Интеграция с MaxPatrol SIEM
Интеграция с SIEM-системой MaxPatrol
SIEM-система MaxPatrol предназначена для централизованного сбора, корреляции и анализа событий безопасности, а также автоматического реагирования на инциденты информационной безопасности.
Основная задача процесса интеграции заключается в организации эффективного сбора и обработки CSV-файлов, генерируемых агентом Solar TI Feeds Agent. Это позволяет обеспечить:
- Своевременное получение актуальных данных об угрозах;
- Автоматизацию процесса обновления информации в SIEM-системе;
- Повышение эффективности выявления и реагирования на инциденты.
Требования к интеграции
- Установленный и настроенный агент Solar TI Feeds Agent на системе-источнике;
- Доступ к MaxPatrol SIEM с правами администратора;
- Скачанный пакет экспертизы "4rays TI Cloud SIEM Content" для MP SIEM.
Импорт контента
Для начала работ по настройке требуется перенести в SIEM пакет экспертизы "4rays TI Cloud SIEM Content", включая все макросы (Рисунок 1).
Рисунок 1 - Импортированные пакеты экспертизы "4rays TI Cloud SIEM Content"
Далее необходимо убедиться, что были импортированы все необходимые компоненты:
Нормализации:
- Normalizer_4rays_TI_Cloud
Табличные списки:
- Config_4rays_TI_Cloud_IP_IOC_List
- Config_4rays_TI_Cloud_Domain_or_URL_IOC_List
- Config_4rays_TI_Cloud_Hash_IOC_List
- Config_4rays_TI_Cloud_Parameters
- Exclusion_4rays_TI_Cloud
- StopList_4rays_TI_Cloud
- Tech_4rays_TI_Cloud_Tracking_Activity
- Tech_4rays_TI_Cloud_Hits_Statistics
Правила обогащения:
- Profile_4rays_TI_Cloud_v2
- Tech_4rays_TI_Cloud_IOC_Detection_v2
Правила корреляции:
- Alert_4rays_TI_Cloud_IOC_Detection_v2
Описание контента загрузки фидов
Часть контента SIEM, предназначенная для загрузки и предварительной обработки фидов из CSV-файлов, формируемых агентом, представлена следующими логическими блоками:
Нормализация фидов: Normalizer_4rays_TI_Cloud - правило нормализации для обработки записей о фидах всех типов.
Поступающие из фидов индикаторы проходят дополнительную обработку по полю Value.
Конфигурационные табличные списки с данными о фидах:- Config_4rays_TI_Cloud_IP_IOC_List - конфигурационный табличный список для хранения индикаторов типов ipv4-addr и ipv6-addr.
- Config_4rays_TI_Cloud_Domain_or_URL_IOC_List - конфигурационный табличный список для хранения индикаторов типов domain-name и url.
- Config_4rays_TI_Cloud_Hash_IOC_List — конфигурационный табличный список для хранения типов md5-hash, sha1-hash и sha256-hash.
Конфигурационные табличные списки не имеют ограничений по TTL, релевантность и актуальность записей в данном формате интеграции определяется на стороне платформы TI Cloud. Поддержание актуального содержимого на стороне SIEM осуществляется на основе действий по полю Action.
Актуализация конфигурационных табличных списков:
Profile_4rays_TI_Cloud_v2 - правило обогащения для обработки шести групп событий:
- Событий по добавлению (CREATE) и обновлению (UPDATE) записей типов ipv4-addr и ipv6-addr;
- Событий по удалению (DELETE) записей типов ipv4-addr и ipv6-addr;
- Событий по добавлению (CREATE) и обновлению (UPDATE) записей типов domain-name и url;
- Событий по удалению (DELETE) записей типов domain-name и url;
- Событий по добавлению (CREATE) и обновлению (UPDATE) записей типов md5-hash, sha1-hash и sha256-hash;
- Событий по удалению (DELETE) записей типов md5-hash, sha1-hash и sha256-hash.
Настройка контента загрузки фидов
Для настройки контента по загрузке фидов в табличные списки SIEM необходимо выполнить следующие шаги:
Настройка процесса актуализации конфигурационных списков
- Добавить в набор установки, привязанный к конвейеру (через который планируется обработка фидов), следующие объекты для актуализации конфигурационных активных листов:
- Normalizer_4rays_TI_Cloud,
- Config_4rays_TI_Cloud_IP_IOC_List
- Config_4rays_TI_Cloud_Domain_or_URL_IOC_List
- Config_4rays_TI_Cloud_Hash_IOC_List
- Profile_4rays_TI_Cloud_v2
- Провести установку этого набора в SIEM для активации указанных правил и табличных списков.
Настройка сбора и обработки фидов
Для настройки профиля и задачи сбора событий для получения и обработки данных о фидах необходимо выполнить следующие действия:
- Создайте профиль и задачу сбора событий с префиксом "4rays_TICloud" в названии, которая по мере генерации новых CSV-файлов в отдельной директории на системе, где запущен агент Solar TI Feeds and Agent, будет осуществлять сбор и передачу их содержимого на сторону SIEM. Формат именования CSV-файлов и директория, в которой хранятся файлы, указаны в базовом конфигурационном файле агента 4rays в параметрах outputFileName и outputDir соответственно.
- Предварительно настройте агента для передачи сохранения файлов в нужной директории:
- В параметре outputDir конфигурационного файла агента укажите адрес директории, в которой будут размещаться CSV-файлы.
- В параметре outputFileName конфигурационного файла агента укажите шаблон имени CSV-файлов, в которые будут помещаться данные по мере их генерации агентом. При использовании конфигурационного файла агента, отличного от базового, именование и способ задания указанных параметры могут измениться.
В случае сбора содержимого CSV-файлов с использованием модуля filemonitor в параметрах профиля указать следующие настройки:
-
Установить текстовый формат обработки данных, поскольку обработка именно такого формата лога предусмотрена в правиле нормализации: Обработка событий -> Обработка данных -> выбрать значение "Текст"
-
После настройки задачи и первичного сбора данных для того, чтобы при повторном запуске задачи ранее прочитанные файлы не были обработаны снова, активировать следующий параметр: Сбор событий -> Собирать события, зарегистрированные только после запуска задачи
Запуск агента Solar TI Feeds
После выполнения настроек в SIEM, описанных на предыдущих шагах, необходимо запустить агент Solar TI Feeds Agent на системе для генерации CSV-файлов с фидами.
После запуска агента будет сформирован файл первичной выгрузки, в котором будет содержаться актуальная и полная на данный момент база фидов TI Feeds. Следующие файлы будут содержать записи только о тех индикаторах в фидах, для которых произошли изменения со времени предыдущего обновления.
Проверка работоспособности загрузки фидов в списки
Фиды поступают в SIEM в виде событий, после нормализации доступны для поиска следующими способами:
Сбор данных → Задачи → [выбрать созданную задачу] → Собранные события → Перейти
Или выполните поиск по фильтру (Рисунок 2):
События → Поиск по фильтру: event_src.vendor = "Solar Security" and event_src.title = "4rays TI Cloud"
Рисунок 2 – Поиск фидов по фильтру в MP SIEM
После проверки наличия нормализованных событий требуется проверить заполнение конфигурационных списков:
В разделе "Сбор данных" → "Табличные списки" проверьте наполнение списков Config_4rays_TI_Cloud
Описание контента детектирования
Контент детектирования сработок по фидам представлен следующим списком объектов:
1 Правила обогащения:
- Tech_4rays_TI_Cloud_IOC_Detection_v2;
2 Правила корреляции:
- Alert_4rays_TI_Cloud_IOC_Detection_v2;
3 Табличные списки:
- Config_4rays_TI_Cloud_Parameters;
- Exclusion_4rays_TI_Cloud;
- StopList_4rays_TI_Cloud;
- Tech_4rays_TI_Cloud_Tracking_Activity;
- Tech_4rays_TI_Cloud_Hits_Statistics.
4 Макросы:
- Filter_4rays_TI_Cloud_Alert_from_Detection_System;
- Filter_4rays_TI_Cloud_ExternalIP;
- Filter_4rays_TI_Cloud_Network_Connection;
- Filter_4rays_TI_Cloud_Proxy;
- Filter_4rays_TI_Cloud_DNS;
- Filter_4rays_TI_Cloud_Domain_notin_WL.
Технические поля корреляционных правил:
| Поле корреляционного события | Описание |
|---|---|
| correlation_name | Имя корреляционного правила |
| correlation_type | Тип оповещения |
| alert.context | Информация о взаимодействии, информация об индикаторе |
| alert.key | Ключ корреляции |
Описание контента для детектирования взаимодействий с фидами приведено ниже.
Правило обогащения Tech_4rays_TI_Cloud_IOC_Detection_v2
Основная логика детектирования и работы со списками реализована в правиле обогащения ввиду обработки большого числа событий. Данное правило обрабатывает базовые события. Для передачи технической информации о срабатывании требуется использование одного из полей. В качестве такого поля было выбрано поле datafield10. В случае, если данное поле используется в логике других правил, следует заменить его на другое подходящее в правилах обогащения и корреляции 4rays. datafield10 = "4rays TI Cloud[IOC: " + $IOC + " Host: " + $Host+ " EventType: $EventType]"
При использовании правила обогащения Tech_4rays_TI_Cloud_IOC_Detection_v2 не происходит генерация корреляционного события и алерта.
| Проверяемые поля базового события | Тип паттерна проверки | Логика правила |
|---|---|---|
src.ip | IPAddress |
|
dst.ip, dst.port | IPAddressPort |
|
| Domain | Событие подходит под один из фильтров: |
Проверяемое поле определяется источником: | Domain | Событие подходит под оба фильтра: |
Проверяемое поле определяется источником: | URL | Событие подходит под один из фильтров: |
| Hash | Значение поля |
Примечания по правилу обогащения Tech_4rays_TI_Cloud_IOC_Detection_v2:
- Фильтр (макрос) Filter_4rays_TI_Cloud_Alert_from_Detection_System доступен для изменения с учетом СЗИ инфраструктуры (по умолчанию фильтр заполнен условиями на события наиболее распространенных источников категории СЗИ).
- Фильтры (макросы) Filter_4rays_TI_Cloud_Network_Connection, Filter_4rays_TI_Cloud_Proxy, Filter_4rays_TI_Cloud_DNS содержат условия на наиболее распространенные источники соответствующих категорий. Для категории DNS также определен фильтр для дополнительной фильтрации Filter_4rays_TI_Cloud_Domain_notin_WL.
- В правиле реализована логика детектирования на основе зоны индикатора и статистики срабатываний. Событие отправляется в коррелятор, если выполняется одно из условий:
- Событие получено от СЗИ;
- Зафиксировано взаимодействие с индикатором зоны BLACK или GREY;
- Зафиксировано взаимодействие с индикатором зоны NEUTRAL.
- И выполняется хотя бы одно из условий:
- В течение 2 суток зафиксировано >= N событий взаимодействия:
- Конкретного хоста с любым из фидов базы;
- Конкретного индикатора зоны NEUTRAL с любым из хостов.
- На протяжении >= M последних суток фиксируются взаимодействия:
- Конкретного хоста с любым из фидов базы;
- Конкретного индикатора зоны NEUTRAL с любым из хостов.
Пороговые значения срабатываний определяются в конфигурационном справочнике Config_4rays_TI_Cloud_Parameters (по умолчанию параметр N = 10 событий, параметр M = 3 суток).
Особенности работы правила обогащения:- Проводит фильтрацию активности, заданной в справочнике с исключениями Exclusion_4rays_TI_Cloud;
- Заполняет информационный профиль срабатываний Tech_4rays_TI_Cloud_Hits_Statistics (TTL = 30d), анализ которого позволяет увидеть все взаимодействия с индикаторами фидов за последние 30 суток;
- Заполняет технический список Tech_4rays_TI_Cloud_Tracking_Activity (TTL = 2d), который используется для генерации статистических корреляций;
- Фиксирует срабатывание логики детектирования в стоп-листе StopList_4rays_TI_Cloud (TTL = 1h), ограничивая генерацию корреляционных событий, при этом срабатывания доступны для анализа в списке Tech_4rays_TI_Cloud_Hits_Statistics.
Правило корреляции Alert_4rays_TI_Cloud_IOC_Detection_v2
| Логика правила | Генерация корреляционного события и алерта |
|---|---|
datafield10 contains "4rays TI Cloud"И $indicator_zone = "BLACK" | Корреляционное событие с критичностью High, |
| Корреляционное событие с критичностью High |
| Корреляционное событие с критичностью Medium |
Уникальными ключевыми полями алерта у правила корреляции Alert_4rays_TI_Cloud_IOC_Detection_v2 является комбинация полей $ioc_feeds (источник фида), $ioc (значение индикатора) и $host (хост, взаимодействовавший с индикатором).
Настройка контента детектирования
Для настройки контента детектирования необходимо выполнить следующие шаги:
- Добавить в набор установки, привязанный к конвейеру (через который планируется обработка проверяемых событий), следующие объекты:
- Alert_4rays_TI_Cloud_IOC_Detection_v2;
- Tech_4rays_TI_Cloud_IOC_Detection_v2;
- Config_4rays_TI_Cloud_Parameters;
- Exclusion_4rays_TI_Cloud;
- StopList_4rays_TI_Cloud;
- Tech_4rays_TI_Cloud_Tracking_Activity;
- Tech_4rays_TI_Cloud_Hits_Statistics.
- Провести установку в SIEM обновленного набора установки для активации указанных правил и табличных списков.
Примеры корреляционных срабатываний
Пример срабатывания корреляционного правила Alert_4rays_TI_Cloud_IOC_Detection_v2 с критичностью High + Инцидент на индикатор с зоной BLACK представлен на рисунках 3-4:
Рисунок 3 – Пример срабатывания индикатора с зоной BLACK
Рисунок 4 – Параметры корреляции срабатывания индикатора с зоной BLACK
Пример срабатывания корреляционного правила Alert_4rays_TI_Cloud_IOC_Detection_v2 с критичностью High на индикатор с зоной NEUTRAL представлен на рисунке 5:
Рисунок 5 – Пример срабатывания High индикатора с зоной NEUTRAL
Пример срабатывания корреляционного правила Alert_4rays_TI_Cloud_IOC_Detection_v2 с критичностью Medium на индикатор с зоной NEUTRAL представлен на рисунке 6:
Рисунок 6 – Пример срабатывания Medium индикатора с зоной NEUTRAL
Пример срабатывания корреляционного правила Alert_4rays_TI_Cloud_IOC_Detection_v2 с критичностью High на индикатор с зоной BLACK представлен на рисунке 7:
Рисунок 7 – Пример срабатывания High индикатора с зоной BLACK