Общая информация
Общая информации по интеграции с SIEM-системами
Программный комплекс Solar TI Feeds Agent предназначен для периодической загрузки полного списка фидов, получения изменений с момента последнего запуска и получения изменений по уведомлениям. Он обеспечивает взаимодействие с различными источниками индикаторов компрометации информационных систем, поставляемых облаком Solar TI Feeds для формирования централизованной базы знаний об угрозах информационной безопасности и индикаторах компрометации информационных систем. Контакты технических специалистов, которые могут проконсультировать по процессу настройки интеграции: support.tic@rt-solar.ru.
Принцип работы интеграции
Механизм интеграции основан на использовании агентского приложения Solar TI Feeds Agent, которое выступает промежуточным звеном между платформой Solar TI Feeds и SIEM-системой.
В рамках интеграции агент выполняет следующие ключевые функции:
- Формирование CSV-файлов с информацией о фидах на основе параметров конфигурационного файла;
- Первичная выгрузка актуального содержимого базы TI Feeds при первом запуске;
- Периодический мониторинг базы на предмет изменений;
- Передача обновленных данных в формате CSV-файлов.
Задача загрузки данных о фидах в SIEM сводится к сбору и обработке CSV-файлов с хоста, на котором запущен агент Solar TI Feeds Agent. Действия по обработке полученных данных на стороне SIEM в зависимости от вендора системы описаны в соответствующих разделах документации.
Процесс работы агента
Функционал агента реализуется следующим образом:
- При первом запуске производится полная выгрузка актуальных данных из базы фидов Solar TI Feeds в CSV-файл;
- В дальнейшем агент работает в режиме мониторинга, периодически проверяя базу на наличие изменений с момента последнего обновления;
- При обнаружении обновлений в данных фидов формируются новые CSV-файлы с измененной информацией.
Структура фида Solar TI Feeds
Каждая запись в CSV-файле, формируемом агентом Solar TI Feeds Agent, имеет структуру, набор и порядок полей которой определяются в конфигурационном файле агента.
| Наименование поля | Описание поля |
|---|---|
| FeedSource | Техническое поле, которое позволяет идентифицировать запись как фид базы Solar TI Feeds, заполняется константой "ti_cloud" |
| IndicatorID | Идентификатор (UUID) фида |
| IndicatorType | Тип индикатора. Допустимые значения: ipv4-addr, ipv6-addr, socketv4, domain-name, url |
| Action | Действие, которое необходимо произвести с индикатором.
Для индикатора может отсутствовать запись CREATE, т.е. может поступить сразу запись UPDATE (данная особенность связана с обработкой индикатора на стороне Solar TI Feeds и зависит от периодичности обновлений информации на агенте). В записи DELETE может отличаться зона индикатора, присутствующего в конфигурационном файле |
| UpdatedAt | Дата последнего обновления информации об индикаторе (в формате Unix Time) |
| Value | Значение индикатора |
| Description | Текстовое описание индикатора |
| FirstSeen | Дата, когда индикатор был замечен впервые (в формате Unix Time) |
| LastSeen | Дата, когда индикатор был замечен в последний раз (в формате Unix Time) |
| ValidUntil | Дата, до которой индикатор считается релевантным (в формате Unix Time). На данный момент не используется в конфигурационном листе и детектирующей логике |
| Relations | Сгруппированная информация о том, с какими типами вредоносной/нежелательной активности связан индикатор |
| RelatedReports | Список Reports, к которым относится индикатор |
| RelatedThreatActors | Список ThreatActors, к которым относится индикатор |
| RelatedMalware | Список Malware, к которым относится индикатор |
| RelatedTools | Список Tools, к которым относится индикатор |
| RelatedFiles | Список Files, к которым относится индикатор |
| RelatedIndicators | Список Indicators, к которым относится индикатор (для связанных индикаторов указан тип) |
| ExternalReferences | Ссылки на ресурсы, с которых был получен индикатор |
| Rules | Правила детектирования, с помощью которых был обнаружен индикатор |
| Categories | Категории индикатора |
| Feeds | Список фидов, в которых содержится индикатор |
| Zone | Зона критичности индикатора. Может принимать следующие значения
|
Схема обработки значений индикаторов в SIEM
В таблице показана логика дополнительной обработки загружаемых индикаторов на стороне SIEM. Красным цветом выделены части значений, которые обрезаются перед сохранением в списки.
Логика дополнительной обработки индикаторов в SIEM:
| Тип индикатора в фиде | Логика обработки |
|---|---|
| ipv4-addr / ipv6-addr | ip_address ip_address:port protocol://ip_address:port/ |
| domain-name | subdomain.sld.tld protocol://subdomain.sld.tld/ protocol://ip_address/ |
| url | protocol://www.sld.tld:port/path... protocol://subdomain.sld.tld:port/path... protocol://subdomain.sld.tld:port/path/ protocol://www.ip_address:port/path... protocol://ip_address:port/path... protocol://subdomain.sld.tld:port/ protocol://subdomain.sld.tld:port/folder/filename protocol://subdomain.sld.tld:port/path?querystring#fragment |
Схема проверки фидов по базовым событиям в SIEM
В таблице показаны паттерны базовых событий SIEM, по которым происходит проверка соответствия значений индикаторов из фидов. Зеленым цветом обозначена часть значения из базового события SIEM, по которой происходит проверка на совпадение.
Паттерны проверки значений индикаторов фидов по базовым событиям SIEM:
| Название группы паттернов | Логика обработки |
|---|---|
| IPAddress | ip |
| IPAddressPort | ip ip:port |
| Domain | domain domain_short(subdomain.sld.tld) |
| URL | request_url request_url_domain(subdomain.sld.tld:port/path...) request_url_domain_short(subdomain.sld.tld:port/path...) request_url_wo_query(subdomain.sld.tld:port/path/?query) request_url_wo_path(subdomain.sld.tld:port/path...) request_url_wo_pathend(subdomain.sld.tld:port/path/pathend) |
Логика работы контента детектирования
Система использует следующие зоны критичности индикаторов:
- BLACK и GREY - добавляются в конфигурационные листы и обрабатываются логикой детектирования;
- NEUTRAL - добавляются в конфигурационные листы, но требуют дополнительных условий для генерации алертов;
- WHITE и NONE - фильтруются на уровне добавления в конфигурационные листы.
Правила детектирования учитывают:
- Источник события (СЗИ или другие системы);
- Зону индикатора (BLACK/GREY/NEUTRAL);
- Статистику срабатываний (для индикаторов зоны NEUTRAL).
Уровни критичности и условия срабатывания корреляционных правил:
| Критичность | Условия срабатывания |
|---|---|
| High + Инцидент | Взаимодействие с индикатором зоны BLACK/GREY |
| High | Детект от СЗИ для индикатора зоны NEUTRAL |
| Medium | Статистическое срабатывание для индикатора зоны NEUTRAL |