Пошук Use Case'ів для SIEM

Глосарій:

SIEM (Security Information & Event Management) — програмно-апаратний комплекс для збору інформації про події (логи), їх кореляції та аналізу. Wiki.

Use Case (стосовно до SIEM) — усталений термін, що позначає конкретний набір правил/скриптів і/або механізмів візуалізації. Наприклад, для виявлення сканування портів, звірки IP адреси з зовнішньої репутаційної базою і т. д. Use Case'и можна писати самому, брати готові з сайту виробника або замовляти у підрядників.



Завданням даної статті є систематизація знайденої інформації за каталогами Use Case'ів і додаткових ресурсів, а також активний діалог в коментарях. Поділіться своїм досвідом, будь ласка, а я буду оновлювати пост отриманою інформацією.

Зміст:

1. Рейтинг SIEM в 2016 році
2. «Рідні» магазини Use Case'ів на сайтах виробників SIEM
3. Рекомендації щодо самостійного написання Use Case'ів
4. Замовлена розробка: карта інтеграторів
5. Сторонні каталоги Use Case'ов: SOC Prime UCL, форуми вендорів (список оновлюється)
6. Посилання на блоги і додаткові ресурси інформаційної безпеки, що відносяться до SIEM

1. Рейтинг SIEM в 2016 році


Якщо ви поки ще на стадії вибору SIEM, то ось їх актуальний рейтинг з двох незалежних джерел. Плюс стане зрозуміло, чому в самій статті приділено різну кількість уваги кожному з рішень.


Source: Gartner Magic Quadrant 2016


Source: 2016 InfoSec Nirvana

Якщо актуальна задача імпортозаміщення, то існує як мінімум 2 SIEM з російськими коренями:

2. «Рідні» магазини Use Case'ів на сайтах виробників SIEM

Інформація за станом на дату публікації (кінець листопада 2016). Зараз всього 4 виробника організували власні майданчики для публікації Use Case'ів. Також у більшості виробників є внутрішній форум для обміну інформацією та пошуку рішень виникаючих проблем.

HPE ArcSight Marketplace
Є платні і безкоштовні. Якщо не застосовувати додаткову.фільтрацію, то на сайті сумарно 170 Use Case'ів.

IBM Security App Exchange
Скачування безкоштовно. Усього доступно 73 Use Case'ів, розробленим самим IBM, так і партнерами.

LogRhythm
Поки всього 19 Use Case'ів. Вірніше, їх маркетингового опису.

Splunk
Підрозділ «Security, Fraud and Compliance» містить 487 програми. Але якщо відфільтрувати тільки програми (а не аддони, хоча вони теж важливі) і вказати версію продукту 6.0 і вище — то сумарна кількість зменшується до 236 Use Case'ів.

3. Рекомендації щодо самостійного написання Use Case'ів

Методологія розробки Use Case'ів добре описана в блоге (Антон Чувакин) і статті.

Якщо коротко, то необхідно підійти до завдання як до повноцінного міні-проекту:

  1. Чітко визначитися з розв'язуваної завданням і її джерелом (це може бути вимога бізнесу, необхідність відповідати стандартів і регламентів індустрії захист даних і т. д.).
  2. Визначити межі проекту (тобто конкретний ділянку захищається ІТ-інфраструктури).
  3. Після цього виявити можливі джерела подій", обробка яких дозволить реалізувати працює Use Case. Це можуть бути логи з пристроїв, журнали подій, конфігураційні установки.
  4. Перевірити, що джерело справно поставляє всі необхідні дані — інакше коректно розроблений Use Case не зможе ефективно працювати (не буде спрацьовувати, або навпаки буде видавати False Positive — помилкові спрацьовування).
  5. Нарешті приступити до розробки Use Case'а.
  6. Встановити і тестувати, підлаштовуючи логіку і пороги спрацьовування.
  7. Коли Use Case вже перевірено і встановлено в продуктив, важливо правильно налаштувати реакцію на його спрацьовування: достатньо просто виводити дані на дашборд, чи потрібно оповіщення SMS/email, або навіть автоматично запускати зміна конфігурації підлеглих пристроїв (наприклад, IBM декларує, що її SIEM зуміє змінити правила IPS/Firewall'а).
  8. Ура, все працює! Але робота на цьому не завершена — необхідно обслуговування (maintenance) розробленого міні-продукту: періодично перевіряти, чи надходять дані для обробки, не змінився їхній формат, допрацьовувати сам Use Case під мінливу топологію ІТ-інфраструктури та потреби Бізнесу.

4. Замовлена розробка: карта інтеграторів

Якщо власних сил/часу/компетенції не вистачає, то можна звернутися до професіоналів — у 99% випадків це буде компанія-інтегратор, яка самостійно, або із залученням Professional Services від SIEM-вендора, виконає власну розробку і підтримку Use Case'ів.

Посилання на розділи «partner locator» популярних SIEM:

findapartner.hpe.com
www-356.ibm.com/partnerworld/wps/bplocator/search.jsp
logrhythm.com/partners/resellers-and-mssps/find-a-partner (список партнерів непублічний, пропонують заповнити форму-запит, у відповідь надішлють дані партнерів).
www.rsa.com/en-us/partners/find
www.splunk.com/en_us/partners/find-a-partner.html

На основі інформації про партнерів, доступній за цим посиланням, я склав загальну таблицю на прикладі України (і поширених у нас SIEM). Як бачите, частина інтеграторів не «моногамні».























SIEM
Інтегратор
QRadar
ArcSight
Splunk
Active Audit Agency
- - Reseller Betta Security
- - Reseller
BMS Consulting
Business partner Gold partner - CBS Group
Business partner - - Center of Systrem Integration - Business partner - COMPAREX Ukraine
Business partner - - Comsec
- - Reseller CS Integra
- Business partner - IBPM
Business partner - - ICSystems
- Business partner - Integrity Vision
Business partner - - ISSP
- Silver partner. Certified Engineer - IT for Business (Supportio)
- Business partner - IT-Integrator (Incom)
Business partner - - LanTec
- Platinum partner - SI BIS
Business partner - - SI Center
- Business partner - Spezvuzavtomatika
- Business partner - SPro
Business partner - - SVIT IT
Business partner Gold partner. Certified Engineer - System Integration Service
Business partner - -
Інформація не є на 100% актуальною, оскільки партнерський статус оновлюється досить інертно і ситуативно: кому-то його можуть дати авансом, хто вже досягнув значних результатів, але статус лише через півроку оновлять, а хтось вже і інженерів розгубив разом з репутацією, але все ще з повним набором регалій числиться. Плюс у великих вендорів (HPE, IBM) досить складно зрозуміти, який партнер на якому з безлічі продуктів спеціалізується. Тому додатково рекомендую (анонімно) зателефонувати дистриб'юторам вашого SIEM і поцікавитися, кого з партнерів вони рекомендують.

Відсутність офіційної партнерської статусу, як правило, не заважає успішно продавати продукти — лише заробіток буде менше. Отримання статусу при епізодичній роботі з продуктом буває нераціональним (наприклад, якщо вимагає обов'язкової дорогий сертифікації інженерів та/або визначеного річного рівня продажів).

5. Сторонні каталоги Use Case'ів

На даний момент я виявив лише кілька альтернативних ресурсів, де можна спробувати завантажити Use Case під свої потреби:

Офіційні форуми виробниківЧасто користувачам не вистачає часу/посидючості або мотивації для повноцінного оформлення кейса для його публікації в офіційному каталозі. А викласти «як є» на форумі — це не складно.

www.protect724.hpe.com
www.splunk.com/en_us/community.html

IBM Support communities:
Marketplace support myibm.ibm.com/support/forum
Get answers to your products and services questions using a collaborative forum moderated by IBM experts
developerWorks www.ibm.com/developerworks/community
Learn from and share with the experts in the developerWorks community
dW Answers developer.ibm.com/answers
Post questions and look up in the answers developerWorks community

RSA Link community.rsa.com/community/rsa-customer-support

Intel McAfee community.mcafee.com
Security-групи в LinkedInВ принципі, це аналогічно попередньому пункту. Але в середньому контент може бути оформлений краще — адже публікація знаходиться на HR-ресурсі в полі зору можливих роботодавців і чіткою прив'язкою до профілю (він же резюме).

«SIEM Use-Cases» www.linkedin.com/groups/6704216
Комерційна майданчик Use Case Library вендора SOC Primeстаном на зараз, підтримуються три SIEM'а: HPE ArcSight, IBM QRadar, Splunk. У самій бібліотеці знаходяться Use Case'и, розроблені самим «SOC Prime», а також викладені туди іншими користувачами. З несподіваного — весь контент продубльовано англійською та російською мовами! (перемикається у налаштуваннях профілю).
ucl.socprime.com
Загальна кількість: 22 додатки. За інформацією з сайту, запуск майданчика був 31.08.2016, так що є надії на подальше зростання. Ще 22 Use Case'а знаходяться в розробці (статус Under R&D).

Купуються Use Case'и за поінти, які можна оплатити грошима, або заробити своєю посильною працею (відгуки на куплені програми, викласти свій Use Case, запропонувати ідею через форму зворотного зв'язку).



Продовження першого скріншота, але з альтернативною схемою відображення списку:



Не відразу зміг зареєструватися там, як виявилося згодом — ігнорували публічний gmail email-адресу, змушуючи реєструватися тільки на корпоративний. «Якщо зловмисники зможуть легко зареєструватися через безкоштовний emaill і дізнатися алгоритм захисту, то швидше навчаться обходити такий захист».

Блоги та додаткові ресурси з інформаційної безпеки, що відносяться до SIEMAnton Chuvakin (багато про SIEM) blogs.gartner.com/anton-chuvakin
Augusto Barros (більше про SOC) blogs.gartner.com/augusto-barros
Deepak Kumar www.linkedin.com/today/author/0_0r-9MaWjS4pt2cnm0EWqkR
Rafael Marty raffy.ch/blog

resources.infosecinstitute.com
infosecnirvana.com/category/siem
www.cybrary.it
securosis.com/search/results/e9fc8ff294a13141edb0affefd542297
securityintelligence.com/?s=siem
www.techtarget.com/search/query?q=siem

LinkedIn Group «SIEM Use-Cases» www.linkedin.com/groups/6704216

Хабрапользователи:
AlexGryn Олександр Гринюк) IBM технічний пресейл з безпеки в регіоні СНД (включаючи Росію).

alekbr Олександр Бредіхін) Технічний Директор «SOC Prime»
Про автора:

Мій досвід роботи 4 роки в security-інтеграторі, 2 роки у security-департаменті дистриб'ютора, а останні 3 роки на стороні FMCG-замовника на позиції IT Business Analyst. За звичкою все одно відстежую новини безпеки, а з завданням пошуку Use Case'ів допомагав другу — по свіжих слідах і вирішив підготувати статтю.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.