Передача событий в SIEM

Зона ответственности: Printum + Заказчик / Интегратор

Коротко: Printum поддерживает передачу событий безопасности во внешние SIEM и системы мониторинга по протоколу Syslog, включая TCP, UDP и TCP с TLS. Передача выполняется только в исходящем направлении.

Требование

Система должна обеспечивать возможность передачи событий безопасности во внешние системы мониторинга, корреляции событий и расследования инцидентов.

Передаваемые события должны содержать достаточный объём информации для анализа событий безопасности и интеграции с корпоративным SOC или SIEM.

Как это реализовано в Printum

Printum поддерживает передачу событий безопасности во внешние системы мониторинга и управления событиями безопасности (SIEM).

Для передачи событий поддерживаются следующие механизмы:

Syslog по UDP;
Syslog по TCP;
Syslog по TCP с TLS.

Для защищённого соединения может использоваться проверка сертификатов и TLS-шифрование канала связи.

Параметры подключения к внешней системе настраиваются через панель администратора Мониторинга, включая адрес назначения и используемый порт.

Передаваемые события могут фильтроваться по следующим параметрам:

диапазон дат;
типы событий;
группы событий;
результаты выполнения операций;
уровень важности событий;
локации.

Состав передаваемых событий соответствует атрибутному составу журнала информационной безопасности Printum и описан в статье «Атрибутный состав записи в журнале».

Для контроля передачи событий система ведёт учёт успешно и неуспешно переданных сообщений, а также отслеживает прогресс выгрузки событий.

При временной недоступности внешней системы события накапливаются и передаются после восстановления соединения.

Передача событий выполняется только в исходящем направлении. Приём данных через данный механизм не осуществляется.

Что требуется от инфраструктуры

Заказчик обеспечивает доступность и настройку внешней SIEM или иной системы мониторинга безопасности.

Для использования защищённого соединения по TLS должны быть настроены необходимые сертификаты и параметры доверия между системами.

Совместимость с антивирусным ПО

Атрибутный состав записи в журнале

Аудит действий администраторов

Журналы без чувствительных данных

Защита журналов от изменения и доступ к журналам

Мониторинг и анализ событий безопасности

Передача событий в SIEM

Перечень регистрируемых событий безопасности

Синхронизация времени (NTP)

Мандатное управление доступом

Профили безопасности

Хранение паролей в хэшированном и зашифрованном виде

Rootless режим контейнера

Отсутствие SUID-SGID файлов и утилит повышения привилегий

Соответствие рекомендациям CIS Benchmark

Фиксированные теги контейнерных образов

Хранение секретов в контейнерных образах

Контроль целостности ПО и конфигурационных файлов

Механизмы резервного копирования и восстановления

Использование небезопасных сетевых протоколов

Сегментация сети и зоны безопасности

Анонимный доступ запрещён

Блокировка и управление учётными записями

Доменная аутентификация и единый вход (SSO)

Идентификация и аутентификация пользователей

Парольная политика

Ролевая модель RBAC

Тайм-аут сессии и автоматическое завершение сеанса

Технические учётные записи

Использование СКЗИ и ГОСТ-криптографии

Управление сертификатами

Шифрование каналов связи

Передача событий в SIEM

Требование

Как это реализовано в Printum

Что требуется от инфраструктуры