18:40:01+05:00 outcome=Success shost= WKSTATION suser=name.surname cs2Label=PlatformUser cs2=ADMIN cs3Label=IPAddresses cs3=172.30.32.1;172.21.96.1;192.168.141.1;192.168.217.1;172.30.208.1;10.9.43.44 msg=Репозиторий отключен от системы управления версиями, Team Foundation Server - d:\\GIT\\GitRepo\\, Team Project -

CEF:0|Foresight|Foresight Analytical Platform|9.8.0|FAP_EV_VCS_OPERATIONS|AuditLog|Unknown|act=Синхронизация с VCS cs1Label=MetabaseId cs1= MB_DEF rt=Aug 08 2022 18:40:01+05:00 outcome=Success shost=WKSTATION suser= name.surname cs2Label=PlatformUser cs2=ADMIN cs3Label=IPAddresses cs3=172.30.32.1;172.21.96.1;192.168.141.1;192.168.217.1;172.30.208.1;10.9.43.44 msg=Выполнена синхронизация репозитория с системой управления версиями, Team Foundation Server - d:\\GIT\\GitRepo\\, Team Project –

Группа состоит из двух подгрупп событий.

В первую подгруппу входят события: смена пароля служебному пользователю аудита, изменение политики безопасности, сохранение политики безопасности, чтение политики безопасности.

Во вторую подгруппу входят события: сохранение контура политики безопасности, применение контура политики безопасности, сохранение протокола доступа в файл.

Набор используемых полей для первой подгруппы:

Наименование поля	Описание
act	Событие (операция)
cs1Label	Значение всегда MetabaseId
cs1	Идентификатор репозитория
rt	Дата и время генерации события
outcome	Результат выполнения операции. Допустимые значения: Success, Failure
shost	Рабочая станция
suser	Пользователь ОС
cs2Label	Значение всегда PlatformUser
cs2	Пользователь «Форсайт. Аналитическая платформа»
cs3Label	Значение всегда IPAddresses
cs3	Набор IP-адресов
msg	Комментарий к событию (может быть пустым)

Примеры событий:

CEF:0|Foresight|Foresight Analytical Platform|9.8.0|FAP_EV_SECURITY_OPERATIONS|AuditLog|Unknown|act=Чтение политики cs1Label=MetabaseId cs1=MB_DEF rt=Aug 09 2022 14:51:51+05:00 outcome=Success shost=WKSTATION suser=name.surname cs2Label=PlatformUser cs2=ADMIN cs3Label=IPAddresses cs3=172.30.32.1;172.21.96.1;192.168.141.1;192.168.217.1;172.30.208.1;10.9.43.44 msg=

CEF:0|Foresight|Foresight Analytical Platform|9.8.0|FAP_EV_SECURITY_OPERATIONS|AuditLog|Unknown|act=Изменение политикиcs1Label=MetabaseId cs1=MB_DEF rt=Jun 17 2022 12:47:30+05:00 outcome=Failure shost=WKSTATION suser=name.surname cs2Label=PlatformUser cs2=ADMIN cs3Label=IPAddresses cs3=172.24.80.1;172.23.96.1;192.168.141.1;192.168.217.1;172.27.160.1;10.9.43.44 msg=Создание отложенных субъектов отключено

Набор используемых полей для второй подгруппы:

Наименование поля	Описание
act	Событие (операция)
cs1Label	Значение всегда MetabaseId
cs1	Идентификатор репозитория
rt	Дата и время генерации события
outcome	Результат выполнения операции. Допустимые значения: Success, Failure
shost	Рабочая станция
suser	Пользователь ОС
cs2Label	Значение всегда PlatformUser
cs2	Пользователь «Форсайт. Аналитическая платформа»
cs3Label	Значение всегда IPAddresses
cs3	Набор IP-адресов
filePath	Полный путь к файлу, включая имя

Пример события:

CEF:0|Foresight|Foresight Analytical Platform|9.8.0|FAP_EV_SECURITY_OPERATIONS|AuditLog|Unknown|act=Сохранение протокола доступа cs1Label=MetabaseId cs1=MB_DEF rt=Aug 11 2022 13:14:33+05:00 outcome=Success shost=WKSTATION suser=name.surname cs2Label=PlatformUser cs2=ADMIN cs3Label=IPAddresses cs3=192.168.176.1;172.26.224.1;192.168.141.1;192.168.217.1;172.17.32.1;10.9.43.44 filePath=C:\\Temp\\fap_test_git.cef

В группу входят события: изменение прав, изменение прав на элементы справочника, передача прав, передача прав на данные.

Набор используемых полей:

Наименование поля	Описание
act	Событие (операция)
cs1Label	Значение всегда MetabaseId
cs1	Идентификатор репозитория
rt	Дата и время генерации события
cs4Label	Значение всегда ObjectName
cs4	Наименование объекта
cs5Label	Значение всегда ObjectId
cs5	Идентификатор объекта
cs6Label	Значение всегда AccessLevel Примечание: Поле присутствует при включенном мандатном методе управления доступом.
cs6	Уровень доступа Примечание: Поле присутствует при включенном мандатном методе управления доступом.
outcome	Результат выполнения операции. Допустимые значения: Success, Failure
shost	Рабочая станция
suser	Пользователь ОС
cs2Label	Значение всегда PlatformUser
cs2	Пользователь «Форсайт. Аналитическая платформа»
cs3Label	Значение всегда IPAddresses
cs3	Набор IP-адресов
msg	Комментарий к событию (может быть пустым)

Пример события:

CEF:0|Foresight|Foresight Analytical Platform|9.8.0|FAP_EV_OBJECTS_SECURITY_OPERATIONS|AuditLog|Unknown|act=Изменение прав cs1Label=MetabaseId cs1=MB_DEF rt=Aug 08 2022 20:10:55+05:00 cs4Label=ObjectName cs4=D_Ввод данных 2 cs5Label=ObjectId cs5=OBJ1055961 outcome=Success shost=WKSTATION suser=name.surname cs2Label=PlatformUser cs2=ADMIN_1 cs3Label=IPAddresses cs3=192.168.241.1;192.168.249.1;10.9.47.22 msg=Изменены права пользователю/группе 'ФИЛИАЛЫ' были: 'Права отсутствуют'; стали: 'Чтение, Изменение, Чтение дескриптора, Изменение дескриптора, Чтение параметров, Изменение параметров, Чтение метаданных, Изменение метаданных, Создание, Извлечение данных, Сохранение данных'

В группу входят события: чтение, запись, применение.

Набор используемых полей:

Наименование поля	Описание
act	Событие (операция)
cs1Label	Значение всегда MetabaseId
cs1	Идентификатор репозитория
rt	Дата и время генерации события
outcome	Результат выполнения операции. Допустимые значения: Success, Failure
shost	Рабочая станция
suser	Пользователь ОС
cs2Label	Значение всегда PlatformUser
cs2	Пользователь «Форсайт. Аналитическая платформа»
cs3Label	Значение всегда IPAddresses
cs3	Набор IP-адресов
msg	Комментарий к событию (может быть пустым)

Примеры событий:

CEF:0|Foresight|Foresight Analytical Platform|9.8.0|FAP_EV_UPDATE_OPERATIONS|AuditLog|Unknown|act=Запись обновления cs1Label=MetabaseId cs1=MB_DEF rt=Jan 18 2022 13:11:08+05:00 outcome=Success shost=WKSTATION suser=name.surname cs2Label=PlatformUser cs2=ADMIN cs3Label=IPAddresses cs3=192.168.141.1;192.168.217.1;172.21.112.1;10.9.47.23 msg=Файл: D:\\Downloads\\Обновление_MB_DEF_1812022_13838.pefx Дата: 18.01.2022 13:08:48 Размер: 24778

CEF:0|Foresight|Foresight Analytical Platform|9.8.0|FAP_EV_UPDATE_OPERATIONS|AuditLog|Unknown|act=Чтение обновления cs1Label=MetabaseId cs1=MB_DEF rt=Jan 17 2022 14:42:07+05:00 outcome=Success shost=WKSTATION suser= name.surname cs2Label=PlatformUser cs2=ADMIN cs3Label=IPAddresses cs3=192.168.141.1;192.168.217.1;172.21.112.1;10.9.47.23 msg=Файл: D:\\Downloads\\wizardPageUserAlg.pefx Дата: 17.01.2022 14:41:42 Размер: 19997

В группу входят события: чтение, чтение дескриптора, чтение параметров, чтение метаданных, извлечение данных, чтение формул, выполнение, создание, изменение дескриптора, изменение параметров, вставка данных, изменение данных, изменение структуры таблицы, сохранение данных, сохранение формул, изменение текста, удаление, удаление данных, открытие соединения, изменение, изменение метаданных.

Набор используемых полей:

Наименование поля	Описание
act	Событие (операция)
cs1Label	Значение всегда MetabaseId
cs1	Идентификатор репозитория
rt	Дата и время генерации события
cs4Label	Значение всегда ObjectName
cs4	Наименование объекта
cs5Label	Значение всегда ObjectId
cs5	Идентификатор объекта
cs6Label	Значение всегда AccessLevel Примечание: Поле присутствует при включенном мандатном методе управления доступом.
cs6	Уровень доступа Примечание: Поле присутствует при включенном мандатном методе управления доступом.
outcome	Результат выполнения операции. Допустимые значения: Success, Failure
shost	Рабочая станция
suser	Пользователь ОС
cs2Label	Значение всегда PlatformUser
cs2	Пользователь «Форсайт. Аналитическая платформа»
cs3Label	Значение всегда IPAddresses
cs3	Набор IP-адресов
msg	Комментарий к событию (может быть пустым)

Примеры событий:

CEF:0|Foresight|Foresight Analytical Platform|9.8.0|FAP_EV_OBJECT_OPERATIONS|AuditLog|Unknown|act=Удаление cs1Label=MetabaseId cs1=MB_DEF rt=Aug 08 2022 14:52:04+05:00 cs4Label=ObjectName cs4=Контейнер запланированных задач cs5=OBJ10143 cs5Label=ObjectId outcome=Success shost=WKSTATION suser=name.surname cs2Label=PlatformUser cs2=ADMIN cs3Label=IPAddresses cs3=172.30.32.1;172.21.96.1;192.168.141.1;192.168.217.1;172.30.208.1;10.9.43.44 msg=

CEF:0|Foresight|Foresight Analytical Platform|9.8.0|FAP_EV_OBJECT_OPERATIONS|AuditLog|Unknown|act=Создание cs1Label=MetabaseId cs1=MB_DEF rt=Aug 08 2022 14:26:10+05:00 cs4Label=ObjectName cs4=Контейнер запланированных задач cs5Label=ObjectId cs5=OBJ10143 outcome=Success shost= WKSTATION suser=name.surname cs2Label=PlatformUser cs2= ADMIN cs3Label=IPAddresses cs3=172.30.32.1;172.21.96.1;192.168.141.1;192.168.217.1;172.30.208.1;10.9.43.44 msg=

CEF:0|Foresight|Foresight Analytical Platform|9.8.0|FAP_EV_OBJECT_OPERATIONS|AuditLog|Unknown|act=Изменение cs1Label=MetabaseId cs1=MB_DEF rt=Aug 08 2022 14:26:10+05:00 cs4Label=ObjectName cs4=Temp cs5Label=ObjectId cs5=OBJ93 outcome=Success shost= WKSTATION suser=name.surname cs2Label=PlatformUser cs2=ADMIN cs3Label=IPAddresses cs3=172.30.32.1;172.21.96.1;192.168.141.1;192.168.217.1;172.30.208.1;10.9.43.44 msg=

В группу входят события: чтение элементов справочника, изменение элементов справочника, добавление элементов в справочник, удаление элементов из справочника.

Набор используемых полей:

Наименование поля	Описание
act	Событие (операция)
cs1Label	Значение всегда MetabaseId
cs1	Идентификатор репозитория
rt	Дата и время генерации события
cs4Label	Значение всегда ObjectName
cs4	Наименование объекта
cs5Label	Значение всегда ObjectId
cs5	Идентификатор объекта
cs6Label	Значение всегда AccessLevel Примечание: Поле присутствует при включенном мандатном методе управления доступом.
cs6	Уровень доступа Примечание: Поле присутствует при включенном мандатном методе управления доступом.
outcome	Результат выполнения операции. Допустимые значения: Success, Failure
shost	Рабочая станция
suser	Пользователь ОС
cs2Label	Значение всегда PlatformUser
cs2	Пользователь «Форсайт. Аналитическая платформа»
cs3Label	Значение всегда IPAddresses
cs3	Набор IP-адресов
msg	Комментарий к событию (может быть пустым)

Примеры событий:

CEF:0|Foresight|Foresight Analytical Platform|9.8.0|FAP_EV_OBJECTDICT_ELEMS_OPERATIONS|AuditLog|Unknown|act=Чтение элементов справочника cs1Label=MetabaseId cs1=MB_DEF rt=Aug 0811 2022 20:10:0328:37+05:00 cs4Label=ObjectName cs4=БЕСправочник cs5Label=ObjectId cs5=DICT_ENTITYOBJ90 outcome=Success shost= WKSTATION suser= name.surname cs2Label=PlatformUser cs2=ADMIN_1 cs3Label=IPAddresses cs3=172.18.112.1;192.168.241141.1;192.168.249217.1;172.24.176.1;10.9.43.44 msg=

CEF:0|Foresight|Foresight Analytical Platform|9.8.0|FAP_EV_DICT_ELEMS_OPERATIONS|AuditLog|Unknown|act=Добавление элементов в справочник cs1Label=MetabaseId cs1=MB_DEF rt=Aug 11 2022 20:28:34+05:00 cs4Label=ObjectName cs4=Справочник cs5Label=ObjectId cs5=OBJ90 outcome=Success shost= WKSTATION suser= name.surname cs2Label=PlatformUser cs2= ADMIN cs3Label=IPAddresses cs3=172.18.112.1;192.168.141.1;192.168.217.1;172.24.176.1;10.9.47.2243.44 msg=Добавлены элементы: 1111.

В группу входят события: печать, экспорт, импорт, экспорт в веб.

Набор используемых полей:

Наименование поля	Описание
act	Событие (операция)
cs1Label	Значение всегда MetabaseId
cs1	Идентификатор репозитория
rt	Дата и время генерации события
cs4Label	Значение всегда ObjectName
cs4	Наименование объекта
cs5Label	Значение всегда ObjectId
cs5	Идентификатор объекта
cs6Label	Значение всегда AccessLevel Примечание: Поле присутствует при включенном мандатном методе управления доступом.
cs6	Уровень доступа Примечание: Поле присутствует при включенном мандатном методе управления доступом.
outcome	Результат выполнения операции. Допустимые значения: Success, Failure
shost	Рабочая станция
suser	Пользователь ОС
cs2Label	Значение всегда PlatformUser
cs2	Пользователь «Форсайт. Аналитическая платформа»
cs3Label	Значение всегда IPAddresses
cs3	Набор IP-адресов
msg	Комментарий к событию (может быть пустым)

Примеры событий:

CEF:0|Foresight|Foresight Analytical Platform|9.8.0|FAP_EV_EXPORT_IMPORT_OPERATIONS|AuditLog|Unknown|act=Экспорт cs1Label=MetabaseId cs1=MB_DEF rt=Aug 05 2022 11:39:25+05:00 cs4Label=ObjectName cs4=Форма ввода/вывода: Базовый отчет cs5Label=ObjectId cs5=OBJ118774_REPORT outcome=Success shost=WKSTATION suser=name.surname cs2Label=PlatformUser cs2=ADMIN cs3Label=IPAddresses cs3=127.0.1.1 msg=Формат экспорта: XLSX Количество копий: 1 Кол-во страниц: 1 Результат: Успешно

В группу входит событие: операция, определяемая пользовательским объектом.

Набор используемых полей:

Наименование поля	Описание
act	Событие (операция)
cs1Label	Значение всегда MetabaseId
cs1	Идентификатор репозитория
rt	Дата и время генерации события
cs4Label	Значение всегда ObjectName
cs4	Наименование объекта
cs5Label	Значение всегда ObjectId
cs5	Идентификатор объекта
cs6Label	Значение всегда AccessLevel Примечание: Поле присутствует при включенном мандатном методе управления доступом.
cs6	Уровень доступа Примечание: Поле присутствует при включенном мандатном методе управления доступом.
outcome	Результат выполнения операции. Допустимые значения: Success, Failure
shost	Рабочая станция
suser	Пользователь ОС
cs2Label	Значение всегда PlatformUser
cs2	Пользователь «Форсайт. Аналитическая платформа»
cs3Label	Значение всегда IPAddresses
cs3	Набор IP-адресов
msg	Комментарий к событию (может быть пустым)

Примеры событий:

CEF:0|Foresight|Foresight Analytical Platform|9.8.0| FAP_EV_CUSTOM_OPERATIONS |AuditLog|Unknown|act=Администрирование cs1Label=MetabaseId cs1=MB_DEF rt=Aug 05 2022 11:39:25+05:00 cs4Label=ObjectName cs4=Процесс cs5Label=ObjectId cs5=OBJ118774_KREA_174 outcome=Success shost=WKSTATION suser=name.surname cs2Label=PlatformUser cs2=ADMIN cs3Label=IPAddresses cs3=127.0.1.1 msg=Выполнение операции ‘Администрирование’ пользовательского объекта