Обработка событий в системе ArcSight

На первой стадии события обрабатываются с помощью компонента ArcSight SmartConnectors.

Сбор данных осуществляется ArcSight SmartConnectors различными способами с поддерживаемых системой источников событий. При этом возможны следующие варианты взаимодействия с источниками:

  •       коннектор получает события от источника по одному из протоколов, таких как Syslog или SNMP. SmartConnector выступает в роли сервера, а источник в роли клиента, при этом требуется конфигурация источника для взаимодействия с SmartConnectors.
  •       коннектор самостоятельно собирает события с источника. Для этого могут использоваться протоколы удаленного доступа к данным, такие как ODBC/JDBC, OPSEC , SMB/CIFS и другие.

Фильтрация событий позволяет отсеивать малозначительные события еще на уровне SmartConnector, при этом в Manager попадают только значимые и нужные для учета события. Для фильтрации событий используются пользовательские фильтры, которые могут быть составлены по любым полям события, кроме полей, которые присваиваются компонентом Manager в процессе обработки. Предварительная фильтрация возможна только на основе тех данных, которые имеются непосредственно в событии и доступны для компонента ArcSight SmartConnector.

Все коннекторы имеют возможность агрегации событий. При этом несколько событий, имеющих общие параметры, объединяются коннектором в одно событие, у которого указано общее количество исходных событий. Например, 10 событий от МЭ с одним и тем же адресом источника и назначения и результатом обработки (drop/accept) могут быть объединены в одно событие, с количеством повторений равным 10:

Использование механизма агрегации событий позволяет минимизировать количество событий, обрабатываемых компонентом Manager, тем самым увеличивая производительность системы.

Процесс нормализации представляет собой приведение всех событий к одному виду (схеме события), включающего в себя стандартные поля для данных события. В процессе нормализации также происходит конвертация всех временных меток к формату времени, относительно UMC (GMT).

Всем событиям, обрабатываемым компонентом ArcSight SmartConnectors, присваиваются категории. Категории не зависят от производителя продукта — источника событий, версии ПО источника событий, и позволяют создавать правила, фильтры и прочий контент, не привязанный к конкретному источнику, работающий для всех источников, как существующих в системе, так и добавленных позднее.

В качестве примера на рисунке представлены исходные события, которые были зафиксированы на межсетевом экране, и их отображение в системе ArcSight после категоризации и нормализации:

Перечень используемых в ArcSight ESM категорий и их описания приведены в Таблице:

Наименование категории Описание Примеры значений
1 Object Объект указывает на сущность, относительно которой происходит событие ―    Application―    Operating system

―    Resource

―    Router

―    User
2 Behavior Behavior (поведение) указывает на то, что именно происходит с объектом ―    Access―    Authentication

―    Authorization

―    Execute

―    Modify
3 Outcome Outcome (результат) описывает, было ли действие с объектом успешным или нет. Результат действия может быть успешным (success), неуспешным (failure) или может быть зафиксирована попытка (attempt). Регистрация попытки означает, что действие не было ни успешным, ни неуспешным, и что результат выполнения действия неясен, то есть нельзя сделать однозначного вывода о результате действия. ―    Attempt―    Failure

―    Success
4 Technique Technique (техника) описывает сущность действия, которое описывает событие. Если событие описывает атаку, то это поле описывает метод атаки. ―    Exploit―    Brute force

―    Code execution

―    Scan

―    Denial of service
5 Device Group Многие устройства выполняют несколько задач, например, IPS-система может генерировать события, аналогичные событиям от МСЭ, так же как и собственно IPS-события.Категория DeviceGroup указывает на тип события. Это позволяет искать все события одного типа, такие как события МСЭ. Например, в случае запроса всех МСЭ-событий могут быть  найдены события от IPS и от операционных систем (такие как события iptables). ―    Assessment tool―    Security info manager

―    Firewall

―    IDS

―    Identity Management

―    Operating System

―    Network equipment

―    VPN
6 Significance Significance (значимость) указывает на относительную величину риска информационной безопасности, связанного с событием. Данное значение основывается на различных данных, таких как данные самого устройства о событии, данные о сетевой модели в ESM и значения других категорий.Значения в этой категории могут быть использованы операторами системы для понимания сути события, для того чтобы определить, какие из событий следует расследовать в первую очередь. Если событие представляет нормальную активность, вероятно, его не следует расследовать. Если же событие считается подозрительным (suspicious), враждебным (hostile) или компрометирующим информационную систему (compromise), оно скорее всего потребует расследования. ―    Normal―    Informational

―    Reconnaissance

―    Suspicious

―    Hostile

―    Compromise