روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ سیستم SIEM (مدیریت رخداد و اطلاعات امنیتی[1]) نمی‌تواند پایا بماند؛ منطق شناسایی‌اش می‌بایست مدام در حال تکامل باشد. چشم‌انداز تهدید همواره در حال تغییر است و این یعنی باید به افزودن قوانین جدید به طور منظم برای تحلیل مؤثر داده ادامه داد. باید اعتراف کنیم که بخش عمده‌ای از قوانین همبستگی ناگزیر توسط تیم امنیت اطلاعات داخلی تنظیم می‌شود اما داشتن قوانین به روز و خارج از قاعده در تسهیل این فرآیند نقش حیاتی دارد. نکته مهم دیگر این است که سیستم SIEM باید قادر باشد خود را به زیرساخت آی‌تی سازمان وفق دهد و برای استفاده از منابع جدید رخداد که هریک اغلب نیازمند نرمال‌ساز جدید هستند (نرمال‌ساز در واقع مکانیزمی است برای برگردان داده از منابع دلخواه به فرمتی واحد) آماده باشد. ما دائماً در حال کار کردن روی این بخش هستیم و به پلت‌فرم  Kaspersky Unified Monitoring and Analysis قوانین همبستگی و نرمال‌سازهای جدید اضافه می‌کنیم. این پست جزئیاتی را ارائه می‌دهد که در نسخه 3.0.3 اضافه شده است.

نرمال‌سازهای جدید و تصحیح‌شده

در بین نسخه‌های 2.1 و 3.0.3 پلت‌فرم نظارت و تحلیل یکپارچه کسپرسکی، 99 بسته به‌روزرسانی را با نرمال‌سازهای جدید یا بهبودیافته منتشر کردیم. اینها شامل 63 به‌روزرسانی می‌شود که از منابع رویداد جدید پشتیبانی می‌کند و 38 به‌روزرسانی که با افزودن پشتیبانی برای انواع رویدادهای جدید و ایجاد اصلاحات و اصلاح‌های مختلف، نرم‌افزارهای موجود را بهبود می‌بخشند. به‌روزرسانی‌های باقی‌مانده حاوی قوانین همبستگی، فیلترها و سایر منابع مبتنی بر قابلیت استفاده هستند که به طور مداوم بهبود می‌یابند.

سایر موارد افزوده‌شده شامل نرمال‌سازهایی هستند که از منابع رویداد زیر پشتیبانی می‌کنند:

•         Cisco Prime، برای رویدادهای Cisco Prime 3.10 دریافت شده از طریق syslog
•         PowerDNS، برای پردازش رویدادهای PowerDNS Authoritative Server 4.5 دریافت شده از طریق syslog
•         Microsoft Active Directory Federation Service (AD FS)، برای پردازش رویدادهای Microsoft AD FS.  نرمال‌سازی از این منبع رویداد پشتیبانی می‌کند که با نسخه 3.0.1 پلتفرم نظارت و تجزیه و تحلیل یکپارچه Kaspersky شروع شده باشد.
•         Microsoft Active Directory Domain Service (AD DS)، برای پردازش رویدادهای Microsoft AD DS. نرمال ساز همچنین از این منبع رویداد پشتیبانی می‌کند که با نسخه 3.0.1 پلت فرم نظارت و تجزیه و تحلیل یکپارچه کسپرسکی شروع شده باشد.
•         NetApp ([OOTB] NetApp syslog، برای پردازش رویدادهای NetApp ONTAP 9.12 دریافت شده از طریق syslog؛ و [OOTB] فایل NetApp، برای پردازش رویدادهای NetApp ONTAP 9.12 ذخیره شده در یک فایل)
•         RedCheck Desktop، برای پردازش گزارش‌های RedCheck Desktop 2.6 ذخیره شده در یک فایل
•         سخت افزار شبکه MikroTik
•         PostgreSQL DBMS
•         MySQL DBMS
•         VMware ESXi
•         مایکروسافت 365

علاوه بر این، متخصصین ما نرمال‌سازهای زیر را نیز تصحیح کرده‌اند:

•         برای محصولات مایکروسافت: ساختار نرمال‌ساز اصلاح شده و از محصولات جدید و انواع رویدادهای اضافی پشتیبانی شده است.
•         برای PT NAD:پشتیبانی از رویدادهای نسخه فعلی محصول.
•         برای سیستم‌عامل‌های شبه یونیکس: پشتیبانی پیاده‌سازی شده برای انواع رویدادهای اضافی.
•         برای دستگاه های شبکه Juniper:بازبینی‌ها و بهینه‌سازی‌های قابل توجهی در نرمال‌ساز انجام شده است.
•         برای Citrix NetScaler:پشتیبانی از انواع رویدادهای اضافی

قوانین به‌روزشده‌ی همبستگی

ما به طور قابل توجهی محتوای همه قوانین همبستگی موجود در بسته محتوای SOC را بهبود بخشیده‌ایم، این درحالیست که روی اعتبارسنجی منطق قوانین و اصلاح قوانین با ورودی‌های تجربیات واقعی مشتریانمان تمرکز کرده‌ایم. همچنین کیفیت توصیف قوانین، از جمله قوانین توصیف رخداد را بهبود بخشیده‌ایم. همراه با به روز‌رسانی بسته محتوای SOC به زبان روسی، ما همچنین یک بسته محتوای SOC به زبان انگلیسی کامل منتشر کرده‌ایم که محتوای آن را به طور کامل با نسخه روسی همگام می‌کند. از این به بعد قصد داریم این دو بسته را همزمان به روز کنیم. این پلت‌فرم اکنون بیش از 500 قانون را به همراه ابزارهای ضروری دیگر مانند لیست‌های فعال، فیلترها و فرهنگ لغت ارائه می‌دهد.

فرمت قانون همبستگی

ما در صدد برنامه‌ریزی برای افزودن نشانه‌گذاری جهت قوانین موجود مطابق با تاکتیک‌ها و تکنیک‌های MITER ATT&CK هستیم. این قابلیت‌های سیستم را برای تجسم سطح حفاظت در برابر تمام تهدیدهای شناخته‌شده گسترش می‌دهد. هنگام انتخاب روش‌های توسعه، عموماً با پایگاه دانش MITER ATT&CK®  هماهنگ می‌شویم. همچنین بازخورد مشتریان خود را که در خلال آزمایش‌ها، پروژه‌های ادغام، جلسات مشاوره یا حتی ایمیل‌های دریافتی توسط مدیران حساب دریافت می‌کنیم، و همچنین تجربیات SOC مان را یکی از موفق‌ترین و ماهرترین تیم‌ها در صنعت قلمداد می‌کنیم.

چطور آپدیت‌ها به سیستم SIEM تحویل داده می‌شوند؟

همه محتوایی که توسعه می‌دهیم از طریق زیرسیستم Kaspersky Update Servers برای کوتاه‌ کردن زمان تحویل توزیع می‌شود. این زیرسیستم درخواست آپدیت می‌دهد و در حالت خودکار آن‌ها را مطلع می‌کند اما می‌گذارد خود اپراتور در مورد اِعمال آن‌ها تصمیم بگیرد. این به ادمین‌ها کمک می‌کند تا سریعاً اطلاعاتی در مورد آپدیت‌های موجود دریافت کنند؛ محتوای هر آپدیت را بررسی نموده و تصمیم بگیرند آیا باید منابع جدید در زیرساخت معرفی شوند یا بهتر است همان منابع موجود فقط آپدیت شوند. زیرسیستم آپدیت به طور قابل‌ملاحظه‌ای قابلیت‌های پلت‌فرم Kaspersky Unified Monitoring and Analysis را برای واکنش سریع به تغییرات چشم انداز و زیرساخت تهدید توسعه می‌دهد. آپشن استفاده از آن بدون دسترسی به اینترنت تضمین می‌دهد داده‌ی پردازش‌شده با سیستم SIEM امن باقی مانده و در محیط وجود دارد و این درحالیست که کاربران می‌توانند جدیدترین آپدیت‌های محتوای سیستم را دریافت کنند. فهرست کامل منابع رخداد پشتیبانی‌شده توسط نسخه 3.0.3 پلت‌فرم Kaspersky Unified Monitoring and Analysis در بخش پشتیبانی فنی موجود است؛ جایی که هچنین قادرید اطلاعاتی را در خصوص قوانین همبستگی بیابید. البته که آپدیت‌های SIEM ما به نرمال‌سازها و منطق شناسایی محدود نمی‌شوند: ما اخیراً به بهبود رابط کاربری و اتوماسیون روتین نیز پرداخته‌ایم.

[1] security information and event management

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.