На первой стадии события обрабатываются с помощью компонента ArcSight SmartConnectors.
Сбор данных осуществляется ArcSight SmartConnectors различными способами с поддерживаемых системой источников событий. При этом возможны следующие варианты взаимодействия с источниками:
- коннектор получает события от источника по одному из протоколов, таких как Syslog или SNMP. SmartConnector выступает в роли сервера, а источник в роли клиента, при этом требуется конфигурация источника для взаимодействия с SmartConnectors.
- коннектор самостоятельно собирает события с источника. Для этого могут использоваться протоколы удаленного доступа к данным, такие как ODBC/JDBC, OPSEC , SMB/CIFS и другие.
Фильтрация событий позволяет отсеивать малозначительные события еще на уровне SmartConnector, при этом в Manager попадают только значимые и нужные для учета события. Для фильтрации событий используются пользовательские фильтры, которые могут быть составлены по любым полям события, кроме полей, которые присваиваются компонентом Manager в процессе обработки. Предварительная фильтрация возможна только на основе тех данных, которые имеются непосредственно в событии и доступны для компонента ArcSight SmartConnector.
Все коннекторы имеют возможность агрегации событий. При этом несколько событий, имеющих общие параметры, объединяются коннектором в одно событие, у которого указано общее количество исходных событий. Например, 10 событий от МЭ с одним и тем же адресом источника и назначения и результатом обработки (drop/accept) могут быть объединены в одно событие, с количеством повторений равным 10:
Использование механизма агрегации событий позволяет минимизировать количество событий, обрабатываемых компонентом Manager, тем самым увеличивая производительность системы.
Процесс нормализации представляет собой приведение всех событий к одному виду (схеме события), включающего в себя стандартные поля для данных события. В процессе нормализации также происходит конвертация всех временных меток к формату времени, относительно UMC (GMT).
Всем событиям, обрабатываемым компонентом ArcSight SmartConnectors, присваиваются категории. Категории не зависят от производителя продукта — источника событий, версии ПО источника событий, и позволяют создавать правила, фильтры и прочий контент, не привязанный к конкретному источнику, работающий для всех источников, как существующих в системе, так и добавленных позднее.
В качестве примера на рисунке представлены исходные события, которые были зафиксированы на межсетевом экране, и их отображение в системе ArcSight после категоризации и нормализации:
Перечень используемых в ArcSight ESM категорий и их описания приведены в Таблице:
№ | Наименование категории | Описание | Примеры значений |
1 | Object | Объект указывает на сущность, относительно которой происходит событие | ― Application― Operating system
― Resource ― Router ― User |
2 | Behavior | Behavior (поведение) указывает на то, что именно происходит с объектом | ― Access― Authentication
― Authorization ― Execute ― Modify |
3 | Outcome | Outcome (результат) описывает, было ли действие с объектом успешным или нет. Результат действия может быть успешным (success), неуспешным (failure) или может быть зафиксирована попытка (attempt). Регистрация попытки означает, что действие не было ни успешным, ни неуспешным, и что результат выполнения действия неясен, то есть нельзя сделать однозначного вывода о результате действия. | ― Attempt― Failure
― Success |
4 | Technique | Technique (техника) описывает сущность действия, которое описывает событие. Если событие описывает атаку, то это поле описывает метод атаки. | ― Exploit― Brute force
― Code execution ― Scan ― Denial of service |
5 | Device Group | Многие устройства выполняют несколько задач, например, IPS-система может генерировать события, аналогичные событиям от МСЭ, так же как и собственно IPS-события.Категория DeviceGroup указывает на тип события. Это позволяет искать все события одного типа, такие как события МСЭ. Например, в случае запроса всех МСЭ-событий могут быть найдены события от IPS и от операционных систем (такие как события iptables). | ― Assessment tool― Security info manager
― Firewall ― IDS ― Identity Management ― Operating System ― Network equipment ― VPN |
6 | Significance | Significance (значимость) указывает на относительную величину риска информационной безопасности, связанного с событием. Данное значение основывается на различных данных, таких как данные самого устройства о событии, данные о сетевой модели в ESM и значения других категорий.Значения в этой категории могут быть использованы операторами системы для понимания сути события, для того чтобы определить, какие из событий следует расследовать в первую очередь. Если событие представляет нормальную активность, вероятно, его не следует расследовать. Если же событие считается подозрительным (suspicious), враждебным (hostile) или компрометирующим информационную систему (compromise), оно скорее всего потребует расследования. | ― Normal― Informational
― Reconnaissance ― Suspicious ― Hostile ― Compromise |