+7 499 499-13-08      

Решение для соответствия стандартам и расширенной визуализации системы ArcSight


    При выполнении мониторинга с помощью системы ArcSight возникает ряд проблем, не позволяющих осуществлять полноценный аудит событий безопасности и полностью выполнять требования различных стандартов.
    В базовую поставку Arcsight входит менее 100 правил, причем большинство из них относится к событиям, зарегистрированным на сетевых устройствах. Отсутствуют правила, относящиеся к событиям мониторинга баз данных, операционных систем, приложений, прикладных программ и т.д.
    Почти все правила и панели визуализации в качестве исходной информации используют не исходные данные события, а сгенерированные коннектором (данные категоризации). Также каждое правило должно обрабатывать событие со всех систем, основываясь на присвоенных событию категориях. Данный подход не является гибким и не позволяет эффективно отслеживать все события, относящиеся к нарушениям безопасности.
    Нет механизмов корреляции, позволяющих объединять данные, полученные из журналов БД, ОС, прикладной системы и сетевых устройств, без чего невозможно получить полную картину событий, фиксируемых в системе.
    Основным компонентом решения является набор корреляционных правил.

    Для этого разработано несколько сотен правил, относящихся к мониторингу различных систем:
    • Мониторинг баз данных (Oracle, MSSQL, MySQL и т.д.)
    • Мониторинг операционных систем (Windows, Linux, HPUX, Solaris)
    • Антивирусная защита
    • Мониторинг сетевого трафика
    • Мониторинг прикладного программного обеспечения

    Правила охватывают весь спектр событий, относящихся к нарушениям информационной безопасности. Некоторые группы и примеры правил представлены в таблице.

    Группа правилПримеры правила
    1Нарушение политик доступа в систему • Возможно успешный BruteForce - Тип входа Kerberos аутентификация (SecurityID:672)
    • 6 попыток входа заблокированного пользователя в течение 30 минут
    • 5 удачных входов в ОС в течение часа под одной учетной записью
    2Нарушение политик доступа к данным • Неудачное удаление данных из критичных таблиц, выполненное пользователем с чужого хоста или под чужой учетной записью
    • Успешная выборка данных из критичных таблиц (1 пользователь 50 событий в течение 8 часов с одного и того же хоста)
    • Неудачная выборка данных из критичных таблиц, выполненная пользователем с зарегистрированного хоста с использованием не зарегистрированной УЗ
    3Нарушение политик аудита • Ошибка включения аудита (3 попытки за 10 минут)
    • Аудит выключен и включен в течение 2 часов
    • Удачное выключение аудита критичных таблиц нелегитимным пользователем
    4Нарушения, связанные с предоставлением привилегий • Удачное добавление прав на критичные таблицы (with grant options) (пользователь не-SYS)
    • Удачное добавление прав на критичные таблицы после неудачной попытки в течение часа (пользователь SYS)
    • 3 попытки изменить конфигурацию прав пользователя или привилегий за 10 минут (SecurityID - 608, 609, 621, 622).
    5Нарушения, связанные с изменениями конфигурации системы • 3 попытки изменения конфигурации доверенного домена за 10 минут (SecurityID - 610, 611, 620)
    • В течении 10 минут произошло 3 неудачных попытки изменить объект. БД (таблицу, кластер, синоним, представление, процедуру, связь БД, триггер, тип, тело типа, функцию пакет, тело пакета, каталога, библиотеки, JAVA-программы). После этого в течение часа произошла удачная попытка.
    • Создание, а затем удаление связи БД в течение 2 часов.
    6Нарушения, связанные с использованием запрещенных сервисов и программ • Неудачное редактирование данных в критичных таблицах, используя нелегальное ПО
    • Удачный останов критичных сервисов
    • Удачный запуск запрещенных программ
    7Нарушения парольной политики • Не изменен пароль у новой УЗ в течение 7 дней
    • 3 неудачных попытки задания пароля УЗ пользователя в течение 1 часа
    • Пароль просрочен (не менялся 90 дней)
    8Нарушения сетевого доступа • Внешнее сканирование сети • Аномально большое количество подключений к БД Oracle с внутренних адресов
    • Неудачный доступ (CHDZ) - нелегитимный порт - 6 попыток за 10 минут
    9Антивирусная защита • Обнаружение более 5 вирусов на одном компьютере за 1 час
    • Обнаружение 1 вируса более чем на 3 компьютерах за 1 час
    • Неудачная попытка лечения вируса
    10Нарушения, связанные с учетной информацией • Создание, а затем удаление пользователя в течение 2 часов
    • В течение 10 минут произошло 3 неудачных попытки создать учетную запись (пользователя, роль или профиль)
    • 3 попытки конфигурирования локальной группы за 10 минут (SecurityID: 635, 636, 637, 638, 639)
    11Нарушения, зафиксированные в ночное время или в праздничные дни • Неудачное изменение данных в выходные и праздничные дни (23 февраля, 8 марта, 1 и 9 мая, 12 июня, 4 ноября, 1 января, 7 января)
    • Удачное изменение объектов в нерабочее время. Нерабочим считается время с 20-00 до 7-00.
    • Неуспешный вход в систему в выходные и праздничные дни

    В качестве Стандарта безопасности в модуле используется Стандарт безопасности NIST SP 800-82 «Guide to Industrial Control Systems (ICS) Security», разработанный в целях обеспечения безопасности промышленных систем управления. В основе данного стандарта лежит ряд технических требований, сгруппированных таким образом, чтобы упростить процедуру аудита безопасности.

    По типам систем правила делятся на 6 групп:
    1. WN – Сервера и рабочие станции, работающие под управлением ОС Windows. Подкатегории: AL – общая подкатегория, AD – Active Directory, WS – рабочая станция.
    2. UX – Сервера, работающие под управлением ОС семейства UNIX. Подкатегории: AL – общая подкатегория, LX – Linux, HP – HPUX, SL – Solaris, SO – SCO Open Server, SU – SCO UnixWare, AX – AIX.
    3. DB –Базы данных. Подкатегории: AL – общая подкатегория, OR – Oracle, MS – MS SQL, MY – MySQL.
    4. AV – Антивирусные системы. Подкатегории: AL – общая подкатегория, SM – Symantec, TM – TrendMicro, KP – Kaspersky.
    5. NT - Сетевые устройства (коммутаторы, маршутизаторы, межсетевые экраны, IDS, IPS и т.д.). Подкатегории: AL – общая подкатегория, FW – межсетевые экраны, IS – IPS, IDS.
    6. AP - Прикладные программы и ресурсы, не относящиеся к другим категориям.
    Для выполнения большинства требований Стандарта, необходимо четкое разделение целевых ресурсов по выполняемым задачам, важности ресурса, месторасположению и т.д. Для решения данной задачи используется Сетевая модель (Network Model) - это представление узлов в сети и определенных характеристик самой сети.

    Другим важным компонентом решения являются панели визуализации. Разработаны следующие группы графических панелей:




    Рисунок 1 - Графическая панель (Dashboard) – Основные данные об инцидентах



    Рисунок 2 - Графическая панель (Dashboard) – Соответствие требованиям Стандарта NIST



    Рисунок 3 - Графическая панель (Dashboard) – Соответствие требованиям Стандарта NIST



    Рисунок 4 - Графическая панель (Dashboard) – Категории – Инциденты за день



    Рисунок 5 - Графическая панель (Dashboard) – Статистика переданной информации по сети


Ⓒ ATБ ast-security.ru