HP ArcSight Express: разворачиваем SIEM под 152-ФЗ с корреляцией по AD
Разворачиваем HP ArcSight Express для клиента с требованиями 152-ФЗ: коллектор на 800 EPS, корреляционные правила для bruteforce и аномалий в Active Directory.
HP ArcSight становится лидером рынка SIEM после поглощения HP компании ArcSight в 2010 году
После того как HP в прошлом году купила ArcSight за полтора миллиарда, продукт резко перестал быть нишевым инструментом только для государственных заказчиков. Коммерческие клиенты, у которых есть требования по защите персональных данных, начали интересоваться SIEM всерьёз - и не только в формате «посмотреть на демо». Один из таких клиентов обратился к нам с конкретным запросом: развернуть ArcSight Express, настроить сбор событий с инфраструктуры и получить работающие корреляционные правила под требования 152-ФЗ.
Клиент - средний финансовый сектор, около 200 рабочих мест, Active Directory, Windows Server 2008 R2, несколько файловых серверов и SQL-сервер с персональными данными. Нагрузка по событиям безопасности оценивалась в 600-900 EPS в пике.
Почему Express, а не ESM
ArcSight выпускает несколько редакций. Enterprise Security Manager - это полный стек: отдельные серверы под Logger, Connector Appliance, ESM. Для клиента масштаба 200 рабочих мест это избыточно по деньгам и по инфраструктуре. Express - всё в одной виртуальной машине: коллектор, коррелятор, хранилище, веб-интерфейс. Лицензируется по EPS, разворачивается за день.
Нас устраивало одно ограничение Express: корреляционные правила нельзя писать с нуля в полноценном редакторе, как в ESM - доступны готовые пакеты и ограниченная кастомизация через веб-интерфейс. Для задач клиента этого хватало.
Архитектура сбора
Источники событий, которые подключали:
- Windows Security Log со всех контроллеров домена - это ядро: события аутентификации, изменения в AD, политики аудита.
- Windows Security Log с файловых серверов - доступ к папкам с персональными данными, события 4663 (успешный доступ к объекту) и 4656 (запрос доступа).
- SQL Server Audit - запросы к таблицам с ПДн, изменение прав, попытки доступа без нужных ролей.
- Межсетевой экран - Cisco ASA, syslog в ArcSight через SmartConnector.
Транспорт на Windows-хостах - ArcSight SmartConnector for Windows Event Log, ставится как сервис, пересылает события по TCP в коллектор Express. На ASA - стандартный syslog UDP 514.
Пиковая нагрузка вышла около 820 EPS в момент утренней аутентификации, когда все 200 человек заходят в течение 20 минут. Express держал без видимых проблем, очереди не росли. Для подстраховки выставили буфер SmartConnector на локальном диске каждого хоста - если коллектор недоступен, события копятся и досылаются после восстановления соединения.
Корреляционные правила
Основная ценность SIEM - не сбор логов (с этим rsyslog справляется дешевле), а именно корреляция: из тысяч событий в минуту выделить те паттерны, которые требуют внимания. Настраивали два класса правил.
Bruteforce по AD. Правило простое по логике, но требует аккуратной настройки порогов: X неуспешных аутентификаций (EventID 4625) с одного источника за Y минут на одну учётную запись. Из коробки в ArcSight есть похожие шаблоны, но они требовали коррекции - дефолтные пороги слишком низкие и давали много шума от легитимных ситуаций: залочившиеся сессии на терминальных серверах, сервисные аккаунты с просроченным паролем. После нескольких итераций пришли к значениям, при которых правило срабатывает на реальные атаки, а не на понедельничный утренний хаос.
Важный момент: правило смотрит не только на количество отказов, но и на успешную аутентификацию после серии неудач (EventID 4624 после нескольких 4625). Это признак успешного подбора - отдельный, более критичный алерт.
Аномальное поведение пользователей AD. Здесь интереснее. Настроили несколько паттернов:
- Аутентификация в нерабочее время для учётных записей, у которых нет истории ночных входов. Базовый профиль строится по первым двум неделям работы правила.
- Вход одной учётной записи с разных рабочих станций в течение короткого промежутка - признак либо переданных credentials, либо компрометации.
- Изменение членства в привилегированных группах (Domain Admins, Backup Operators) - EventID 4728, 4732, мгновенный алерт без всякой корреляции, просто факт.
- Первый вход с новой рабочей станции для учётных записей из критичных групп.
Последний паттерн дал несколько срабатываний в первую же неделю - один из администраторов работал удалённо через новый ноутбук, который не значился в привычном профиле. Ложное срабатывание, но именно такого рода.
Что оказалось сложнее, чем ожидалось
Нормализация событий от SQL Server. ArcSight SmartConnector for Microsoft SQL Server умеет парсить SQL Server Audit, но конкретная конфигурация аудита на стороне SQL - какие события писать, в какой формат - сильно влияет на то, что коннектор в итоге получает. Провозились с этим неприятно долго: часть событий шла в корректно распознанном формате, часть - в raw, которую коррелятор не мог использовать для правил. Решили через явную настройку Extended Events на SQL-стороне вместо стандартного SQL Audit.
Второй момент - управление исключениями. Сервисные аккаунты, скрипты резервного копирования, агенты мониторинга - всё это генерирует события, которые в теории выглядят подозрительно, но на практике легитимны. Без аккуратно настроенных exclusion-листов правила тонут в шуме. На это ушла примерно треть всего времени внедрения.
Текущее состояние
Система работает второй месяц. Правила настроены, дежурный персонал клиента разобрался с интерфейсом алертов. Несколько реальных инцидентов уже обработано: заблокированный аккаунт из-за старого пароля в cron-задаче на сервере, попытка перебора пароля с внешнего IP через VPN-шлюз.
По 152-ФЗ SIEM закрывает требование к регистрации событий безопасности и хранению журналов - журналы ArcSight Express хранит в собственном защищённом хранилище с контролем целостности. Для аудита информационной безопасности это даёт документируемую доказательную базу, а не просто слова о том, что «логи где-то есть».
Следующим шагом планируем подключить антивирусные события и расширить правила на аномалии по файловым серверам - сейчас там только прямой доступ к ПДн, хочется видеть паттерны массового копирования файлов.