Как Wazuh помог наладить круглосуточный мониторинг и реагирование на ИБ-события
Представим ситуацию. Вы хотите выстроить процесс реагирования на ИБ-инциденты в компании. Для этого нужно вовремя фиксировать атаки на вашу инфраструктуру. Вы решаете собирать логи и мониторить все, до чего можете дотянуться: хосты, межсетевые экраны, антивирусы, пользовательские устройства. Логов много, они разные. В таком объеме данных сложно вычленить что-то полезное даже самому опытному ИБ-специалисту. А вам нужно, чтобы в нем могли разобраться дежурные администраторы (первая линия техподдержки), которые знают только базу, но зато на посту 24 на 7. Они должны фиксировать аномалии, реагировать на типовые угрозы по регламенту, а сложные кейсы дальше передавать профильным ИБ-инженерам для купирования и расследования атак.
Именно с такой задачей мы имели дело, когда решили выстроить такую систему реагирования на ИБ-угрозы в нашем облаке NGcloud. Меня зовут Иван, я занимаюсь защитой облачной инфраструктуры. Сегодня я расскажу, как мы организовали все вышеперечисленное при помощи Wazuh.
Почему выбрали Wazuh?
Мы искали решение, которое помогло бы нам:
— организовать централизованный сбор логов с конечных устройств/серверов Linux и Windows, средств защиты информации и средств виртуализации;
— привести логи к стандартизованному формату;
— понятно визуализировать нужные данные на видеостене в центре мониторинга, где находятся наши дежурные инженеры;
— настроить оповещения об аномалиях для нашей первой линии технической поддержки.
Мы рассматривали решения класса SIEM отечественных и зарубежных производителей, коммерческие и open-source. Нам важно было, чтобы решение было доступно на российском рынке и у него была поддержка в том или ином виде. Также важна была стоимость, так как SIEM в целом это недешёвое удовольствие. В итоге под наши критерии лучше всего подошел Wazuh. Это open-source ПО с большим функционалом и активным сообществом, к которому можно обратиться за помощью. У него много разных модулей, и его можно собирать, как конструктор. В нашем случае мы используем Wazuh как SIEM и XDR (Extended Detection and Response) решение. Он собирает логи и данные журналов с устройств в management-сегменте облака NGcloud, визуализирует и анализирует их и в результате помогает обнаруживать вторжения, вредоносные программы, уязвимости программ и мониторить целостность файлов.
Схема облака NGcloud, аттестованного по 152-ФЗ (УЗ-1).
Wazuh в нашем исполнении
Wazuh умеет собирать логи двумя способами:
1. При помощи агентов, которые устанавливаются на конечные устройства: серверы, виртуальные машины, — и отправляют все необходимые логи в сторону Wazuh.
2. Безагентский способ, при котором на Wazuh открывается порт под новый источник и syslog«ом направляются логи. Так, например, происходит с NGAF Sangfor.
Все логи приводятся к единому формату JSON. Для нормализации логов мы используем Fluentd, работающий как syslog. С Fluentd логи отправляются на балансировщик для последующей обработки. С балансировщика логи поступают на серверы Wazuh, откуда они уходят в базу данных Indexer. Оттуда информация попадает на дашборд, где визуализируется в графиках и таблицах.
Схема работы и передачи логов в Wazuh.
Какие логи собираем?
Сам по себе сбор логов — это только часть процесса по отслеживанию и реагированию на ИБ-события. Если мы возьмем отдельно логи с баз данных SQL, Linux серверов, vCenter и входящего трафика в облако, то в сухом остатке получим огромный массив информации. В нем будет много лишнего, сложно будет найти нужные данные и проанализировать их. К тому же, отдельно взятые логи не дадут нам полезной информации. Поэтому сначала стоит понять, какая информация для нас важна и что нам пригодится для настройки визуализации и алертов.
Мы снимаем логи с двух групп устройств:
Средства безопасности. Тут главными являются:
NGAF Sangfor. Он установлен на периметре облака NGcloud и фильтрует трафик, который идет к managment-сегменту облака. От NGAF Sangfor мы получаем:
информацию об обнаруженных и заблокированных атаках — события IPS, потокового антивируса, сигнатурный анализ модуля WAF и других модулей безопасности, трафик, проходящий в management-сегмент облако и из него.
системные журналы: авторизации в системе, действий администраторов, нагрузки устройства, а также изменений конфигурации.
Все эти логи позволяют оценить то, что происходит внутри management-сегмента, и как он взаимодействует с внешним миром.
Kaspersky Security Center. Управляет всеми Endpoint Security, установленными на устройствах management-сегмента облака. Логи, которые мы собираем с KSC, помогают понять, что происходит внутри инфраструктуры облака, на конечных устройствах:
— статусы антивируса и агентов администрирования, обновление сигнатурных баз;
— попытки изменения политик групп устройств;
— срабатывание модулей безопасности KES: файлового антивируса, веб-защиты, защиты от сетевых атак, обнаружения эксплойтов и т. д.
Список не ограничивается только Sangfor NGAF и KSC. Еще есть сканеры, которые ищут уязвимости, многофакторная аутентификация и прочее, но в статье мы не будем на них останавливаться подробно.
2. Объекты инфраструктуры. Главная задача сбора логов на этом уровне — это отслеживание действий администраторов: как и куда они подключаются, используют ли второй фактор и прочее. Здесь мы следим за:
Серверами Linux и Windows, которые отвечают за работу management-сегмента NGcloud;
— журналы безопасности: попытки перебора пользователей и групп, блокировки и разблокировки устройств, успешные/неуспешные авторизации в системе, выполнение изменений в файлах, конфигурации системы и прочее.
VMware vCenter
— журнал событий для VMware Authentication Framework — службы LDAP;
— журнал подключений к серверу vCenter;
— отчеты о работоспособности расширения служб лицензирования.
Помимо сбора логов Wazuh помогает нам отслеживать изменения контрольных сумм файлов (это, кстати, требуется по стандартам PCI DSS и ГОСТ Р 57580). Благодаря этому мы можем фиксировать несанкционированные изменения в системном ПО, например, включение вредоносного кода. Агент Wazuh также выполняет функцию аудита (compliance), проводя инвентаризацию установленного ПО и ОС на конечных устройствах: какой софт установлен, какой версии и сборки.
Как проводится мониторинг и первоначальная обработка поступающих событий?
Итак, нужные логи у нас есть, они обрабатываются и выводятся в виде графиков на экран центра мониторинга. Дальше вступают в дело дежурные администраторы. О том, как происходит анализ и обработка данных, расскажу на примере данных с Sangfor NGAF.
Центр мониторинга в дата-центре Nubes Alto, где дежурные администраторы в том числе видят ИБ-события, полученные с помощью Wazuh.
На дашборд выводится основная информация со сработками модулей безопасности: IPS, антивируса, WAF, сканера и других.
Вот так выглядит основной экран по мониторингу ИБ-событий.
Посмотрим эти графики чуть поближе. Ниже представлена гистограмма сработок модуля IPS в единицу времени. Тут наша первая линия сможет зафиксировать аномальные всплески трафика, превышающие в несколько раз обычный уровень.
На дополнительных графиках отображаются таблицы с топ-10 источников (source-IP), которые были заблокированы, как потенциально атакующие. Информация о топе source-IP важна для того, чтобы понять, с каких IP-адресов идет атака. Если с IP одного или нескольких идет большое количество запросов (10—15 запросов за короткий период времени), то дежурной смене необходимо проверить данные адреса. Скорее всего, это таргетированная атака.
В графике с IP назначений соответственно можно увидеть, на какие ресурсы компании идет атака:
В таблице с событиями IPS представлена информация о том, какие атаки идут в настоящее время и были заблокированы, на что они нацелены, а также какую уязвимость они пытаются эксплуатировать.
Последняя таблица, которая доступна дежурным администраторам, это топ-10 сигнатур, которые были заблокированы за последний промежуток времени.
На основе этих графиков и таблиц дежурный администратор может провести первичную аналитику, когда видит всплеск или аномалии. То есть он берет:
— IP-адреса, с которых идет атака (IP-source);
— целевые ресурсы (IP-destination), на которые направлены атаки;
— данные о том, на какие уязвимости злоумышленники пытаются воздействовать.
Всю эту информацию он передает профильным ИБ-специалистам, которые уже делают заключение о серьезности атаки и предпринимают меры для ее отражения.
Что получили в итоге
С помощью Wazuh мы смогли централизованно собирать и визуализировать нужные нам логи management-сегмента облака NGcloud. Теперь эта информация в удобном виде доступна для дежурных администраторов на дашбордах в центре мониторинга.
Такой подход позволил нам ускорить работу с логами: не нужно ходить по отдельным устройствам и тратить время на их приведение в стандартизованный вид. А главное, работать с логами могут теперь не только ИБ-инженеры, но и ИТ-специалисты первой линии техподдержки, не имеющие доступа на каждое отдельное СЗИ. Сбор логов, их визуализация и первичный анализ дежурными администраторами вкупе с регламентами помогли нам выстроить круглосуточный процесс отслеживания и реагирования на ИБ-события, не увеличивая при этом штат ИБ-специалистов.
На этом наши ожидания от Wazuh и его возможности не исчерпываются. Сейчас мы активно работаем над настройкой корреляций, которые позволят нам фиксировать ИБ-инциденты в облачной инфраструктуре в автоматизированном виде. Какие корреляци и для чего мы используем, расскажем в следующей статье.
