New-Scale SIEM: Технічний огляд платформи нового покоління

Проблеми традиційних SIEM-систем, такі як складність масштабування та висока вартість, часто перешкоджають ефективному виявленню та реагуванню на загрози. New-Scale SIEM (SIEM нового покоління) від Exabeam кардинально змінює підхід, пропонуючи масштабовану, продуктивну та гнучку платформу для сучасної безпеки. Традиційні SIEM-системи стикаються з обмеженнями, пов’язаними з обсягами даних та необхідністю складного налаштування, докладніше про це можна прочитати у статті Exabeam – SIEM Limitations.

Архітектура New-Scale SIEM: Основа нового підходу до безпеки

Архітектура New-Scale SIEM принципово відрізняється від традиційних рішень. Замість монолітної архітектури, де всі компоненти тісно пов’язані та функціонують на обмеженому наборі серверів, Exabeam використовує розподілену, горизонтально масштабовану платформу. Це дозволяє системі справлятися з величезними обсягами даних та складними аналітичними завданнями, забезпечуючи при цьому високу доступність та відмовостійкість. Детальніше про архітектуру New-Scale SIEM можна дізнатися на сайті Exabeam: Exabeam – New-Scale SIEM.

Ключовим елементом архітектури є розділення функцій збору, зберігання, обробки та аналізу даних. Кожен з цих компонентів може масштабуватися незалежно, що дозволяє оптимізувати ресурси та адаптуватися до мінливих потреб організації.

Ключові відмінності від традиційних SIEM:

• Масштабованість: New-Scale SIEM легко масштабується горизонтально, додаючи обчислювальні ресурси за потреби. Це дозволяє обробляти експоненційно зростаючі обсяги даних без зниження продуктивності. На відміну від традиційних SIEM, де масштабування часто вимагає повної перебудови системи.
• Продуктивність: Використання розподіленої архітектури та оптимізованих алгоритмів забезпечує високу швидкість обробки та аналізу даних. Це дозволяє виявляти загрози в режимі реального часу, а не постфактум.
• Гнучкість: Платформа підтримує різні джерела даних та типи аналізу, що дозволяє адаптувати систему до конкретних потреб організації.
• Економічність: Завдяки ефективному використанню ресурсів та гнучкій моделі ліцензування, New-Scale SIEM дозволяє знизити загальну вартість володіння системою.

Компоненти архітектури:

Хоча конкретні деталі реалізації можуть варіюватися в залежності від розгортання (хмара, локальна інфраструктура, гібридна модель), основні компоненти залишаються незмінними:

• Data Ingestion Layer (Шар збору даних): Відповідає за збір даних з різних джерел. Підтримує широкий спектр джерел, включаючи логи, мережевий трафік, дані кінцевих точок, хмарні сервіси та програми. Використовує різні протоколи та методи збору, такі як Syslog, API, агенти та конектори.
• Data Lake (Озеро даних): Централізоване сховище для всіх зібраних даних в оригінальному форматі. Забезпечує довгострокове зберігання даних для цілей розслідування та відповідності вимогам регуляторів. Використовує масштабовані та економічно ефективні технології зберігання, такі як Hadoop або хмарні сховища. Детальніше про Data Lake від Exabeam можна прочитати тут.
• Processing Engine (Механізм обробки): Відповідає за нормалізацію, збагачення та аналіз даних. Виконує складні аналітичні завдання, такі як UEBA (User and Entity Behavior Analytics), кореляція подій та виявлення загроз.
• Analytics and Detection Layer (Шар аналітики та виявлення): Містить алгоритми та моделі для виявлення аномалій, підозрілої активності та відомих загроз. Використовує threat intelligence для виявлення та запобігання атакам.
• SOAR (Security Orchestration, Automation and Response) Engine: Забезпечує автоматизацію процесів реагування на інциденти. Дозволяє автоматизувати рутинні завдання, такі як блокування IP-адрес, ізоляція хостів та відправлення повідомлень. Більше інформації про SOAR можна знайти на сайті Exabeam: Exabeam – SOAR.
• User Interface (Користувацький інтерфейс): Надає централізований інтерфейс для моніторингу, аналізу та управління системою. Забезпечує візуалізацію даних, створення звітів та управління інцидентами.

Ключові компоненти та функціональність New-Scale SIEM

New-Scale SIEM пропонує широкий спектр функцій та можливостей для забезпечення безпеки організації.

Збір даних (Log Management)

Збір даних є основою будь-якої SIEM-системи. New-Scale SIEM підтримує збір даних з широкого спектру джерел, включаючи:

• Логи операційних систем: Windows, Linux, macOS
• Логи мережевого обладнання: Маршрутизатори, комутатори, міжмережеві екрани
• Логи додатків: Веб-сервери, бази даних, поштові сервери
• Дані кінцевих точок: Антивіруси, системи виявлення вторгнень
• Хмарні сервіси: AWS, Azure, Google Cloud
• Дані про загрози (Threat Intelligence): Feed-и, репутації IP-адрес та доменів

Механізми збору даних:

• Syslog: Стандартний протокол для передачі логів.
• API: Інтерфейси програмування додатків для інтеграції з різними системами.
• Агенти: Програмні агенти, що встановлюються на кінцеві точки для збору даних.
• Конектори: Готові інтеграції з популярними додатками та сервісами.

Нормалізація та збагачення даних

Зібрані дані, як правило, мають різний формат та структуру. Нормалізація даних – це процес перетворення даних в єдиний формат, що полегшує їх аналіз та кореляцію. Збагачення даних – це додавання до даних додаткової інформації, такої як географічне розташування IP-адреси, репутація домену або інформація про вразливості.

Процес нормалізації та збагачення включає в себе:

• Парсинг: Вилучення інформації з логів.
• Стандартизація: Приведення даних до єдиного формату.
• Зіставлення: Зіставлення даних з іншими джерелами інформації.
• Геолокація: Визначення географічного місцезнаходження IP-адрес.
• Визначення репутації: Визначення репутації IP-адрес та доменів на основі даних про загрози.
• Ідентифікація вразливостей: Зіставлення подій з інформацією про відомі вразливості.

Обробка та аналіз даних

Після нормалізації та збагачення дані готові до обробки та аналізу. Обробка даних включає в себе фільтрацію, агрегацію та інші операції, необхідні для підготовки даних до аналізу. Аналіз даних включає в себе виявлення аномалій, підозрілої активності та відомих загроз.

UEBA (User and Entity Behavior Analytics)

UEBA – це технологія, яка дозволяє аналізувати поведінку користувачів та сутностей (наприклад, серверів, додатків) для виявлення аномалій та підозрілої активності. New-Scale SIEM використовує UEBA для виявлення інсайдерських загроз, скомпрометованих облікових записів та інших видів атак. Детальніше про UEBA в Exabeam можна прочитати тут.

UEBA аналізує безліч параметрів, таких як:

• Час входу в систему: О котрій годині користувач зазвичай входить в систему?
• Місцезнаходження: Звідки користувач зазвичай входить в систему?
• Використовувані програми: Які програми користувач зазвичай використовує?
• Доступ до даних: До яких даних користувач зазвичай звертається?

Якщо поведінка користувача відхиляється від його звичайної поведінки, система генерує попередження. Наприклад, якщо користувач раптово починає входити в систему в незвичайний час або з незвичайного місця, це може бути ознакою того, що його обліковий запис було скомпрометовано.

Кореляція подій

Кореляція подій – це процес зіставлення подій з різних джерел для виявлення складних загроз, які можуть бути непомітними при аналізі окремих подій. New-Scale SIEM використовує складні алгоритми кореляції для виявлення таких загроз.

Наприклад, якщо система виявляє, що користувач завантажує великий обсяг даних з сервера, а потім намагається зайти на підозрілий веб-сайт, система може зробити висновок, що користувач намагається вкрасти дані та скомпрометувати систему.

Threat Intelligence

Threat Intelligence – це інформація про відомі загрози, яка використовується для виявлення та запобігання атакам. New-Scale SIEM використовує threat intelligence з різних джерел, включаючи:

• Комерційні feed-и: Підписки на інформацію про загрози від спеціалізованих компаній.
• Безкоштовні feed-и: Загальнодоступні джерела інформації про загрози.
• Внутрішні дані: Інформація про загрози, зібрана всередині організації.

Threat Intelligence використовується для виявлення відомих загроз, таких як шкідливе ПЗ, фішингові сайти та ботнети.

Управління інцидентами та автоматизація (SOAR)

Управління інцидентами – це процес виявлення, аналізу, стримування, ліквідації та відновлення після інцидентів безпеки. SOAR (Security Orchestration, Automation and Response) – це технологія, яка дозволяє автоматизувати процеси реагування на інциденти.

New-Scale SIEM надає широкий спектр функцій для управління інцидентами та автоматизації, включаючи:

• Автоматичне виявлення інцидентів: Система автоматично виявляє інциденти на основі аналізу даних.
• Автоматична класифікація інцидентів: Система автоматично класифікує інциденти за ступенем серйозності.
• Автоматична ескалація інцидентів: Система автоматично ескалює інциденти відповідальним особам.
• Автоматичне реагування на інциденти: Система автоматично виконує дії з реагування на інциденти, такі як блокування IP-адрес, ізоляція хостів та видалення файлів.

Приклади автоматизованих дій:

• Блокування IP-адрес: Якщо система виявляє, що IP-адреса намагається атакувати систему, система може автоматично заблокувати цю IP-адресу.
• Ізоляція хостів: Якщо система виявляє, що хост скомпрометовано, система може автоматично ізолювати цей хост від мережі.
• Видалення файлів: Якщо система виявляє, що файл є шкідливим, система може автоматично видалити цей файл.
• Відправлення повідомлень: Система може відправити повідомлення відповідальним особам про виникнення інциденту.

Наприклад, компанія N скоротила час на реагування на інциденти на 60% завдяки автоматизації процесів реагування за допомогою SOAR. З прикладами впровадження Exabeam SOAR можна ознайомитися на сторінці Exabeam – Customers.

Масштабованість та продуктивність

Масштабованість та продуктивність є критично важливими для SIEM-систем, особливо в умовах експоненційного зростання обсягів даних. New-Scale SIEM забезпечує масштабованість та продуктивність завдяки своїй розподіленій архітектурі та оптимізованим алгоритмам.

Платформа використовує горизонтальне масштабування, що дозволяє додавати обчислювальні ресурси за потреби. Це дозволяє системі справлятися з величезними обсягами даних без зниження продуктивності.

Централізований моніторинг та звітність

New-Scale SIEM надає централізований інтерфейс для моніторингу, аналізу та управління системою. Інтерфейс забезпечує візуалізацію даних, створення звітів та управління інцидентами.

Користувачі можуть створювати власні панелі моніторингу для відображення найбільш важливої інформації. Система також надає широкий набір готових звітів про стан безпеки.

Висновок

New-Scale SIEM від Exabeam є SIEM нового покоління, яке вирішує основні проблеми традиційних SIEM-систем. Завдяки своїй масштабованій архітектурі, високій продуктивності, широкому спектру функцій та можливостей, New-Scale SIEM дозволяє організаціям ефективно виявляти та реагувати на загрози безпеки. Платформа забезпечує централізований моніторинг, аналіз та управління системою безпеки, що дозволяє організаціям підвищити ефективність захисту своїх активів.