Журнал "Information Security/ Информационная безопасность" #4, 2024

ры для выявляемого инцидента: наиме- нование, категорию, критичность и описание. Здесь же можно ограни- чить работу конкретного правила кор- реляции таким образом, чтобы оно отрабатывало сразу для всех посту- пающих в систему событий либо толь- ко для событий, поступающих по опре- деленному транспорту, от источника конкретного производителя или даже от отдельно взятого продукта. Таким образом, правила корреляции будут работать только с теми событиями, которые подходят под логику их сра- батывания, не нагружая систему бес- полезными операциями. Условия срабатывания На вкладке "Условия срабатывания" определяется ключевая логика, по которой инцидент будет выявляться в автоматическом режиме. В этом раз- деле разработчики оставили понятный и полюбившийся многим заказчикам графический конструктор, с помощью которого можно создать новое правило корреляции всего за несколько минут без знания языков программирования. Подход No-code помогает снизить избыточные требования к операторам SIEM, позволяя сфокусироваться на логике создаваемых правил в нагляд- ном виде. Симптоматика Для упрощения написания правил кор- реляции можно использовать симпто- мы – понятные русскоязычные описания, позволяющие проще и быстрее иденти- фицировать события в потоке. Теперь нет необходимости писать паттерны текста событий в правилах корреляции. К примеру, существует целая категория симптомов "Неуспеш- ный вход ssh": это могут быть события от Ubuntu, SunOS, Red Hat, SUSE, FreeBSD. А далее в RuSIEM можно оперировать фактом "неуспешного входа по ssh" в правилах для обнару- жения неуспешных попыток доступа для критичных активов, служебных учетных записей, многочисленных рас- пределенных по времени атак и т.п. (см. рис. 4). С симптоматикой достаточно сделать один или целую группу симптомов, характеризующих эти действия или воз- действия, и уже к ним привязывать паттерны в зависимости от различных источников с разными форматами собы- тий. Использование симптомов и катего- рий в правилах корреляции позволяет сделать более универсальными и понят- ными. При этом при подключении к системе совершенно нового источни- ка достаточно добавить новые условия в симптомы. События от нового источ- ника начнут тегироваться данными симптомами, и старые правила корре- ляции будут работать с новым потоком событий. В заключение В 2024 г. в SIEM-систему RuSIEM было добавлено более 40 правил корреляций, 30 поддерживаемых источ- ников событий и 15 новых возможностей. С более подробной информацией можно ознакомиться в разделе "История обновлений" 1 на нашем корпоративном сайте или по электронной почте info@rusiem.com. l • 27 SIEM www.itsec.ru Рис. 2. Работа с источниками в RuSIEM Рис. 3. Обновленный раздел корреляции в RuSIEM Рис. 4. Использование симптомов в RuSIEM АДРЕСА И ТЕЛЕФОНЫ RUSIEM см. стр. 62 NM Реклама 1 https://rusiem.com/ru/products/release_notes