Поддержка работы с системами управления событиями информационной безопасности

Настольное приложение, веб-приложение и BI-сервер на базе «Форсайт. Аналитическая платформа» поддерживают работу с системами управления событиями информационной безопасности (SIEM-системами).

Готовое решение на базе «Форсайт. Аналитическая платформа» может быть интегрировано через прикладную систему со средством, позволяющим анализировать в реальном времени происходящие события и вовремя реагировать на угрозы безопасности в информационных системах.

Примечание. SIEM-системы не входят в комплект поставки «Форсайт. Аналитическая платформа».

Основополагающий принцип SIEM-систем заключается в том, что данные о безопасности информационной системы собираются из разных источников, и результат их обработки предоставляется в едином интерфейсе, доступном для аналитиков безопасности, что облегчает изучение характерных особенностей, соответствующих инцидентам безопасности

Одной из главных целей использования SIEM-систем является повышение уровня информационной безопасности в имеющейся архитектуре за счет обеспечения возможности манипулировать информацией о безопасности и осуществлять упреждающее управление инцидентами и событиями безопасности в близком к реальному времени режиме

При работе с системами управления событиями безопасности решаются следующие задачи:

Для интеграции может быть использован протокол доступа.

Установку и настройку системы управления событиями безопасности осуществляет системный администратор.

Система управления событиями безопасности разворачивается в среде окружения. При планировании и развертывании приложения системный администратор окружения должен использовать руководства по администрированию, предоставляемые производителями соответствующих SIEM-систем.

Интеграция с внешними SIEM-системами поддерживается через файлы формата CEF и через пересылку сообщений о событиях безопасности формата CEF в реальном времени по протоколу syslog.

Импорт журнала аудита безопасности в SIEM-системы

Журнал аудита безопасности продукта «Форсайт. Аналитическая платформа» хранится в базе данных во внутреннем виде.

Для экспорта файла используйте менеджер безопасности или планировщик задач.

    1. Зайдите в менеджер безопасности под учетной записью с администратора.

    2. Перейдите на вкладку «Протокол доступа».

    3. Сохраните протокол доступа в файл:

После чего будет открыт стандартный диалог, в котором необходимо указать:

Затем средствами SIEM-сервера настройте импорт файла.

Для получения информации о создании декодера для разбора события обратитесь к статье «Пример импорта данных в Wazuh».

Пересылка сообщений о событиях безопасности формата CEF в реальном времени по протоколу syslog

Для пересылки сообщений аудита на syslog-сервер настройте:

Приоритет поиска настроек:

  1. settings.xml.

  2. Раздел [HKEY_CURRENT_USER].

  3. Раздел [HKEY_LOCAL_MACHINE].

Если при поиске в источнике найден раздел SysLogServer, то считается, что настройки прочитаны успешно, даже если раздел пустой или содержит некорректные записи. Чтение остальных источников не производится. Если в источнике какой-либо из параметров отсутствует, то значения будут браться по умолчанию:

Active = False

Host = 127.0.0.1

Port = 514

Protocol = 0

Формат событий CEF, используемый в «Форсайт. Аналитическая платформа»

Все события протокола доступа делятся на группы. В зависимости от группы в событиях используются разные наборы полей.

CEF-файл состоит из набора событий, каждое событие записано текстовой строкой. Каждая строка события состоит из заголовка и набора полей. Заголовок начинается с CEF:0| и заканчивается |AuditLog|Unknown|. В заголовке также указана группа.

Группа FAP_EV_LOGONS – события входа/выхода

Группа FAP_EV_VCS_OPERATIONS – события VCS

Группа FAP_EV_SECURITY_OPERATIONS – события безопасности

Группа FAP_EV_OBJECTS_SECURITY_OPERATIONS – события безопасности объектов

Группа FAP_EV_UPDATE_OPERATIONS – обновления

Группа FAP_EV_OBJECT_OPERATIONS – операции с объектами

Группа FAP_EV_DICT_ELEMS_OPERATIONS – операции с элементами справочников НСИ

Группа FAP_EV_EXPORT_IMPORT_OPERATIONS – операции импорта/экспорта

Группа FAP_EV_CUSTOM_OPERATIONS – операции пользовательских объектов

См. также:

Системные требования