Создание оповещений о критических событиях

Сервис аудита в R-Vision SIEM позволяет собирать, анализировать и хранить данные о действиях пользователей и событиях в системе. Эти события можно доставлять на конвейер с помощью точки входа Audit и настраивать их обработку в соответствии с конфигурацией конвейера.

Например, можно настроить конфигурацию конвейера так, чтобы при обнаружении действий, критичных для организации, в системе генерировались соответствующие оповещения.

Данное руководство описывает процесс настройки конвейера для создания оповещений при обнаружении критических действий.

О создании оповещений о критических событиях

Для настройки конвейера с генерацией оповещений о критических событиях в системе понадобятся следующие элементы:

  1. Точка входа Аудит: обеспечивает непрерывный сбор событий сервиса аудита с выбранными уровнями угрозы.

  2. Коррелятор: генерирует корреляционные события при обнаружении опасных действий в системе.

  3. Конечная точка: отправляет обработанные и коррелированные события в хранилища данных.

  4. Сервис оповещений: позволяет настраивать связи между правилами корреляции и правилами сегментации для эффективного распределения корреляционных событий по оповещениям и их отправки через почтовые интеграции.

Таким образом, настройка конвейера для создания оповещений о событиях сервиса аудита включает следующие шаги:

  1. Добавление конвейера

  2. Настройка конфигурации конвейера

    1. Шаг 1. Точка входа Audit

    2. Шаг 2. Корреляция данных

    3. Шаг 3. Конечная точка

    4. Шаг 4. Настройка отправки оповещений

    5. Шаг 5. Включение коллектора и установка конфигурации конвейера

Добавление конвейера

Конвейер — это упорядоченная последовательность взаимосвязанных элементов, выполняющих отдельные этапы обработки событий в системе.

Чтобы добавить конвейер:

  1. Перейдите в раздел Ресурсы → Коллекторы. Система отобразит сведения об имеющихся коллекторах, в том числе их текущий статус (включен/выключен).

  2. Нажмите на строку коллектора, в котором будет выполняться настройка конвейера. Система отобразит в правой части экрана карточку этого коллектора с подробной информацией о нем.

  3. Перейдите на вкладку Конвейеры в карточке коллектора. Система отобразит список конвейеров коллектора.

  4. В нижней части карточки нажмите на кнопку Добавить. На экране отобразится окно добавления конвейера.

  5. Введите название конвейера.

  6. При необходимости введите описание конвейера.

    Установите флажок Открыть конфигурацию конвейера, чтобы сразу перейти в окно настроек конфигурации конвейера после его создания.

  7. Нажмите на кнопку Добавить. Система отобразит уведомление о добавлении конвейера. Новый конвейер появится в списке конвейеров на вкладке Конвейеры в карточке коллектора.

Настройка конфигурации конвейера

При настройке конвейера необходимо создать его компоненты, сконфигурировать их, упорядочить и объединить в последовательность, соответствующую логике обработки данных.

Чтобы перейти к настройке конфигурации конвейера:

  1. Откройте карточку конвейера по стрелке (chevron down) в его строке и нажмите на кнопку Конфигурация конвейера в нижней части карточки.

  2. В открытом окне конфигурации конвейера убедитесь, что в выпадающем списке Версия в правом верхнем углу окна выбран пункт Черновик.

Шаг 1. Точка входа Audit

Точка входа Audit — это элемент конвейера, который собирает события сервиса аудита и доставляет их на конвейер для дальнейшей обработки и анализа. Точка входа имеет один выход и не имеет входов.

С помощью точки входа Audit можно отслеживать действия пользователей в системе для предотвращения, обнаружения и реагирования на возможные угрозы или нарушения безопасности.

Добавьте на конвейер точку входа типа Audit. При создании выберите необходимые уровни угрозы для фильтрации входящего потока событий аудита. Чтобы получать события с уровнем угрозы не ниже критического, выберите следующие варианты:

  • Критический — уровень угрозы 5 (CRITICAL);

  • Фатальный — уровень угрозы 6 (FATAL);

  • Аварийный — уровень угрозы 7 (ACCIDENT).

Шаг 2. Корреляция данных

Чтобы события, поступающие на конвейер, коррелировались, необходимо добавить на конвейер коррелятор.

Чтобы добавить коррелятор, необходимо установить в нём правило корреляции. Правила корреляции определяют, как коррелятор будет обрабатывать входящие данные и формировать на их основе корреляционные события.

Создание правила корреляции

Правила корреляции в системе R-Vision SIEM позволяют обнаруживать и анализировать взаимосвязанные события, соответствующие определенным правилам, написанным на языке описания преобразований и корреляций. Эти правила также могут инициировать действия после обнаружения, такие как создание корреляционных событий и оповещений.

Создайте правило корреляции с необходимыми настройками. Например:

Example 1. Пример правила корреляции, схема RObject
id: "audit_alert_correlation_rule"
name: "Правило корреляции Оповещения о событиях аудита"
type: correlation_rule
version: 1.0.0

severity: critical

aliases:
  audit_events:
    filter: !vrl |
      true

select:
  alias: audit_events

on_correlate: !vrl |
  name = to_string!(%audit_events.meta.name)
  eventRiskLevel = to_string!(%audit_events.eventRiskLevel)
  .message = "Обнаружено действие [{{name}}] с уровнем угрозы {{eventRiskLevel}}"

trigger_alert: true
Интерпретация

Данное правило корреляции позволяет отслеживать поступающие события аудита. Коррелятор генерирует корреляционное событие на каждое событие, доставленное на конвейер точкой входа.

Логика фильтрации (aliases)

  • Псевдоним audit_events: охватывает все поступающие события.

Соединение потоков событий (select)

  • select: выбор псевдонима для дальнейшей обработки. В данном случае используется audit_events.

Пост-корреляционная логика (on_correlate)

При срабатывании корреляции создается сообщение об обнаружении действия с обозначением его уровня угрозы.

  • Формирование сообщения:

    • name: устанавливается значение поля .meta.name, в котором содержится название совершенного действия.

    • eventRiskLevel: устанавливается значение поля .eventRiskLevel, в котором содержится информация об уровне угрозы действия.

    • message: формируется сообщение вида "Обнаружено действие [{{name}}] с уровнем угрозы {{eventRiskLevel}}".

Оповещение

  • trigger_alert: указывает на то, что по результатам корреляции будет создано оповещение.

Добавление коррелятора

Коррелятор позволяет связывать различные события и создавать комплексные правила на их основе. На входе применяет правила корреляции к потоку событий. На выходе выдает корреляционные события.

  1. Добавьте на конвейер коррелятор. При добавлении элемента используйте созданное правило корреляции.

  2. Выход из элемента Точка входа соедините со входом элемента Коррелятор.

Шаг 3. Конечная точка

Конечная точка пересылает событие в хранилище событий. Имеет один вход и не имеет выходов.

  1. Добавьте на конвейер конечную точку, в которой будут сохраняться события.

  2. Соедините выходы из элементов Точка входа и Коррелятор со входом элемента Конечная точка. Это необходимо для сохранения исходных и корреляционных событий в одном хранилище.

Шаг 4. Настройка отправки оповещений

Чтобы корелляционные события, получаемые после срабатывания правил корреляции, генерировали оповещения, необходимо добавить на конвейер сервис оповещений.

Чтобы добавить сервис оповещений, необходимо создать и установить на нем правило сегментации, согласно которому корреляционные события будут распределяться по оповещениям.

Создание правила сегментации

Правила сегментации в системе R-Vision SIEM позволяют управлять потоком корреляционных событий, обеспечивая их агрегацию, классификацию и преобразование в оповещения согласно заданным условиям.

Создайте правило сегментации с необходимыми настройками. Например:

Example 2. Пример правила сегментации, схема RObject
id: "audit_alert_segmentation_rule"
name: "Правило сегментации Оповещения о событиях аудита"
type: segmentation_rule
version: 1.0.0
group_by:
  - message
alert_name: !vrl |
  to_string!(.message)
Интерпретация

Данное правило сегментации позволяет формировать оповещения, группируя корреляционные события по пользователю, который совершил действие. Например, если подозрительные действия совершает какой-то конкретный пользователь, система сгенерирует оповещение с указанием информации об этом пользователе.

  • group_by: определяет поля, по которым будет происходить группировка корреляционных событий. В данном примере используется поле suser.

    • message: сообщение корреляционного события.

  • alert_name: задает шаблон для формирования имени оповещения. В данном примере в качестве названия оповещения используется сообщение корреляционного события из поля message.

Добавление сервиса оповещений

Сервис оповещений позволяет настраивать связи между правилами корреляции и правилами сегментации для распределения корреляционных событий по оповещениям.

  1. Добавьте на конвейер сервис оповещений, чтобы на полученные корреляционные события в системе формировалось оповещение. При добавлении элемента используйте созданное правило сегментации.

    Можно создать Сервис оповещений без указания правил сегментации, но рекомендуется добавить правило сегментации, чтобы корреляционные события по одному компоненту собирались в отдельное оповещение.

  2. Выход из элемента Коррелятор соедините со входом элемента Сервис оповещений.

Шаг 5. Включение коллектора и установка конфигурации конвейера

Перед включением конвейера убедитесь, что связанный с ним коллектор уже включен.

Чтобы события аудита начали поступать на конвейер и обрабатываться:

  1. Перейдите в карточку коллектора и включите его.

  2. Откройте конфигурацию конвейера и установите текущую конфигурацию.

    При обнаружении действий критического, фатального и аварийного уровней угрозы, в системе будут генерироваться оповещения.

+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение