МАС 1-7
Базовый состав мер по организации мониторинга данных регистрации о событиях защиты информации, формируемых объектами информатизации применительно к уровням защиты информации
МАС.1 (Т-Т-Т)
Организация мониторинга данных регистрации о событиях защиты информации, формируемых техническими мерами, входящими в состав системы защиты информации.
Уровень защиты информации 3-Т, 2-Т, 1-Т.
Реализация - Т
Одной из реализаций данного требования будет внедрение SIEM-системы (или её аналогов) для централизованного сбора данных регистрации о событиях защиты информации на всех объектах информационной инфраструктуры.
Пример:
Для отправки логов в SIEM-систему на хосты устанавливаются клиенты для сбора логов, либо настраивается безагентский сбор событий (например, средствами syslog). На стороне SIEM или промежуточных коллекторов настраивается нормализация, фильтрация, агрегация и классификация событий, без которых фактически невозможен мониторинг (подробнее см. МАС.17).
Некоторые СЗИ класса SIEM
McAfee Enterprice Security Manager;
Macro Focus ArcSight;
FortiSIEM;
MaxPatrol SIEM (Positive Technologies) (MaxPatrol SIEM – выявление инцидентов информационной безопасности (ptsecurity.com));
Ankey SIEM ("Газинформсервис") (Ankey SIEM (gaz-is.ru));
Kaspersky Unified Monitoring and Analysis Platform ("Лаборатория Касперского") (KUMA (axoftglobal.com));
KOMRAD Enterprice SIEM (АО "Эшелон") (KOMRAD Enterprise SIEM – АО Эшелон Технологии (etecs.ru));
"СёрчИнформ SIEM ("СёрчИнформ") (СёрчИнформ SIEM - SearchInform).
Некоторое ПО для сбора логов
Graylog;
Logstash;
Fluentd;
Flume;
LOGalyze;
LogPacker;
Log Collector;
Logwatch и т.д.
Проверочные процедуры (свидетельства)
Проверить состав объектов ИИ, на которых установлен Клиент сбора логов.
Узнать какой протокол используется для передачи журналов регистрации событий в SIEM-систему (например, TCP или UDP, а также использование подпротоколов).
Типичные недостатки
Не все объекты ИИ могут быть подключены к сбору данных регистрации о событиях ИБ. Не исключены ситуации, когда настроены инструменты сбора логов, но не развернута SIEM-система или же она находится на стадии внедрения. Также новые объекты ИИ могут подключаться к сбору логов несвоевременно.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
МАС.2 (Н-Т-Т)
Организация мониторинга данных регистрации о событиях защиты информации, формируемых сетевым оборудованием, в том числе активным сетевым оборудованием, маршрутизаторами, коммутаторами.
Уровень защиты информации 3-Н, 2-Т, 1-Т.
Реализация - Т
В настройках Агента сборов логов должны быть прописаны параметры сетевого оборудования, в том числе активного сетевого оборудования, маршрутизаторов, коммутаторов. Также должны быть определены типы событий, которые подлежат регистрации в настройках Агента. Данные регистрации событий защиты информации должны передаваться в SIEM-систему.
Некоторые типы событий защиты информации, которые необходимо регистрировать для выполнения данного требования:
события изменений параметров настроек средств и систем защиты информации, обеспечивающих реализацию сегментации, межсетевого экранирования и защиты вычислительных сетей сегментов вычисленных сетей;
события выявления аномальной сетевой активности с использованием средств обнаружения/предотвращения сетевых вторжений;
события защиты информации, связанные с подключением (регистрацией объектов доступа в вычислительных сетях Компании).
Проверочные процедуры (свидетельства)
Проверить состав сетевого оборудования, в том числе активного сетевого оборудования, маршрутизаторов, коммутаторов.
Запросить скриншот журнала событий с маршрутизаторов и коммутаторов (2-3 примера).
Запросить скриншот конфигурационного файла Агента сбора логов.
Типичные недостатки
Стоит обратить внимание при проведении интервью, насколько SIEM-система и Агент сбора логов интегрированы в информационную инфраструктуру. Так как бывают случаи, когда Агент сбора логов внедрен, а SIEM-система находится на стадии внедрения и не функционирует в полном объеме или же её совсем нет в информационной инфраструктуре.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Для коллизий
МАС.3 (Н-Т-Т)
Организация мониторинга данных регистрации о событиях защиты информации, формируемых сетевыми приложениями и сервисами.
Уровень защиты информации 3-Н, 2-Т, 1-Т.
Реализация - Т
Одной из реализаций данного требования будет использование SIEM-системы (или её аналогов) для централизованного сбора данных регистрации о событиях защиты информации, формируемых сетевыми приложениями и сервисами.
В зависимости от вендора SIEM-системы порядок действий по подключению источников событий может быть различен, но общие принципы будут одинаковы для всех.
Пример:
Например, в MaxPatrol SIEM для подключения источников событий выполняются следующие действия:
Создание учетной записи в подключаемом объекте информатизации (если требуется - создается дополнительная учетная запись с правами администратора);
Настройка учетной записи;
Добавление учетной записи в SIEM-системе;
Создание задачи на сбор событий.
Регистрации подлежат события, например, такие как:
события установки, обновления и/или удаления сетевых приложений и сервисов;
запуск, остановка сервисов;
внесение изменений;
вход в сетевые приложения и сервисы и т.д.
Проверочные процедуры (свидетельства)
Фиксация описания сбора событий защиты информации в ходе интервью;
Запросить скриншот состава сетевых приложений и сервисов в настройках Агента сбора логов;
Скриншот части конфигурационного файла, в котором определены настройки логирования
Запросить скриншот журнала событий сетевых приложений и сервисов (например, журнал событий GitLab, где журналируются изменения в инфраструктуре).
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
МАС.4 (Н-Т-Т)
Организация мониторинга данных регистрации о событиях защиты информации, формируемых системным ПО, операционными системами, СУБД.
Уровень защиты информации 3-Н, 2-Т, 1-Т.
Реализация - Т
Одной из реализаций данного требования будет внедрение SIEM-системы (или её аналогов) для централизованного сбора данных регистрации о событиях защиты информации, формируемых системным ПО, операционными системами, СУБД. В любом случае реализация потребует соответствующих настроек журналов в конкретных системах (например, настройки журналов на сервере управления антивирусной защиты; настройка журналирования в ОС и СУБД и т.д.).
Пример настройки сбора событий ОС Windows в Max Patrol SIEM:
Одним из вариантов реализации настройки централизованного сбора событий ОС Windows будет настройка узлов с OC Windows, которые являются источниками событий (Event Forwarding), и сервера-сборщика (Event Collector), на котором собираются события со всех источников.
Для настройки сервера-сборщика расположенном в одном домене с источниками событий потребуется выполнить следующие действия:
Вызвать командную строку;
Запустить службу удаленного управления Windows командой: winrm qc -q;
Запустить службу сборщика событий Windows командой: wecutil qc -q После выполнения данных действий сервер-сборщик можно считать настроенным.
Также потребуется настройка подписки с типом "Инициировано исходным компьютером" (данную оснастку можно запустить консольной командой eventvwr.msc).
Выбор типа подписки "Инициировано исходным компьютером". Далее понадобится выполнить следующие действия:
перейти в выбор группы компьютеров;
в открывшемся окне нажать кнопку Добавить доменный компьютер;
затем в открывшемся окне ввести имена выбираемых объектов, а после нажать кнопку Проверить имена;
закрыть настройки нажатием на кнопку ОК;
для настройки выбора событий потребуется нажать кнопку Выбрать события;
в открывшемся окне настроить фильтр событий и нажать кнопку ОК Во вкладке дополнительно можно настроить оптимизацию доставки событий (в таблице указан варианты использования параметров оптимизации доставки).
Для настройки подписки с типом "Инициировано сборщиком" понадобится выполнить следующие действия:
в Главном меню в разделе Сбор данных выбрать пункт Учетные записи;
в панели инструментов нажать кнопку Добавить учетную запись, в раскрывшемся окне выбрать пункт Логин-пароль;
ввести название учетной записи;
в раскрывающемся списке Транспорт выбрать Windows logs;
ввести логин, пароль (повторно подтвердить пароль);
если для доступа к источнику используется доменная учетная запись, в поле Домен ввести имя домена;
нажать кнопку Сохранить.
Для доступа к источнику событий понадобится добавить в MaxPatrol учетную запись.
Пример добавления источника событий в SIEM MaxPatrol.
Примечание. Чтобы просмотреть настроенные сопоставления сертификатов, выполнив команду: winrm enum winrm/config/service/certmapping.
открыть командную строку;
включить аутентификацию по сертификату: winrm set winrm/config/service/auth @{Certificate="true"};
проверить статус прослушивателя: winrm e winrm/config/listener;
если прослушиватель был создан ранее, то потребуется его удалить: winrm delete winrm/config/Listener?Address*=+Transport=HTTPS;
создать новый прослушиватель и указать отпечаток сертификата проверки подлинности: winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="<FQDN сервера-сборщика>";CertificateThumbprint="<Отпечаток сертификата проверки подлинности сервера>"};
если используется сертификат корневого или промежуточного центра сертификации, создать сопоставление сертификата: winrm create winrm/config/service/certmapping?Issuer=<Отпечаток сертификата корневого или промежуточного центра сертификации>+Subject=+URI= @{UserName="<Логин>";Password=*"<Пароль>"}.
Чтобы настроить прослушиватель службы удаленного управления Windows для протокола HTTPS потребуется:
открыть Редактор реестра;
выбрать узел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel;
создать параметр типа DWORD с именем ClientAuthTrustMode;
изменить систему исчисления на десятичную;
установить значение 2 и нажать ОК.
Для настройки требований к сертификату потребуется:
Также потребуется настроить формат событий. Для этого потребуется изменить формат событий консольной командой: wecutil ss <Название подписки> /cf:events После выполнения вышеуказанной команды настройку формата событий можно считать завершенной.
запустить оснастку консольной командой eventvwr.msc;
в разделе "Подписки" нажать кнопку "Создать подписку";
выбрать тип "Инициировано сборщиком";
в списке Конечный журнал выбрать Перенаправленные события;
добавить компьютеры и проверить их имена;
указать события в окне Свойства подписки;
нажать кнопку Дополнительно;
в блоке параметров Учетная запись пользователя выбрать вариант Определенный пользователь;
нажать кнопку Пользователь и пароль;
выдрать логин учетной записи, ввести пароль и нажать ОК;
установить параметры Оптимизация доставки событий в соответствии с вышеуказанной таблицей.
Проверочные процедуры (свидетельства)
Проверить состав системного ПО, операционных систем, СУБД в Агенте сбора логов;
Скриншоты собираемых событий защиты информации, формируемых системным ПО, операционными системами, СУБД;
Запросить скриншот конфигурации Агента сбора логов с указанием настроек типов собираемых событий защиты информации.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
МАС.5 (Т-Т-Т)
Организация мониторинга данных регистрации о событиях защиты информации, формируемых АС и приложениями.
Уровень защиты информации 3-Т, 2-Т, 1-Т.
Реализация - Т
Для отправки логов в SIEM-систему на хосты устанавливаются клиенты для сбора логов, либо настраивается безагентский сбор событий (например, средствами syslog). На стороне SIEM или промежуточных коллекторов настраивается нормализация, фильтрация, агрегация и классификация событий, без которых фактически невозможен мониторинг (подробнее см. МАС.17).
1. Некоторые СЗИ класса SIEM:
o McAfee Enterprice Security Manager;
o Macro Focus ArcSight;
o FortiSIEM;
o MaxPatrol SIEM (Positive Technologies) (MaxPatrol SIEM – выявление инцидентов информационной безопасности (ptsecurity.com));
o Ankey SIEM ("Газинформсервис") (Ankey SIEM (gaz-is.ru));
o Kaspersky Unified Monitoring and Analysis Platform ("Лаборатория Касперского") (KUMA (axoftglobal.com));
o KOMRAD Enterprice SIEM (АО "Эшелон") (KOMRAD Enterprise SIEM – АО Эшелон Технологии (etecs.ru));
o RuSIEM (ООО "РуСИЕМ") (SIEM – решение для мониторинга и анализа любой сетевой активности, происходящей в организации | RuSIEM);
o "СёрчИнформ SIEM ("СёрчИнформ") (СёрчИнформ SIEM - SearchInform).
2. Некоторое ПО для сбора логов:
o Graylog;
o Logstash;
o Fluentd;
o Flume;
o LOGalyze;
o LogPacker;
o Log Collector.
Logwatch и т.д.
Проверочные процедуры (свидетельства)
1. Проверить состав объектов ИИ, на которых установлен Клиент сбора логов (необходимо организовать мониторинг событий АС и приложениями);
2. Узнать какой протокол используется для передачи журналов регистрации событий в SIEM-систему (например, TCP или UDP, а также использование подпротоколов).
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
МАС.6 (Т-Т-Т)
Организация мониторинга данных регистрации о событиях защиты информации, формируемых контроллерами доменов.
Уровень защиты информации 3-Т, 2-Т, 1-Т.
Реализация - Т
Мера реализуется передачей событий, формируемых контроллерами домена. из журналов ОС контроллера домена, в SIEM-систему сбора событий информационной безопасности.
Для отправки логов в SIEM-систему на хосты устанавливаются клиенты для сбора логов, либо настраивается безагентский сбор событий (например, средствами syslog). На стороне SIEM или промежуточных коллекторов настраивается нормализация, фильтрация, агрегация и классификация событий, без которых фактически невозможен мониторинг (подробнее см. МАС.17).
1. Некоторые СЗИ класса SIEM:
a. McAfee Enterprice Security Manager;
b. Macro Focus ArcSight;
c. FortiSIEM;
d. MaxPatrol SIEM (Positive Technologies) (MaxPatrol SIEM – выявление инцидентов информационной безопасности (ptsecurity.com));
e. Ankey SIEM ("Газинформсервис") (Ankey SIEM (gaz-is.ru));
f. Kaspersky Unified Monitoring and Analysis Platform ("Лаборатория Касперского") (KUMA (axoftglobal.com));
g. KOMRAD Enterprice SIEM (АО "Эшелон") (KOMRAD Enterprise SIEM – АО Эшелон Технологии (etecs.ru));
h. RuSIEM (ООО "РуСИЕМ") (SIEM – решение для мониторинга и анализа любой сетевой активности, происходящей в организации | RuSIEM);
i. "СёрчИнформ SIEM ("СёрчИнформ") (СёрчИнформ SIEM - SearchInform).
2. Некоторое ПО для сбора логов:
a. Graylog;
b. Logstash;
c. Fluentd;
d. Flume;
e. LOGalyze;
f. LogPacker;
g. Log Collector;
h. Logwatch и т.д.
Данная мера требует технического мониторинга событий, которые мы регистрируем в рамках блока "регистрации событий ЗИ" каждого из процессов (подпроцессов) системы защиты. Безусловно удобнее всего делать это с помощью SIEM системы или иного централизованного инструмента мониторинга. Но само требование не говорит о конкретной реализации, поэтому его закрытие возможно и децентрализованными способами (хотя это и менее удобно и продуктивно, могут быть сценарии, когда часть мониторинга замкнута на встроенные средства - центральный мониторинг антивируса; центральный мониторинг сетевого оборудования; центральный мониторинг автоматизированных систем и приложений и т.д.). Чтобы осуществлять такой мониторинг нужна регистрация событий ИБ на всех уровнях информационной инфраструктуры, в том числе на уровнях:
ОС серверов и АРМ (включая системное ПО);
СУБД;
Активного сетевого оборудования (включая коммутаторы и маршрутизаторы);
Прикладного ПО, в том числе АБС, ДБО, общесистемных сервисов (например, службы каталогов);
Виртуальной и контейнерной инфраструктуры;
СКУД и видеонаблюдения.
Иных систем и компонент.
Проверочные процедуры (свидетельства)
1. Проверить состав объектов ИИ, на которых установлен Клиент сбора логов (необходимо организовать мониторинг событий формируемых контроллером доменов);
2. Скриншоты собираемых из контроллера домена событий в SIEM;
3. Скриншот настройки в SIEM функций передачи событий из журнала событий безопасности ОС контроллера домена;
4. Узнать какой протокол используется для передачи журналов регистрации событий в SIEM-систему (например, TCP или UDP, а также использование подпротоколов)..
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
МАС.7 (Н-Н-Т)
Организация мониторинга данных регистрации о событиях защиты информации, формируемых средствами (системами) контроля и управления доступом.
Уровень защиты информации 3-Н, 2-Н, 1-Т.
Реализация - Т
Мера реализуется передачей событий из средств контроля и управления доступом, (IdM и PAM систем) в SIEM-систему сбора событий информационной безопасности.
Для отправки логов в SIEM-систему на хосты устанавливаются клиенты для сбора логов, либо настраивается безагентский сбор событий (например, средствами syslog). На стороне SIEM или промежуточных коллекторов настраивается нормализация, фильтрация, агрегация и классификация событий, без которых фактически невозможен мониторинг (подробнее см. МАС.17).
1. Некоторые СЗИ класса SIEM:
a. McAfee Enterprice Security Manager;
b. Macro Focus ArcSight;
c. FortiSIEM;
d. MaxPatrol SIEM (Positive Technologies) (MaxPatrol SIEM – выявление инцидентов информационной безопасности (ptsecurity.com));
e. Ankey SIEM ("Газинформсервис") (Ankey SIEM (gaz-is.ru));
f. Kaspersky Unified Monitoring and Analysis Platform ("Лаборатория Касперского") (KUMA (axoftglobal.com));
g. KOMRAD Enterprice SIEM (АО "Эшелон") (KOMRAD Enterprise SIEM – АО Эшелон Технологии (etecs.ru));
h. RuSIEM (ООО "РуСИЕМ") (SIEM – решение для мониторинга и анализа любой сетевой активности, происходящей в организации | RuSIEM);
i. "СёрчИнформ SIEM ("СёрчИнформ") (СёрчИнформ SIEM - SearchInform).
2. Некоторое ПО для сбора логов:
a. Graylog;
b. Logstash;
c. Fluentd;
d. Flume;
e. LOGalyze;
f. LogPacker;
g. Log Collector.
Logwatch и т.д.
Проверочные процедуры (свидетельства)
1. Проверить состав объектов ИИ, на которых установлен Клиент сбора логов (необходимо организовать мониторинг событий формируемых средствами контроля и управления доступом, (IdM и PAM системами);
2. Скриншот настройки в SIEM функций передачи событий из журнала событий IdM или PAM системы.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
Last updated