Dan sepertinya tidak ada pertanda baik, tetapi pada titik tertentu, pemikiran tentang perlunya bekerja dengan platform alternatif muncul dan menjadi semakin gigih. Dan lokomotif utama di sini adalah pengembangan aktif pusat-pusat GosSOPKA. Untuk menjadi salah satu pusat ini, kami harus menggunakan perangkat lunak yang disediakan"Jaminan dan dukungan teknis oleh organisasi Rusia yang tidak berada di bawah kendali langsung atau tidak langsung dari individu dan (atau) badan hukum asing" (Perintah FSB tertanggal 06.05.2019 No. 196, klausul 3.4). Bagaimana kami
Bidikan dari serial animasi "Catdog"
Kami telah mendengar bahwa ada SOC yang
- Solusi mana yang harus dipilih?
- Bagaimana cara mengintegrasikan sistem SIEM baru ke dalam operasi TIER1?
- Bagaimana semua integrasi internal yang ArcSight saat ini harus ditransfer ke platform baru?
- Bagaimana cara menyinkronkan ideologi pengembangan konten SIEM dan menyediakan set aturan deteksi yang simetris?
Memilih solusi bukanlah tugas yang mudah. Di mana-mana kami harus menyelam ke dalam pusaran air, yang kedalamannya tidak dapat kami perkirakan. Akibatnya, kami memutuskan untuk membuat pilihan dengan cara yang berbeda - menggunakan SIEM dari vendor, yang menjanjikan kami peningkatan prioritas tinggi sesuai dengan kebutuhan kami dan yang kami janjikan. Dengan demikian, kemitraan teknologi dengan Positive Technologies lahir dan MaxPatrol SIEM muncul di corong SIEM kami.
Oke, kami memiliki platform baru. Tapi siapa yang akan bekerja dengannya?
Sejujurnya, pada awalnya kami merasa bahwa kami tidak dapat melakukannya tanpa tim kedua yang bekerja secara paralel dengan perangkat baru. Perasaan ini diperkuat oleh fakta bahwa bahkan lini analis senior yang berpartisipasi dalam pengujian SIEM kedua merasa sulit untuk menerimanya. Oleh karena itu, konsep awalnya digambar sebagai berikut: dua baris TIER1, masing-masing diasah dengan instrumennya sendiri, dan TIER2 multi platform. Dengan faktor kesiapan multiplatform sebagai faktor pertumbuhan seorang spesialis dari T1 hingga T2.
Sekitar waktu inilah kami mengumpulkan cukup banyak alasan untuk membagi jalur pertama kami menjadi TIER1 dan TIER2 (lebih lanjut tentang ini di seri artikel lain). Dan karena dalam konsep awal T2 harus bekerja dengan kedua platform, kami mengubah semua insiden MP SIEM menjadi jalur ke-2, yang dibentuk dari pejuang pertama yang paling berpengalaman yang dibenamkan dalam SIEM baru. Ke depan, saya akan mengatakan bahwa insinyur dari baris ke-2 menganggap MP SIEM lebih positif daripada rekan analis senior mereka - ini memberi kami harapan bahwa platform dapat mendarat sepenuhnya dan di baris pertama, dan tidak memagari beberapa yang khusus.
Masalah integrasi ke dalam satu ekosistem juga tidak sesakit yang kami harapkan - mungkin hal ini terbantu oleh fakta bahwa fleksibilitas dan redundansi konfigurasi pada awalnya dimasukkan dalam mekanisme integrasi yang dikembangkan. Tidak ada kemenangan besar yang ingin saya banggakan. Kami dengan cepat memasukkan sistem baru ke dalam ekosistem dan proses investigasi, dan sekarang pemrosesan insiden dari berbagai SIEM berbeda untuk orang-orang hanya dalam antarmuka SIEM itu sendiri. Semua mekanisme perutean dan prioritas, semua memperkaya informasi pengambilan keputusan, semua templat pemberitahuan identik dan berada di tempat yang sama.
Bagaimana dengan konten?
Anda tidak dapat melangkah jauh dengan SIEM "kosong" tanpa konten (aturan untuk menghubungkan peristiwa keamanan informasi dan mengidentifikasi insiden) dan Anda tidak akan mengungkapkan banyak ancaman (kami tidak menggunakan konten dalam kotak), sehingga tugas untuk segera mengembangkan aturan korelasi pada platform baru untuk skenario JSOC yang ada muncul. Pada awalnya, kami memutuskan untuk bertahan dengan sedikit darah dan mentransfer aturan dari ArcSight dengan menyalin logika implementasi, tetapi ini ternyata adalah kesalahan yang kami bakar dengan serius: arsitektur produk yang sama sekali berbeda membutuhkan pendekatan "sendiri" untuk pengembangan. Saya harus melakukan pendekatan ini, dan dengan kecepatan yang dipercepat. Interaksi yang erat dengan vendor sangat membantu, yang memberi nasihat tentang masalah yang muncul, menerapkan permintaan kami untuk menyempurnakan yang ada dan membuat chip baru dalam fungsi tersebut.Sisi lain dari koin ini adalah kami secara teratur harus menulis ulang konten agar berfungsi dengan benar pada fungsi yang sangat baru ini. Tapi, seperti yang mereka katakan, berubah atau mati, jadi kami tidak mengeluh (yah, kecuali mungkin di dalam tim sambil minum teh).
Pada tahap awal, hanya analis lini ke-4 yang berpengalaman, yang memakan anjing saat bekerja dengan ArcSight, yang terlibat dalam pengembangan konten untuk SIEM baru. Anehnya, beberapa orang telah mengalami deformasi profesional pada saat itu dan telah membentuk "ketergantungan" pada SIEM tertentu dengan tingkat kematangan yang tinggi. Beralih ke platform baru sulit bagi mereka baik secara psikologis maupun teknis. Kemudian, tim pengembangan diperluas secara signifikan dengan anggota baru, termasuk. orang-orang dari baris ke-3, dan hanya untuk mereka topik ini menjadi jauh lebih mudah dan bahkan lebih produktif.
Terlepas dari daftar skenario lintas sektoral untuk kedua SIEM, implementasinya dapat sangat berbeda, terutama karena keterbatasan dalam arsitektur dan fungsionalitas platform yang berbeda. Misalnya, di ArcSight, di aturan korelasi, Anda tidak bisa menentukan pemeriksaan keberadaan rekaman di lembar aktif dengan pencocokan non-ketat, tetapi di MP SIEM Anda bisa. Di sisi lain, MP SIEM tidak menghasilkan kejadian internal untuk menambah atau menghapus rekaman dari daftar tabel, tetapi ArcSight dapat melakukan ini, dan dalam sejumlah skenario fitur ini digunakan. Saya harus
Pada saat yang sama, sangat penting untuk menyampaikan ke baris pertama bahwa logika investigasi insiden tidak bergantung pada SIEM mana mereka dibuat, dan bahwa SIEM baru adalah alat baru untuk menyelesaikan semua tugas yang sama. Ia memiliki karakteristik tersendiri yang harus dipelajari, tetapi tidak ada yang berubah secara radikal.
Dan pekerjaan di baris pertama mulai mendidih
Pendalaman TIER1 dalam bekerja dengan MP SIEM berlangsung secara bertahap dan melalui proses yang disesuaikan dengan commissioning karyawan baru. Kriteria insiden ditentukan, yang tidak terlalu menakutkan untuk diberikan ke dalam analisis baris pertama, yang belum memiliki banyak pengalaman dengan MP SIEM:
- detail insiden kritis rendah (host / jaringan dan akun yang tidak dikategorikan);
- timing SLA yang lama;
- intensitas tenaga kerja yang rendah dari insiden tersebut (kami telah mengumpulkan statistik saat memproses insiden di TIER2);
- aturan korelasi tidak terlalu marah (ya, baris pertama harus melihat di sana).
Skenario sesuai dengan kriteria ini dibagi menjadi beberapa tahap dan diserahkan kepada teknisi TIER1 satu per satu - setelah melewati "kredit" dan mendapatkan akses ke solusi dari kumpulan insiden.
Akibatnya, kami memiliki dua SIEM dalam portofolio alat kami, di mana skenario yang benar-benar identik pada intinya dan logika pemrosesan diluncurkan.
Alexey Krivonogov, Wakil Direktur Solar JSOC untuk Pengembangan Jaringan Regional