Представим ситуацию. Вы хотите выстроить процесс реагирования на ИБ-инциденты в компании. Для этого нужно вовремя фиксировать атаки на вашу инфраструктуру. Вы решаете собирать логи и мониторить все, до чего можете дотянуться: хосты, межсетевые экраны, антивирусы, пользовательские устройства. Логов много, они разные. В таком объеме данных сложно вычленить что-то полезное даже самому опытному ИБ-специалисту. А вам нужно, чтобы в нем могли разобраться дежурные администраторы (первая линия техподдержки), которые знают только базу, но зато на посту 24 на 7. Они должны фиксировать аномалии, реагировать на типовые угрозы по регламенту, а сложные кейсы дальше передавать профильным ИБ-инженерам для  купирования и расследования атак.
Именно с такой задачей мы имели дело, когда решили выстроить такую систему реагирования на ИБ-угрозы в нашем облаке NGcloud. Меня зовут Иван, я занимаюсь защитой облачной инфраструктуры. Сегодня я расскажу, как мы организовали все вышеперечисленное при помощи Wazuh.  

Почему выбрали Wazuh?

Мы искали решение, которое помогло бы нам:

• организовать централизованный сбор логов с конечных устройств/серверов Linux и Windows, средств защиты информации и средств виртуализации;

• привести логи к стандартизованному формату;

• понятно визуализировать нужные данные на видеостене в центре мониторинга, где находятся наши дежурные инженеры; 

• настроить оповещения об аномалиях для нашей первой линии технической поддержки.

Мы рассматривали решения класса SIEM отечественных и зарубежных производителей, коммерческие и open-source. Нам важно было, чтобы решение было доступно на российском рынке и у него была поддержка в том или ином виде. Также важна была стоимость, так как SIEM в целом это недешёвое удовольствие. В итоге под наши критерии лучше всего подошел Wazuh. Это open-source ПО с большим функционалом и активным сообществом, к которому можно обратиться за помощью. У него много разных модулей, и его можно собирать, как конструктор. В нашем случае мы используем Wazuh как SIEM и XDR (Extended Detection and Response) решение. Он собирает логи и данные журналов с устройств в management-сегменте облака NGcloud, визуализирует и анализирует их и в результате  помогает обнаруживать вторжения, вредоносные программы, уязвимости программ и мониторить целостность файлов.

Wazuh в нашем исполнении

Wazuh умеет собирать логи двумя способами:

1. При помощи агентов, которые устанавливаются на конечные устройства: серверы, виртуальные машины, — и отправляют все необходимые логи в сторону Wazuh.

2. Безагентский способ, при котором на Wazuh открывается порт под новый источник и syslog’ом направляются логи. Так, например, происходит с NGAF Sangfor.

Все логи приводятся к единому формату JSON. Для нормализации логов мы используем Fluentd, работающий как syslog. С Fluentd логи отправляются на балансировщик для последующей обработки. С балансировщика логи поступают на серверы Wazuh, откуда они уходят в базу данных Indexer. Оттуда информация попадает на дашборд, где визуализируется в графиках и таблицах.

Какие логи собираем?

Сам по себе сбор логов — это только часть процесса по отслеживанию и реагированию на ИБ-события. Если мы возьмем отдельно логи с баз данных SQL, Linux серверов, vCenter и входящего трафика в облако, то в сухом остатке получим огромный массив информации. В нем будет много лишнего, сложно будет найти нужные данные и проанализировать их. К тому же, отдельно взятые логи не дадут нам полезной информации. Поэтому сначала стоит понять, какая информация для нас важна и что нам пригодится для настройки визуализации и алертов. 

Мы снимаем логи с двух групп устройств: 

1. Средства безопасности. Тут главными являются:

NGAF Sangfor. Он установлен на периметре облака NGcloud и фильтрует трафик, который идет к managment-сегменту облака. От  NGAF Sangfor мы получаем:

• информацию об обнаруженных и заблокированных атаках — события IPS, потокового антивируса, сигнатурный анализ модуля WAF и других модулей безопасности, трафик, проходящий в management-сегмент облако и из него. 

• системные журналы: авторизации в системе, действий администраторов, нагрузки устройства, а также изменений конфигурации.

Все эти логи позволяют оценить то, что происходит внутри management-сегмента, и как он взаимодействует с внешним миром.

Kaspersky Security Center. Управляет всеми Endpoint Security, установленными на устройствах management-сегмента облака. Логи, которые мы собираем с KSC, помогают понять, что происходит внутри инфраструктуры облака, на конечных устройствах:

• статусы антивируса и агентов администрирования, обновление сигнатурных баз;

• попытки изменения политик групп устройств;

• срабатывание модулей безопасности KES: файлового антивируса, веб-защиты, защиты от сетевых атак, обнаружения эксплойтов и т. д.

Список не ограничивается только Sangfor NGAF и KSC. Еще есть сканеры, которые ищут уязвимости, многофакторная аутентификация и прочее, но в статье мы не будем на них останавливаться подробно.

2. Объекты инфраструктуры. Главная задача сбора логов на этом уровне — это отслеживание действий администраторов: как и куда они подключаются, используют ли второй фактор и прочее. Здесь мы следим за:

Серверами Linux и Windows, которые отвечают за работу management-сегмента NGcloud;
- журналы безопасности: попытки перебора пользователей и групп, блокировки и разблокировки устройств, успешные/неуспешные авторизации в системе, выполнение изменений в файлах, конфигурации системы и прочее.

VMware vCenter:

• журнал событий для VMware Authentication Framework — службы LDAP;

• журнал подключений к серверу vCenter;

• отчеты о работоспособности расширения служб лицензирования.

Помимо сбора логов Wazuh помогает нам отслеживать изменения контрольных сумм файлов (это, кстати, требуется по стандартам PCI DSS и ГОСТ Р 57580). Благодаря этому мы можем фиксировать несанкционированные изменения в системном ПО, например, включение вредоносного кода. Агент Wazuh также выполняет функцию аудита (compliance), проводя инвентаризацию установленного ПО и ОС на конечных устройствах: какой софт установлен, какой версии и сборки.

Как проводится мониторинг и первоначальная обработка поступающих событий?

Итак, нужные логи у нас есть, они обрабатываются и выводятся в виде графиков на экран центра мониторинга. Дальше вступают в дело дежурные администраторы. О том, как происходит анализ и обработка данных, расскажу на примере данных с Sangfor NGAF.

На дашборд выводится основная информация со сработками модулей безопасности: IPS, антивируса, WAF, сканера и других.

Посмотрим эти графики чуть поближе. Ниже представлена гистограмма сработок модуля IPS в единицу времени. Тут наша первая линия сможет зафиксировать аномальные всплески трафика, превышающие в несколько раз обычный уровень. 

На дополнительных графиках отображаются таблицы с топ-10 источников (source-IP), которые были заблокированы, как потенциально атакующие. Информация о топе source-IP важна для того, чтобы понять, с каких IP-адресов идет атака. Если с IP одного или нескольких идет большое количество запросов (10—15 запросов за короткий период времени), то дежурной смене необходимо проверить данные адреса. Скорее всего, это таргетированная атака.

В графике с IP назначений соответственно можно увидеть, на какие ресурсы компании идет атака:

В таблице с событиями IPS представлена информация о том, какие атаки идут в настоящее время и были заблокированы, на что они нацелены, а также какую уязвимость они пытаются эксплуатировать.

Последняя таблица, которая доступна дежурным администраторам, это топ-10 сигнатур, которые были заблокированы за последний промежуток времени.

На основе этих графиков и таблиц дежурный администратор может провести первичную аналитику, когда видит всплеск или аномалии. То есть он берет:

• IP-адреса, с которых идет атака (IP-source);

• целевые ресурсы (IP-destination), на которые направлены атаки;

• данные о том, на какие уязвимости злоумышленники пытаются воздействовать.
  Всю эту информацию он передает профильным ИБ-специалистам, которые уже делают заключение о серьезности атаки и предпринимают меры для ее отражения.

Что получили в итоге

С помощью Wazuh мы смогли централизованно собирать и визуализировать нужные нам логи management-сегмента облака NGcloud. Теперь эта информация в удобном виде доступна для дежурных администраторов на дашбордах в центре мониторинга. 

Такой подход позволил нам ускорить работу с логами: не нужно ходить по отдельным устройствам и тратить время на их приведение в стандартизованный вид. А главное, работать с логами могут теперь не только ИБ-инженеры, но и ИТ-специалисты первой линии техподдержки, не имеющие доступа на каждое отдельное СЗИ. Сбор логов, их визуализация и первичный анализ дежурными администраторами вкупе с регламентами помогли нам выстроить круглосуточный процесс отслеживания и реагирования на ИБ-события, не увеличивая  при этом штат ИБ-специалистов.

На этом наши ожидания от Wazuh и его возможности не исчерпываются. Сейчас мы активно работаем над настройкой корреляций, которые позволят нам фиксировать ИБ-инциденты в облачной инфраструктуре в автоматизированном виде. Какие корреляци и для чего мы используем, расскажем в следующей статье.