Практика разработки правил корреляции событий ИБ для выявления инцидентов с

помощью SIEMАлександр Дорофеев, CISSP, CISA, CISM

Директор по развитию

npo-echelon.ru

СОдержание

1. Зачем нужна SIEM?2. SIEM-система «КОМРАД»3. Правила корреляции для SIEM4. Практика применения в ESOC

2

npo-echelon.ru

Современная атака = спецоперация3

разведка извне (техническая, оперативная)

первоначальная компрометация

укрепление позиций

атакующегоразведка внутри

расширение привилегий и зоны влияния

организация постоянного и

скрытного контроля

сбор информации

скрытая передача

npo-echelon.ru

Как своевременно реагировать

на таргетированные атаки?

4

npo-echelon.ru

Аутентификация: как успешная, так и неуспешная

Срабатывания антивирусного ПО

Нетипичное поведениепользователя в ОС

Подозрительныезапросы к СУБД

и т.д. и т.п.

5Необходимо отслеживать массу признаков нарушения ИБ

npo-echelon.ru

6Для этого надо осуществлять мониторинг ВСЕЙ инфраструктуры

npo-echelon.ru

МЭ

Антивирусы

СОВ/СПВ (IDS/IPS)

СКУД, IAM, МДЗ

DLP

Стационарные АРМ

Мобильные АРМ

Серверы

Виртуальные машины

Коммутаторы, мосты,

маршрутизаторы

Точки доступа

7

Ручной сбор может быть проблематичным

npo-echelon.ru

комрад

гибкая и производительная система централизованного управления событиями информационной безопасности, совместимая с отечественными средствами защиты информации.

8

Сертификаты: ФСТЭК России №3498 Минобороны России №2315

npo-echelon.ru

Фильтрация

Нормализация

Корреляция

Оповещениеи учёт инцидентов

Ист

очни

ки с

обы

тий

Приоритезация

Аналитика

9

Принцип работы SIEM-системы

npo-echelon.ru

Архитектура10

npo-echelon.ru

КОМРАД: отличительные возможности11

производительность:до 20 000 EPS

универсальный адаптер для любогоисточника событий

широкий спектр поддерживаемых отечественных СЗИ

удобный пользовательскийинтерфейс

оповещение об инцидентелюбым cпособом: email, SMS…

визуальный анализданных

npo-echelon.ru

§ МЭ и СОВ «Рубикон»/«Рубикон-К»§ Сканер-ВС§ Astra Linux§ Kaspersky Security Center§ Форпост§ SecretNet 3.5-3.7 (сервер управления)§ БлокХост-Сеть§ vGate R2§ ViPNet Coordinator HW2000§ VIPNet IDS§ АССОИ «Матриц໧ …

1212

Поддержка отечественных СЗИ

npo-echelon.ru

Методы корреляции, используемые в SIEM КОМРАД

§Основанный на правилах (rule based) — взаимосвязи между событиями определяются аналитиками в заранее заданных специфических правилах.

§Основанный на графах (graph based) — поиск зависимостей между системными компонентами в представлении ввиде графа.

13

npo-echelon.ru

Создание нового правила корреляции 14

npo-echelon.ru

Поля для формирования правил (1)15

ID плагинаSID плагинаПротоколIP источникаIP назначенияПорт источникаПорт назначенияИмя источникаИмя назначенияMAC источникаMAC назначенияИмя файлаИмя пользователя

АССОИ событие

Имя шлюза

Тип шлюза

Описание команды

Имя запроса

Имя сетевого интерфейса

Роль пользователя

Название фильтра

Направление трафика

Адрес шлюза

CEF значимость

CEF вендор

CEF продукт

CEF версия продукта

CEF ID события

CEF описание

CEF сообщение

WMI имя компьютера

WMI журнал

WMI сообщение

WMI тип (строка)

WMI категория (строка)

WMI имя источника

WMI тип события

WMI номер записи

WMI идентификатор

WMI категория

WMI код события

WMI причина ошибки

Домашняя директория

Команда

Действие

Терминал

Интерпретатор

ID пользователя

ID группы

Имя группы

Сообщение

Категория события

npo-echelon.ru

Поля для формирования правил (2)16

СервисУровень тревогиID правилаФайл журналаКласс СОВГруппа СОВНомер CVEАдрес ссылкиИмя тэгаТип атакиИмя узлаCSSID шлюзаWMI идентификатор

безопасности

СобытиеKAV сообщениеРезультат операцииИмя шлюзаID группы правилДлина пакетаПриоритет правилаКлассификацияПриоритетПричинаВремя откликаСтатус запросаКод иерархии

Тип MIMEБайт переданоКомментарийПравилоИмя компьютераИмя сервераПараметрНеверный парольID сигнатурыВерсия IPДоступОтправленоПолучено

ИнформацияДлинаОбъект доступаПраваПринтерДокументКоличество копийКоличество страницПортТип атаки

npo-echelon.ru

Правила корреляции SIEM КОМРАД «из коробки» (1)17

1) Xmlrpc, обнаружение PingBack-атаки. 2) Обнаружение межсайтового скриптинга. 3) Обнаружение мутированных входных данных. 4) Обнаружение Sql-выражений из пользовательского ввода. 5) Обнаружение неавторизованного Remote Code Execution-Wordpress. 6) Обнаружение уязвимости Local file include. 7) Обнаружение неавторизованного Remote Code Execution-Ping. 8) Обнаружение сканера уязвимостей Openvas.9) Обнаружение сканера уязвимостей w3af. 10) Обнаружение сканера уязвимостей Acunetix. 11) Обнаружение исходящей активности Tor-нодов.12) Обнаружение входящей активности Tor-нодов. 13) Обнаружение неавторизованного Content Injection-Wordpress. 14) Обнаружение исходящей активности на файлобменник.

npo-echelon.ru

Правила корреляции SIEM КОМРАД «из коробки» (2)18

15) Обнаружение исходящей активности к C&C серверам.16) Обнаружение исходящей активности к IRC каналам.17) Обнаружение использования анонимайзеров.18) Обнаружение входящей активности Mirai botnet.19) Обнаружение брутфорс атаки на wordpress.20) Обнаружение входящей активности crawler-ботов.21) Контроль учетных записей-эскалация привилегий, создание/удаление, смена пароля.22) Обнаружение брутфорс атаки на Rdp.23) Обнаружения уязвимости Rdp-MaxChannelids.24) Обнаружение исходящей активности к соц.сетям(vk, twitter, facebook).25) Обнаружение исходящей активности Skype.26) Обнаружение входящей активности Tcp-Break, таких клиентов telnet, nc27) Обнаружение исходящей активности Remote Access.28) Обнаружение нового пользователя в OpenvVpn.29) Обнаружение несоответствия сертификата в OpenVpn.30) Обнаружение параллельного соединения с двух разных IP OpenVpn.31) Контроль криптошлюза и обновления ключей Континента.32) Нарушение целостности, удаление, отключение, контроль мандатных уровней DallasLock.33) Полный контроль над KAV.

npo-echelon.ru

настройка правил корреляции

Включаем сбор всего, что можем собрать с помощью SIEM-системы, и начинаем отфильтровывать лишнее.

19

rule of thumb

npo-echelon.ru

Практика применения SIEM-КОМРАд в ESOC20

npo-echelon.ru

Все инциденты21

npo-echelon.ru

Атаки ботов на ISPDN.ru22

Атака Блокировка ботов Прорвался с нового адреса

npo-echelon.ru

ИСТОЧНИКИ АТАК: сотни запросов в день23

npo-echelon.ru

Гости из УКРАИНЫ24

npo-echelon.ru

Наш ответ БОТАМ: Блокировка ГОСТЕЙ25

npo-echelon.ru

выявление перебора паролей26

Обращение к странице авторизации

npo-echelon.ru

Выявленный Попытки подбора паролей к s3r.ru27

npo-echelon.ru

Выявление попытки атаки от червя «MIRAI»28

База IP-адресов, скомпрометированных MIRAI

1) Xmlrpc, обнаружение PingBack-атаки.

npo-echelon.ru

ЧЕРВЬ попытался к нам ЗАЙТИ…29

npo-echelon.ru

Выявление попыток SQL-инъекций30

SQL-запросы в HTTP-трафике

npo-echelon.ru

ПОПЫТКА SQL-инъекции 31

npo-echelon.ru

Разведка И авторизация32

npo-echelon.ru

КОНТРОЛЬ МАНИПУЛЯЦИЙ с УЧЕТНЫМИ ЗАПИСЯМИ WindoWS33

Коды специфических событий

npo-echelon.ru

СПАСИБО ЗА ВНИМАНИЕ!

34

35