В настоящем разделе представлено описание подраздела меню «Правила корреляции», предусматривающего механизм управления правилами корреляции.
В ARMA MC предусмотрен механизм сбора и агрегации логов – коррелятор. Корреляция событий осуществляется на базе правил, обеспечивающей автоматизированный анализ поступающих событий и выдачу реакции на определенное событие.
Для перехода в подраздел на панели навигации необходимо выбрать раздел меню «Администрирование», затем подраздел «Правила корреляции» (см. Рисунок – Правила корреляции).
Информация о правилах корреляции представлена в формате таблицы, состоящей из следующих столбцов:
«SID» – идентификатор безопасности. Генерируется системой автоматически;
«Версия» – версия правила. Порядковый номер версии увеличивается при обновлении правила корреляции. Генерируется системой автоматически;
«Наименование» – наименование правила корреляции;
«Категория» – отображает категорию угрозы ИБ, в которую входит правило корреляции;
«Статус» – состояние правила корреляции («Активно»/«Неактивно»);
«Условие» – условие срабатывания правила корреляции;
«Дата создания» – дата создания правила корреляции;
«Дата обновления» – дата редактирования правила корреляции. При обновлении правила корреляции является датой создания следующей версии правила.
Подраздел меню позволяет настроить отображение столбцов таблицы. Для настройки отображения столбцов необходимо нажать кнопку «Настройка столбцов» и выбрать в выпадающем списке необходимые столбцы. По умолчанию в таблице отображаются все столбцы.
Порядок работы с информацией, представленной в формате таблицы описан в разделе Форма раздела меню. Таблица настоящего руководства.
Доступно две категории правил корреляции:
Предустановленные правила (SID от 1 до 500 000) – правила, созданные разработчиком и загруженные в систему. Правила данной категории невозможно редактировать, пользователю доступен только просмотр настроек правила. Подобное правило возможно скопировать для дальнейшего использования в качестве основы для создания пользовательского правила.
Пользовательские правила (SID от 500 000 до 1 000 000) – правила, которые создаёт пользователь. Правила данной категории возможно редактировать через карточку правил корреляции.
Блок фильтрации позволяет фильтровать правила корреляции по всем столбцам списка и по умолчанию состоит из следующих полей (см. Рисунок – Блок фильтрации):
Сквозной поиск по полям таблицы осуществляется с помощью ввода искомого значения в поле параметра «Поиск». Поиск осуществляется по всем столбцам.
Фильтрация по полю «Категория» позволяет отфильтровать данные по категории угрозы ИБ, в которую входит правило корреляции. Поле «Категория» содержит выпадающий список и предоставляет выбор из следующих вариантов значений:
«Attack» – эксплуатация уязвимостей, действие по проникновению или нарушению безопасности информационной системы;
«Base usage protocol» – обнаружение использования прикладного L7 протокола;
«Usage for connect» – обнаружение установленной сессии управления в прикладном протоколе;
«SCAN» – сканирование портов и служб с целью перечисления и определения уязвимых к эксплойтам сервисов;
«Modbus» – обнаружение использования промышленного протокола Modbus;
«S7Comm» – обнаружение использования промышленного протокола S7Comm;
«OPCUA» – обнаружение использования промышленного протокола OPCUA;
«OPCDA» – обнаружение использования промышленного протокола OPCDA;
«IEC104» – обнаружение использования промышленного протокола IEC104;
«Preset» – служебная категория, используемая в процессе корреляции;
«BACnet» – обнаружение использования промышленного протокола BACnet;
«OMRON» – обнаружение использования промышленного протокола OMRON;
«KRUG» – обнаружение использования промышленного протокола KRUG.
Фильтрация по полю «Статус» позволяет отфильтровать данные по статусу правила корреляции. Поле «Статус» содержит выпадающий список и предоставляет выбор из следующих вариантов значений:
«Активно»;
«Неактивно».
Фильтр «Дата» представляет собой переключатель и предоставляет выбор из следующих вариантов значений:
«создания» – для фильтрации данных по дате создания правила корреляции;
«обновления» – для фильтрации данных по дате обновления правила корреляции.
Фильтрация по полю «С» позволяет отфильтровать данные по дате создания/обновления правила корреляции и задаёт начальную дату диапазона. После ввода даты в таблице отобразятся лишь те действия, где «Дата» совпадает или больше введённой в фильтр.
Фильтрация по полю «По» позволяет отфильтровать данные по дате создания/обновления правила корреляции и задаёт конечную дату диапазона. После ввода даты в таблице отобразятся лишь те действия, где «Дата» совпадает или меньше введённой в фильтр.
Сброс всех установленных фильтров осуществляется нажатием кнопки «Сбросить фильтры».
Карточка правила корреляции содержит подробную информацию о правиле. Для того чтобы открыть карточку, необходимо нажать на необходимое правило (см. Рисунок – Карточка правила корреляции). В предустановленных правилах пользователю доступен только просмотр настроек правила.
С версии ARMA MC«1.8» коррелятор обрабатывает поле «sign_id» исключительно как числовое значение. Если ранее созданные правила корреляции опирались на использование «sign_id: строка», рекомендуется заменить их на правила корреляции, соответствующие новым требованиям.
Например, правило корреляции, использующее проверку «sign_id:webauth»», больше не будет обрабатывать события корректно. Такое правило следует заменить на «sign_name:“Web authentication“».
Аналогично, «sign_id:idspower» заменяется на «sign_name:“IDS power“»; «sign_id:idsalert» заменяется на «sign_name:“IDS rule alert“»; «sign_id:arpwatchalert» заменяется на «sign_name:“Arpwatch alert“» и так далее.
Рекомендуется учитывать эти изменения в синтаксисе правил корреляции для обеспечения корректной обработки приходящих событий.
Блок «Действие» содержит список действий при срабатывании конкретного правила корреляции, а также подробные настройки каждого типа действия (см. Рисунок – Карточка. Блок «Действие»).
Для копирования правила корреляции необходимо выполнить следующие действия:
Выбрать правило корреляции, установив флажок рядом с его SID.
На панели инструментов нажать кнопку «Копировать».
В открывшейся карточке правила внести необходимые изменения и нажать кнопку «Сохранить» в правом верхнем углу карточки (см. Рисунок – Копирование правила корреляции).
Для создания правила корреляции необходимо выполнить следующие действия:
На панели инструментов нажать кнопку «Добавить».
В открывшейся карточке «Добавление правила» указать значения необходимых параметров в блоке «Основное»:
поле «SID» автоматически заполнится уникальным идентификатором правила в диапазоне от 500 000 до 1 000 000;
в поле «Наименование» ввести уникальное наименование правила. Поле может содержать кириллические и латинские буквы, цифры, спецсимволы и ограничено 128 символами;
в выпадающем списке поля «Категория» выбрать одну из предустановленных категорий;
в случае, если ни одна из предустановленных категорий не подходит, существует возможность добавить пользовательскую категорию. Для этого необходимо открыть список категорий, нажать кнопку «Добавить», в открывшемся окне ввести «Наименование» и «Описание категории», затем нажать кнопку «Сохранить» (см. Рисунок – Добавление категории);
при необходимости заполнить поле «Описание». Поле ограничено 250 символами;
при необходимости снять флажок с чек-бокса «Множественная реакция». Функция «Множественная реакция» применяет действия к каждому событию, которое соответствует правилу, и по умолчанию включена.
Указать значения необходимых параметров в блоке «Условие»:
в поле «Условие срабатывания правила корреляции» ввести условия срабатывания правила с помощью специального синтаксиса. Условия правила корреляции задаются на основании деталей события, для которого предназначено правило;
Кнопка открывает карточку с двумя вкладками – «Синтаксис» и «Поля». Вкладка «Синтаксис» содержит пояснения по именам полей и терминам, особым символам, диапазонам и логическим операторам. Вкладка «Поля» содержит описание полей и типа данных каждого поля (см. Рисунок – Помощь по коррелятору).
нажать кнопку «Проверить условие». В случае если условие совпадает с имеющимися событиями, отобразится список найденных условий с количеством совпадений. Отсутствие записей в таблице «Найденные условия» не означает, что условие задано некорректно.
В блоке «Действие» из выпадающего списка (см. Типы действий) выбрать необходимые значения из предустановленных типов:
Для описания типов действий используется подключённый источник событий ARMA FW (см. Раздел Источники событий). На ARMA FW включено обнаружение устройств (см. раздел «Обнаружение устройств» руководства пользователя ARMA FW). Подключено новое устройство в сеть прослушиваемого сетевого интерфейса ARMA FW.
Тип действия «Добавить инцидент» при срабатывании определённого события позволяет создавать инцидент и отправлять его в журнал инцидентов ARMA MC (см. Инциденты).
Заполнить поле «Наименование», поле может содержать кириллические и латинские буквы, не может содержать спецсимволы и ограничено 128 символами. Существует возможность использования шаблонов коррелятора для создания наименования инцидента. Для ознакомления с шаблонами необходимо открыть подсказку справа от поля «Наименование». Пример использования шаблона для заполнения поля «Наименование»:
Обнаружено сканирование Web интерфейсов, источник: {{.source_ip}}
При необходимости из выпадающего списка поля «ТТУ ФСТЭК» выбрать необходимое значение. Доступные значения:
«INFO»;
«T1070 Скрытие идентификаторов компрометации»;
«Т1202 Непрямое выполнение команды»;
«Т2.10 Несанкционированный доступ путем подбора учетных данных»;
«Т2.5 Эксплуатация уязвимостей компонентов систем и сетей при удаленной и локальной атаке»;
«Т1 Сбор информации о системах и сетях».
Заполнить поле «Важность», допустимые значения важности от 1 до 100.
При необходимости заполнить поле «Ответственный», выбрав из выпадающего списка поля необходимого пользователя, зарегистрированного в ARMA MC.
При необходимости заполнить поле «Описание».
В поле «Рекомендации» выбрать рекомендации по решению инцидента. В случае, если ни одна из предустановленных рекомендаций не подходит, существует возможность добавить пользовательскую рекомендацию. Для этого необходимо открыть список рекомендаций, нажать кнопку «Добавить», в открывшемся окне ввести «Наименование» и «Описание», затем нажать кнопку «Сохранить».
В поле «Последствия» выбрать последствия инцидента. В случае, если ни одно из предустановленных последствий не подходит, существует возможность добавить пользовательское последствие. Для этого необходимо открыть список последствий, нажать кнопку «Добавить», в открывшемся окне ввести «Наименование» и «Описание», затем нажать кнопку «Сохранить».
Нажать кнопку «Сохранить» в правом верхнем углу карточки.
Результатом срабатывания правила корреляции с типом действия «Инцидент» будет появление инцидента об обнаружении скомпрометированного устройства в подразделе «Инциденты» (см. Инциденты) раздела меню «Журналы».
При появлении новых устройств в сети ARMA FW тип действия «Добавить актив» позволяет отправлять об этом события в журнал событий ARMA MC (см. События).
Заполнить поле «Наименование актива», поле может содержать кириллические и латинские буквы, не может содержать спецсимволы и ограничено 128 символами.
При необходимости заполнить следующие необязательные поля:
«Тип актива». Поле содержит выпадающий список с предустановленными типами активов (см. Активы);
«Группа». Поле содержит выпадающий список с группами, созданными пользователем (см. Активы);
«Описание». Поле может содержать кириллические и латинские буквы, спецсимволы и ограничено 1024 символами;
«Производитель». Поле содержит выпадающий список. Список по умолчанию пуст. Для первичного создания элемента списка необходимо открыть список производителей, нажать кнопку «Добавить», в открывшемся окне ввести «Наименование» и «Описание», затем нажать кнопку «Сохранить». Поле может содержать кириллические и латинские буквы, не может содержать спецсимволы и ограничено 128 символами;
«Модель». Поле может содержать кириллические и латинские буквы, не может содержать спецсимволы и ограничено 128 символами;
«Операционная система». Поле содержит выпадающий список. Список по умолчанию пуст. Для первичного создания элемента списка необходимо открыть список операционных систем, нажать кнопку «Добавить», в открывшемся окне ввести «Наименование» и «Описание», затем нажать кнопку «Сохранить». Поле может содержать кириллические и латинские буквы, не может содержать спецсимволы и ограничено 128 символами.
Заполнить поле «IP-адрес».
При необходимости заполнить поле «Порты», поле может содержать значения от 1 до 65535.
Нажать кнопку «Сохранить» в правом верхнем углу карточки правила корреляции.
Результатом срабатывания правила корреляции с типом действия «Добавить актив» будет появление события об обнаружении нового устройства в подразделе «События» (см. События) раздела меню «Журналы».
Результатом срабатывания правила корреляции с типом действия «Выполнить сценарий Bash» из приведённого выше примера будет добавление каталога «new_device» в каталог «tmp».
Тип действия «HTTP POST запрос» позволяет отправлять информацию на внешний сервер при срабатывании определённого события. Предварительно необходимо убедиться в наличии доступа к используемому внешнему серверу.
Действие «Запустить исполняемый файл» позволяет при срабатывании определённых событий запускать исполняемый файл, например, для реагирования на инцидент.
Для создания правила МЭ необходимо выполнить следующие действия:
В блоке «Действие» выбрать «Правило межсетевого экрана».
В поле «Межсетевой экран ARMA» выбрать необходимый межсетевой экран из списка подключённых к ARMA MC.
Выбрать статус правила на переключателе «Статус правила» – «Активно»/«Неактивно».
Заполнить поле «Последовательность» порядковым номером. Последовательность определяет порядок исполнения правила.
Выбрать из выпадающего списка поля «Действие» необходимое действие над пакетом трафика. Доступные значения:
«Pass» – разрешить движение пакета;
«Drop» – отбросить пакет;
«Reject» – отбросить пакет и отправить уведомление отправителю.
Выбрать принцип совпадения на переключателе «Быстрая проверка». Включённое состояние переключателя «Быстрая проверка» соответствует принципу первого совпадения, выключенное - принципу последнего совпадения (Подробная информация о «Быстрой проверке» описана в Руководстве пользователя ARMA FW, раздел «Межсетевой экран» -> «Настройка правил МЭ»).
Выбрать из выпадающего списка поля «Интерфейс» один или несколько необходимых интерфейсов. Доступные значения:
«LAN»;
«OPT1»;
«OPT2»;
«WAN».
Выбрать из выпадающего списка поля «Направление» необходимое направление. Доступные значения:
«In» – входящий трафик;
«Out» – исходящий трафик.
Выбрать из выпадающего списка поля «Версия TCP/IP» необходимую версию. Доступные значения:
«IPv4»;
«IPv6».
Выбрать из выпадающего списка поля «Протокол» необходимый протокол.
Заполнить поле «Отправитель» IP-адресом отправителя.
При необходимости заполнить поле «Порт отправителя». Для диапазонов используется спецсимвол тире.
Выбрать необходимый параметр на переключателе «Инвертировать отправителя». При включенном состоянии переключателя «Инвертировать отправителя» правило будет применено для всех отправителей, кроме указанного в поле «Отправитель».
Заполнить поле «Получатель» IP-адресом получателя.
При необходимости заполнить поле «Порты получателя». Для диапазонов используется спецсимвол тире.
Выбрать необходимый параметр на переключателе «Инвертировать получателя». При включенном состоянии переключателя «Инвертировать получателя» правило будет применено для всех получателей, кроме указанного в поле «Получатель».
Выбрать необходимый параметр на переключателе «Журналирование».
При необходимости заполнить поле «Описание».
Нажать кнопку «Сохранить» в правом верхнем углу карточки правила корреляции.
Результатом срабатывания правила корреляции с типом действия «Правило межсетевого экрана» будет добавление правила МЭ в ARMA FW в раздел меню Межсетевой экран: API правила.
Примечание
При редактировании созданного правила корреляции с типом действия «Правило межсетевого экрана» при выборе другого МЭ в параметре «ARMA FW» текущие настройки будут сброшены.
Существует возможность импорта и экспорта правил корреляции в формате «json».
Для импорта правил корреляции необходимо на панели инструментов нажать кнопку «Импорт», в открывшейся форме проводника выбрать необходимый файл с правилами корреляции и нажать кнопку «Открыть» (см. Рисунок – Импорт правил корреляции).
