روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ برای بسیاری از تیم‌های InfoSec، اطلاعات امنیتی و مدیریت رویداد (SIEM) شاکله‌ی کاری است که انجام می‌دهند. امنیت یک شرکت تا حد زیادی به این بستگی دارد که سیستم  SIEM‌اش تا چه حد به متخصصین اجازه می‌دهد مستقیم روی مبارزه با تهدیدها و جلوگیری از تسک‌های روتین تمرکز کنند. برای همین است که  تقریباً هر آپدیت پلت‌فرم تحلیل و نظارت یکپارچه کسپرسکی  هدفش ارتقای رابط کاربری، خودکار کردن فرآیندهای روتین و افزودن ویژگی‌ها برای راحت‌تر کردن کار تیم‌های امنیتی است. بسیاری از این ارتقای عملکردها مبتنی بر بازخوردهای متخصصین  InfoSec مشتریان ماست. مشخصاً جدیدترین نسخه این پلت‌فرم (3.0.3) ویژگی‌ها و ارتقاهایی ارائه می‌دهد که در این مقاله قرار است به آن‌ها بپردازیم. 

نوشتن شرایط فیلتر و قوانین همبستگی بعنوان کد

تحلیلگران قبل‌تر بایست فیلترهایی تنظیم می‌کردند و با کلیک روی شرایطی که نیاز داشتند همبستگی می‌نوشتند. در این آپدیت، رابط از نو طراحی‌شده اکنون به کاربران پیشرفته اجازه می‌دهد تا قوانین و شرایط را به عنوان کد بنویسند. حالت سازنده سر جای خودش است: شرایط فیلتر و انتخابگر خودکار بین سازنده و مودهای کد ترجمه می‌شوند. علاوه بر این، حالت سازنده همچنین به شما اجازه می‌دهد با استفاده از کیبورد، شرایط بنویسید. به محض وارد کردن شرایط فیلتر، پلت‌فرم Kaspersky Unified Monitoring and Analysis از فیلدهای رویداد، دیکشنری‌ها، ورقه‌های فعال و غیره گزینه‌های مناسب را پیشنهاد خواهد داد. برای محدود کردن دامنه گزینه‌ها، کافی است پیشوند مناسب را وارد کنید. برای راحتی شما، انواع شرایط در رنگ های مختلف برجسته شده است. حالت کد به شما امکان می‌دهد تا به سرعت شرایط قوانین همبستگی را ویرایش کنید، همچنین شرایط را به عنوان کد انتخاب و کپی نموده و به راحتی آنها را بین قوانین مختلف یا انتخابگرهای مختلف در یک قانون انتقال دهید.  همان بلوک‌های کد را می‌توان به فیلترها (یک منبع سیستم جداگانه) نیز منتقل کرد که ایجاد آنها را بسیار ساده می‌کند.

نقشه گسترده رویداد

پلت‌فرم تحلیل و نظارت یکپارچه کسپرسکی، فرمت رویداد مشترک CEF) ) را به عنوان مبنای طرح رویداد حفظ می‌کند، اما ما توانایی ایجاد فیلدهای سفارشی را افزوده‌ایم، به این معنی که اکنون می‌توانید هر طبقه‌بندی را پیاده‌سازی کنید. دیگر محدود به فیلدهای تعریف شده توسط فروشنده نیست، می‌توانید فیلدهای رویداد را هر چیزی که می‌خواهید نامگذاری کنید تا نوشتن عبارت‌های جستجو آسان‌تر شود. فیلدهای سفارشی تایپ می شوند و باید با پیشوندی شروع شوند که هم نوع و هم نوع آرایه را تعیین می‌کند. فیلدهای دارای آرایه فقط در نرمال‌سازهای JSON و KV قابل استفاده هستند.

شناسایی خودکار منبع رویداد

مدیران پلت‌فرم تحلیل و رضایت یکپارچه کسپرسکی دیگر نیازی به راه‌اندازی جمع‌آوری جداگانه برای هر نوع رویداد یا پورت‌های باز برای هر جمع‌آورنده روی فایروال ندارند - در نسخه جدید ما توانایی جمع‌آوری رویدادها با فرمت‌های مختلف را با یک کلکتور واحد پیاده‌سازی کرده‌ایم. جمع کننده نرمال‌ساز صحیح را بر اساس آدرس IP منبع انتخاب می‌کند. استفاده از زنجیره‌ای از نرمال‌سازها مجاز است. به عنوان مثال، نرمال‌ساز هدر [OOTB] Syslog رویدادها را از چندین سرور می‌پذیرد و به شما امکان می‌دهد یک DeviceProcessName تعریف کنید و رویدادهای bind را به نرمال‌ساز [OOTB] BIND Syslog و رویدادهای squid را به نرمال‌ساز [OOTB] Squid دسترسی به Syslog هدایت کنید.

گزینه‌های عادی‌سازی رویداد زیر اکنون در دسترس هستند:

1 جمع‌کننده - 1 نرمال‌ساز. توصیه می‌کنیم اگر رویدادهای یک نوع یا آدرس‌های IP زیادی دارید که ممکن است رویدادهای یک نوع از آن‌ها سرچشمه بگیرند، از این روش استفاده کنید. از نظر عملکرد SIEM، پیکربندی یک کلکتور با تنها یک نرمال ساز بهینه خواهد بود.

1 جمع کننده – نرمال‌سازهای متعدد، بر اساس آدرس‌های آی‌پی. این روش برای کلکتورهایی با کانکتور UDP، TCP یا HTTP در دسترس است. اگر یک رابط UDP، TCP یا HTTP در مرحله حمل و نقل در جمع‌کننده مشخص شده باشد، سپس در مرحله تجزیه رویداد، در برگه تنظیمات تجزیه، می‌توانید چندین آدرس IP را مشخص و انتخاب کنید از کدام نرمال ساز برای رویدادهایی که از آن آدرس ها می‌رسند استفاده شود. انواع نرمال‌سازهای زیر در دسترس هستند: JSON، CEF، regexp، Syslog، CSV، KV، XML. برای نرمال‌سازهای Syslog یا regexp، بسته به مقدار فیلد DeviceProcessName، می‌توانید شرایط عادی سازی اضافی را تعیین کنید.

اینها به هیچ وجه تنها به‌روزرسانی‌های پلت‌فرم تحلیل و نظارت یکپارچه کسپرسکی نیستند. همچنین تغییرات مربوط به جداول زمینه، اتصال ساده قوانین به همبسته‌ها و سایر پیشرفت‌ها وجود دارد. همه آنها برای بهبود تجربه کاربری برای متخصصین InfoSec طراحی شده‌اند - لیست کامل را اینجا ببینید. برای کسب اطلاعات بیشتر در مورد سیستم SIEM ما، پلت‌فرم تحلیل و نظارت یکپارچه کسپرسکی، لطفاً از صفحه رسمی محصول دیدن کنید.

[1] Kaspersky Unified Monitoring and Analysis Platform

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.