# МАС 1-7

## МАС.1 (Т-Т-Т)

> Организация мониторинга данных регистрации о событиях защиты информации, формируемых техническими мерами, входящими в состав системы защиты информации.
>
> Уровень защиты информации 3-Т, 2-Т, 1-Т.

<details>

<summary>Пояснение</summary>

Данная мера требует технического мониторинга событий, которые мы регистрируем в рамках блока "регистрации событий ЗИ" каждого из процессов (подпроцессов) системы защиты. Безусловно удобнее всего делать это с помощью SIEM системы или иного централизованного инструмента мониторинга. Но само требование не говорит о конкретной реализации, поэтому его закрытие возможно и децентрализованными способами (хотя это и менее удобно и продуктивно, могут быть сценарии, когда часть мониторинга замкнута на встроенные средства - центральный мониторинг антивируса; центральный мониторинг сетевого оборудования; центральный мониторинг автоматизированных систем и приложений и т.д.). Чтобы осуществлять такой мониторинг нужна регистрация событий ИБ на всех уровнях информационной инфраструктуры, в том числе на уровнях:&#x20;

* ОС серверов и АРМ (включая системное ПО);
* СУБД;
* Активного сетевого оборудования (включая коммутаторы и маршрутизаторы);
* Прикладного ПО, в том числе АБС, ДБО, общесистемных сервисов (например, службы каталогов);
* Виртуальной и контейнерной инфраструктуры;
* СКУД и видеонаблюдения;
* Иных систем и компонент.

</details>

#### Реализация - Т

Одной из реализаций данного требования будет внедрение SIEM-системы (или её аналогов) для централизованного сбора данных регистрации о событиях защиты информации на всех объектах информационной инфраструктуры.&#x20;

*Пример:*

*Для отправки логов в SIEM-систему на хосты устанавливаются клиенты для сбора логов, либо настраивается безагентский сбор событий (например, средствами syslog). На стороне SIEM или промежуточных коллекторов настраивается нормализация, фильтрация, агрегация и классификация событий, без которых фактически невозможен мониторинг (подробнее см.* [*МАС.17*](https://57580.radcop.online/processy/6-p.-upravlenie-incidentami-zashity-informacii/mas-monitoring-i-analiz-sobytii-zashity-informacii/mas-17-20)*).*

1. *Некоторые СЗИ класса SIEM*
   * *McAfee Enterprice Security Manager;*
   * *Macro Focus ArcSight;*
   * *FortiSIEM;*
   * *MaxPatrol SIEM (Positive Technologies) (*[*MaxPatrol SIEM – выявление инцидентов информационной безопасности (ptsecurity.com)*](https://www.ptsecurity.com/ru-ru/products/mpsiem/)*);*
   * *Ankey SIEM ("Газинформсервис") (*[*Ankey SIEM (gaz-is.ru)*](https://www.gaz-is.ru/produkty/upravlenie-ib/ankey-siem.html?ysclid=l9pkv8hbx9597669266)*);*
   * *Kaspersky Unified Monitoring and Analysis Platform ("Лаборатория Касперского") (*[*KUMA (axoftglobal.com)*](https://kuma-kaspersky.axoftglobal.com/kuma?utm_source=yandex\&utm_medium=cpc\&utm_campaign=kuma_search\&utm_term=kaspersky%20unified%20monitoring%20and%20analysis%20platform\&utm_content=11049824438.2.desktop\&roistat=direct33_search_11049824438_kaspersky%20unified%20monitoring%20and%20analysis%20platform\&roistat_referrer=none\&roistat_pos=premium_2\&etext=2202.FT05MiKXvzDIZymi5r8utXv-EQ07Q0M90bVcTJQ4lkFCvK8_HwPz2Q-jIOYrEE8-yayA5k1yGjn06qTXOOOkT3V0c2VlcnpoZ3lnYnFyeGo.a658ee6744efbacd8cd4b88d52160a7daf6bae0b\&yclid=6330366592443011917)*);*
   * *KOMRAD Enterprice SIEM (АО "Эшелон") (*[*KOMRAD Enterprise SIEM – АО Эшелон Технологии (etecs.ru)*](https://etecs.ru/komrad_siem/?ysclid=l9pkwvucoo452373391)*);*
   * *RuSIEM (ООО "РуСИЕМ") (*[*SIEM – решение для мониторинга и анализа любой сетевой активности, происходящей в организации | RuSIEM*](https://rusiem.com/?ysclid=l9pky16yi683141532)*);*
   * *"СёрчИнформ SIEM ("СёрчИнформ") (*[*СёрчИнформ SIEM - SearchInform*](https://searchinform.ru/products/siem/?ysclid=l9pkyoonnf709595410)*).*
2. *Некоторое ПО для сбора логов*
   * *Graylog;*
   * *Logstash;*
   * *Fluentd;*
   * *Flume;*
   * *LOGalyze;*
   * *LogPacker;*
   * *Log Collector;*
   * *Logwatch и т.д.*

#### Проверочные процедуры (свидетельства)

Проверить состав объектов ИИ, на которых установлен Клиент сбора логов.&#x20;

Узнать какой протокол используется для передачи журналов регистрации событий в SIEM-систему (например, TCP или UDP, а также использование подпротоколов).

#### Типичные недостатки

Не все объекты ИИ могут быть подключены к сбору данных регистрации о событиях ИБ. Не исключены ситуации, когда настроены инструменты сбора логов, но не развернута SIEM-система или же она находится на стадии внедрения. Также новые объекты ИИ могут подключаться к сбору логов несвоевременно.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## МАС.2 (Н-Т-Т)

> Организация мониторинга данных регистрации о событиях защиты информации, формируемых сетевым оборудованием, в том числе активным сетевым оборудованием, маршрутизаторами, коммутаторами.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.

<details>

<summary>Пояснение</summary>

</details>

#### Реализация - Т

В настройках Агента сборов логов должны быть прописаны параметры сетевого оборудования, в том числе активного сетевого оборудования, маршрутизаторов, коммутаторов. Также должны быть определены типы событий, которые подлежат регистрации в настройках Агента. Данные регистрации событий защиты информации должны передаваться в SIEM-систему.

Некоторые типы событий защиты информации, которые необходимо регистрировать для выполнения данного требования:

* события изменений параметров настроек средств и систем защиты информации, обеспечивающих реализацию сегментации, межсетевого экранирования и защиты вычислительных сетей сегментов вычисленных сетей;
* события выявления аномальной сетевой активности с использованием средств обнаружения/предотвращения сетевых вторжений;
* события защиты информации, связанные с подключением (регистрацией объектов доступа в вычислительных сетях Компании).

#### Проверочные процедуры (свидетельства)

1. Проверить состав сетевого оборудования, в том числе активного сетевого оборудования, маршрутизаторов, коммутаторов.
2. Запросить скриншот журнала событий с маршрутизаторов и коммутаторов (2-3 примера).
3. Запросить скриншот конфигурационного файла Агента сбора логов.

<figure><img src="https://715613758-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F5Q5ShzEMhHU67dehdkwD%2Fuploads%2FQF48eldIs4eX3cucic0u%2FPasted%20image%2020221111121545.png?alt=media&#x26;token=6581bbe9-b50e-42dd-a3fd-3b280dfe5c0c" alt=""><figcaption><p>Пример конфигурационного файла Splunk</p></figcaption></figure>

#### Типичные недостатки

Стоит обратить внимание при проведении интервью, насколько SIEM-система и Агент сбора логов интегрированы в информационную инфраструктуру. Так как бывают случаи, когда Агент сбора логов внедрен, а SIEM-система находится на стадии внедрения и не функционирует в полном объеме или же её совсем нет в информационной инфраструктуре.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Для коллизий

## МАС.3 (Н-Т-Т)

> Организация мониторинга данных регистрации о событиях защиты информации, формируемых сетевыми приложениями и сервисами.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.

<details>

<summary>Пояснение</summary>

</details>

#### Реализация - Т

Одной из реализаций данного требования будет использование SIEM-системы (или её аналогов) для централизованного сбора данных регистрации о событиях защиты информации, формируемых сетевыми приложениями и сервисами.

В зависимости от вендора SIEM-системы порядок действий по подключению источников событий может быть различен, но общие принципы будут одинаковы для всех.

*Пример:*

*Например, в MaxPatrol SIEM для подключения источников событий выполняются следующие действия:*

1. *Создание учетной записи в подключаемом объекте информатизации (если требуется - создается дополнительная учетная запись с правами администратора);*
2. *Настройка учетной записи;*
3. *Добавление учетной записи в SIEM-системе;*
4. *Создание задачи на сбор событий.*

Регистрации подлежат события, например, такие как:

* события установки, обновления и/или удаления сетевых приложений и сервисов;
* запуск, остановка сервисов;
* внесение изменений;
* вход в сетевые приложения и сервисы и т.д.

#### Проверочные процедуры (свидетельства)

1. Фиксация описания сбора событий защиты информации в ходе интервью;
2. Запросить скриншот состава сетевых приложений и сервисов в настройках Агента сбора логов;
3. Скриншот части конфигурационного файла, в котором определены настройки логирования
4. Запросить скриншот журнала событий сетевых приложений и сервисов (например, журнал событий GitLab, где журналируются изменения в инфраструктуре).

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## МАС.4 (Н-Т-Т)

> Организация мониторинга данных регистрации о событиях защиты информации, формируемых системным ПО, операционными системами, СУБД.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.

<details>

<summary>Пояснение</summary>

</details>

#### Реализация - Т

Одной из реализаций данного требования будет внедрение SIEM-системы (или её аналогов) для централизованного сбора данных регистрации о событиях защиты информации, формируемых системным ПО, операционными системами, СУБД. В любом случае реализация потребует соответствующих настроек журналов в конкретных системах (например, настройки журналов на сервере управления антивирусной защиты; настройка журналирования в ОС и СУБД и т.д.).

*Пример настройки сбора событий ОС Windows в Max Patrol SIEM:*

*Одним из вариантов реализации настройки централизованного сбора событий ОС Windows будет настройка узлов с OC Windows, которые являются источниками событий (Event Forwarding), и сервера-сборщика (Event Collector), на котором собираются события со всех источников.*

*Для настройки сервера-сборщика расположенном в одном домене с источниками событий потребуется выполнить следующие действия:*

* *Вызвать командную строку;*
* *Запустить службу удаленного управления Windows командой: winrm qc -q;*
* *Запустить службу сборщика событий Windows командой: wecutil qc -q После выполнения данных действий сервер-сборщик можно считать настроенным.*

*Также потребуется настройка подписки с типом **"Инициировано исходным компьютером"** (данную оснастку можно запустить консольной командой eventvwr.msc).*

<figure><img src="https://715613758-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F5Q5ShzEMhHU67dehdkwD%2Fuploads%2FVHQGJS93JmqabfVTqSMk%2FPasted%20image%2020221208140309.png?alt=media&#x26;token=55b12af4-df2b-465c-8b04-083ad0524e28" alt=""><figcaption><p>Выбор типа подписки "Инициировано исходным компьютером"</p></figcaption></figure>

*Выбор типа подписки "Инициировано исходным компьютером". Далее понадобится выполнить следующие действия:*

* *перейти в выбор группы компьютеров;*
* *в открывшемся окне нажать кнопку Добавить доменный компьютер;*
* *затем в открывшемся окне ввести имена выбираемых объектов, а после нажать кнопку Проверить имена;*
* *закрыть настройки нажатием на кнопку ОК;*
* *для настройки выбора событий потребуется нажать кнопку Выбрать события;*
* *в открывшемся окне настроить фильтр событий и нажать кнопку ОК Во вкладке дополнительно можно настроить оптимизацию доставки событий (в таблице указан варианты использования параметров оптимизации доставки).*

<figure><img src="https://715613758-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F5Q5ShzEMhHU67dehdkwD%2Fuploads%2F7XrZF28Gt9mcxoUwLAQT%2FPasted%20image%2020221208141316.png?alt=media&#x26;token=0254b683-2423-4f13-b058-9447c4812c5e" alt=""><figcaption><p>Описание вариантов использования параметров оптимизации доставки событий</p></figcaption></figure>

*Для настройки подписки с типом **"Инициировано сборщиком"** понадобится выполнить следующие действия:*

* *в Главном меню в разделе Сбор данных выбрать пункт Учетные записи;*
* *в панели инструментов нажать кнопку Добавить учетную запись, в раскрывшемся окне выбрать пункт Логин-пароль;*
* *ввести название учетной записи;*
* *в раскрывающемся списке Транспорт выбрать Windows logs;*
* *ввести логин, пароль (повторно подтвердить пароль);*
* *если для доступа к источнику используется доменная учетная запись, в поле Домен ввести имя домена;*
* *нажать кнопку Сохранить.*

*Для доступа к источнику событий понадобится добавить в MaxPatrol учетную запись.*

*Пример добавления источника событий в SIEM MaxPatrol.*

***Примечание.** Чтобы просмотреть настроенные сопоставления сертификатов, выполнив команду: winrm enum winrm/config/service/certmapping.*

* *открыть командную строку;*
* *включить аутентификацию по сертификату: winrm set winrm/config/service/auth @{Certificate="true"};*
* *проверить статус прослушивателя: winrm e winrm/config/listener;*
* *если прослушиватель был создан ранее, то потребуется его удалить: winrm delete winrm/config/Listener?Address\*=+Transport=HTTPS;*
* *создать новый прослушиватель и указать отпечаток сертификата проверки подлинности: winrm create winrm/config/Listener?Address=\*+Transport=HTTPS @{Hostname="\<FQDN сервера-сборщика>";CertificateThumbprint="<Отпечаток сертификата проверки подлинности сервера>"};*
* *если используется сертификат корневого или промежуточного центра сертификации, создать сопоставление сертификата: winrm create winrm/config/service/certmapping?Issuer=<Отпечаток сертификата корневого или промежуточного центра сертификации>+Subject=+URI= @{UserName="<Логин>";Password=\*"<Пароль>"}.*

*Чтобы настроить прослушиватель службы удаленного управления Windows для протокола HTTPS потребуется:*

* *открыть Редактор реестра;*
* *выбрать узел HKEY\_LOCAL\_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel;*
* *создать параметр типа DWORD с именем ClientAuthTrustMode;*
* *изменить систему исчисления на десятичную;*
* *установить значение 2 и нажать ОК.*

*Для настройки требований к сертификату потребуется:*

*Также потребуется настроить формат событий. Для этого потребуется изменить формат событий консольной командой: wecutil ss <Название подписки> /cf:events После выполнения вышеуказанной команды настройку формата событий можно считать завершенной.*

* *запустить оснастку консольной командой eventvwr.msc;*
* *в разделе "Подписки" нажать кнопку "Создать подписку";*
* *выбрать тип **"Инициировано сборщиком";***
* *в списке Конечный журнал выбрать Перенаправленные события;*
* *добавить компьютеры и проверить их имена;*
* *указать события в окне Свойства подписки;*
* *нажать кнопку Дополнительно;*
* *в блоке параметров Учетная запись пользователя выбрать вариант Определенный пользователь;*
* *нажать кнопку Пользователь и пароль;*
* *выдрать логин учетной записи, ввести пароль и нажать ОК;*
* *установить параметры Оптимизация доставки событий в соответствии с вышеуказанной таблицей.*

#### Проверочные процедуры (свидетельства)

1. Проверить состав системного ПО, операционных систем, СУБД в Агенте сбора логов;&#x20;
2. Скриншоты собираемых событий защиты информации, формируемых системным ПО, операционными системами, СУБД;&#x20;
3. Запросить скриншот конфигурации Агента сбора логов с указанием настроек типов собираемых событий защиты информации.

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## МАС.5 (Т-Т-Т)

> Организация мониторинга данных регистрации о событиях защиты информации, формируемых АС и приложениями.
>
> Уровень защиты информации 3-Т, 2-Т, 1-Т.

<details>

<summary>Пояснение</summary>

Данная мера требует технического мониторинга событий, которые мы регистрируем в рамках блока "регистрации событий ЗИ" каждого из процессов (подпроцессов) системы защиты. Безусловно удобнее всего делать это с помощью SIEM системы или иного централизованного инструмента мониторинга. Но само требование не говорит о конкретной реализации, поэтому его закрытие возможно и децентрализованными способами (хотя это и менее удобно и продуктивно, могут быть сценарии, когда часть мониторинга замкнута на встроенные средства - центральный мониторинг антивируса; центральный мониторинг сетевого оборудования; центральный мониторинг автоматизированных систем и приложений и т.д.). Чтобы осуществлять такой мониторинг нужна регистрация событий ИБ на всех уровнях информационной инфраструктуры, в том числе на уровнях:

* ОС серверов и АРМ (включая системное ПО);
* СУБД;
* Активного сетевого оборудования (включая коммутаторы и маршрутизаторы);
* Прикладного ПО, в том числе АБС, ДБО, общесистемных сервисов (например, службы каталогов);
* Виртуальной и контейнерной инфраструктуры;
* СКУД и видеонаблюдения;
* Иных систем и компонент.

</details>

#### Реализация - Т

*Для отправки логов в SIEM-систему на хосты устанавливаются клиенты для сбора логов, либо настраивается безагентский сбор событий (например, средствами syslog). На стороне SIEM или промежуточных коллекторов настраивается нормализация, фильтрация, агрегация и классификация событий, без которых фактически невозможен мониторинг (подробнее см.* [*МАС.17*](file:///o/4rbbgJubJtDQ3J9GvoLd/s/5Q5ShzEMhHU67dehdkwD/processy/6-p.-upravlenie-incidentami-zashity-informacii/mas-monitoring-i-analiz-sobytii-zashity-informacii/mas-17-20)*).*

1\.        *Некоторые СЗИ класса SIEM:*

o    *McAfee Enterprice Security Manager;*

o    *Macro Focus ArcSight;*

o    *FortiSIEM;*

o    *MaxPatrol SIEM (Positive Technologies) (*[*MaxPatrol SIEM – выявление инцидентов информационной безопасности (ptsecurity.com)*](https://www.ptsecurity.com/ru-ru/products/mpsiem/)*);*

o    *Ankey SIEM ("Газинформсервис") (*[*Ankey SIEM (gaz-is.ru)*](https://www.gaz-is.ru/produkty/upravlenie-ib/ankey-siem.html?ysclid=l9pkv8hbx9597669266)*);*

o    *Kaspersky Unified Monitoring and Analysis Platform ("Лаборатория Касперского") (*[*KUMA (axoftglobal.com)*](https://kuma-kaspersky.axoftglobal.com/kuma?utm_source=yandex\&utm_medium=cpc\&utm_campaign=kuma_search\&utm_term=kaspersky%20unified%20monitoring%20and%20analysis%20platform\&utm_content=11049824438.2.desktop\&roistat=direct33_search_11049824438_kaspersky%20unified%20monitoring%20and%20analysis%20platform\&roistat_referrer=none\&roistat_pos=premium_2\&etext=2202.FT05MiKXvzDIZymi5r8utXv-EQ07Q0M90bVcTJQ4lkFCvK8_HwPz2Q-jIOYrEE8-yayA5k1yGjn06qTXOOOkT3V0c2VlcnpoZ3lnYnFyeGo.a658ee6744efbacd8cd4b88d52160a7daf6bae0b\&yclid=6330366592443011917)*);*

o    *KOMRAD Enterprice SIEM (АО "Эшелон") (*[*KOMRAD Enterprise SIEM – АО Эшелон Технологии (etecs.ru)*](https://etecs.ru/komrad_siem/?ysclid=l9pkwvucoo452373391)*);*

o    *RuSIEM (ООО "РуСИЕМ") (*[*SIEM – решение для мониторинга и анализа любой сетевой активности, происходящей в организации | RuSIEM*](https://rusiem.com/?ysclid=l9pky16yi683141532)*);*

*o    "СёрчИнформ SIEM ("СёрчИнформ") (*[*СёрчИнформ SIEM - SearchInform*](https://searchinform.ru/products/siem/?ysclid=l9pkyoonnf709595410)*).*

2\.        *Некоторое ПО для сбора логов:*

o    *Graylog;*

o    *Logstash;*

o    *Fluentd;*

o    *Flume;*

o    *LOGalyze;*

o    *LogPacker;*

o    *Log Collector.*

*Logwatch и т.д.*

#### Проверочные процедуры (свидетельства)

1\.        Проверить состав объектов ИИ, на которых установлен Клиент сбора логов (необходимо организовать мониторинг событий АС и приложениями);

2\.        Узнать какой протокол используется для передачи журналов регистрации событий в SIEM-систему (например, TCP или UDP, а также использование подпротоколов).

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## МАС.6 (Т-Т-Т)

> Организация мониторинга данных регистрации о событиях защиты информации, формируемых контроллерами доменов.
>
> Уровень защиты информации 3-Т, 2-Т, 1-Т.

<details>

<summary>Пояснение</summary>

</details>

#### Реализация - Т

*Мера реализуется передачей событий, формируемых контроллерами домена. из журналов ОС контроллера домена, в SIEM-систему сбора событий информационной безопасности.*

&#x20;*Для отправки логов в SIEM-систему на хосты устанавливаются клиенты для сбора логов, либо настраивается безагентский сбор событий (например, средствами syslog). На стороне SIEM или промежуточных коллекторов настраивается нормализация, фильтрация, агрегация и классификация событий, без которых фактически невозможен мониторинг (подробнее см.* [*МАС.17*](file:///o/4rbbgJubJtDQ3J9GvoLd/s/5Q5ShzEMhHU67dehdkwD/processy/6-p.-upravlenie-incidentami-zashity-informacii/mas-monitoring-i-analiz-sobytii-zashity-informacii/mas-17-20)*).*

1\.        *Некоторые СЗИ класса SIEM:*

a.        *McAfee Enterprice Security Manager;*

b.        *Macro Focus ArcSight;*

c.        *FortiSIEM;*

d.        *MaxPatrol SIEM (Positive Technologies) (*[*MaxPatrol SIEM – выявление инцидентов информационной безопасности (ptsecurity.com)*](https://www.ptsecurity.com/ru-ru/products/mpsiem/)*);*

e.        *Ankey SIEM ("Газинформсервис") (*[*Ankey SIEM (gaz-is.ru)*](https://www.gaz-is.ru/produkty/upravlenie-ib/ankey-siem.html?ysclid=l9pkv8hbx9597669266)*);*

f.         *Kaspersky Unified Monitoring and Analysis Platform ("Лаборатория Касперского") (*[*KUMA (axoftglobal.com)*](https://kuma-kaspersky.axoftglobal.com/kuma?utm_source=yandex\&utm_medium=cpc\&utm_campaign=kuma_search\&utm_term=kaspersky%20unified%20monitoring%20and%20analysis%20platform\&utm_content=11049824438.2.desktop\&roistat=direct33_search_11049824438_kaspersky%20unified%20monitoring%20and%20analysis%20platform\&roistat_referrer=none\&roistat_pos=premium_2\&etext=2202.FT05MiKXvzDIZymi5r8utXv-EQ07Q0M90bVcTJQ4lkFCvK8_HwPz2Q-jIOYrEE8-yayA5k1yGjn06qTXOOOkT3V0c2VlcnpoZ3lnYnFyeGo.a658ee6744efbacd8cd4b88d52160a7daf6bae0b\&yclid=6330366592443011917)*);*

g.        *KOMRAD Enterprice SIEM (АО "Эшелон") (*[*KOMRAD Enterprise SIEM – АО Эшелон Технологии (etecs.ru)*](https://etecs.ru/komrad_siem/?ysclid=l9pkwvucoo452373391)*);*

h.        *RuSIEM (ООО "РуСИЕМ") (*[*SIEM – решение для мониторинга и анализа любой сетевой активности, происходящей в организации | RuSIEM*](https://rusiem.com/?ysclid=l9pky16yi683141532)*);*

*i.         "СёрчИнформ SIEM ("СёрчИнформ") (*[*СёрчИнформ SIEM - SearchInform*](https://searchinform.ru/products/siem/?ysclid=l9pkyoonnf709595410)*).*

2\.        *Некоторое ПО для сбора логов:*

a.        *Graylog;*

b.        *Logstash;*

c.        *Fluentd;*

d.        *Flume;*

e.        *LOGalyze;*

f.         *LogPacker;*

*g.        Log Collector;*

*h.        Logwatch и т.д.*

Данная мера требует технического мониторинга событий, которые мы регистрируем в рамках блока "регистрации событий ЗИ" каждого из процессов (подпроцессов) системы защиты. Безусловно удобнее всего делать это с помощью SIEM системы или иного централизованного инструмента мониторинга. Но само требование не говорит о конкретной реализации, поэтому его закрытие возможно и децентрализованными способами (хотя это и менее удобно и продуктивно, могут быть сценарии, когда часть мониторинга замкнута на встроенные средства - центральный мониторинг антивируса; центральный мониторинг сетевого оборудования; центральный мониторинг автоматизированных систем и приложений и т.д.). Чтобы осуществлять такой мониторинг нужна регистрация событий ИБ на всех уровнях информационной инфраструктуры, в том числе на уровнях:

* ОС серверов и АРМ (включая системное ПО);
* СУБД;
* Активного сетевого оборудования (включая коммутаторы и маршрутизаторы);
* Прикладного ПО, в том числе АБС, ДБО, общесистемных сервисов (например, службы каталогов);
* Виртуальной и контейнерной инфраструктуры;
* СКУД и видеонаблюдения.

Иных систем и компонент.

#### Проверочные процедуры (свидетельства)

1\.        Проверить состав объектов ИИ, на которых установлен Клиент сбора логов (необходимо организовать мониторинг событий формируемых контроллером доменов);

2\.        Скриншоты собираемых из контроллера домена событий в SIEM;

3\.        Скриншот настройки в SIEM функций передачи событий из журнала событий безопасности ОС контроллера домена;

4\.        Узнать какой протокол используется для передачи журналов регистрации событий в SIEM-систему (например, TCP или UDP, а также использование подпротоколов)..

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## МАС.7 (Н-Н-Т)

> Организация мониторинга данных регистрации о событиях защиты информации, формируемых средствами (системами) контроля и управления доступом.
>
> Уровень защиты информации 3-Н, 2-Н, 1-Т.

<details>

<summary>Пояснение</summary>

Данная мера требует технического мониторинга событий, которые мы регистрируем в рамках блока "регистрации событий ЗИ" каждого из процессов (подпроцессов) системы защиты. Безусловно удобнее всего делать это с помощью SIEM системы или иного централизованного инструмента мониторинга. Но само требование не говорит о конкретной реализации, поэтому его закрытие возможно и децентрализованными способами (хотя это и менее удобно и продуктивно, могут быть сценарии, когда часть мониторинга замкнута на встроенные средства - центральный мониторинг антивируса; центральный мониторинг сетевого оборудования; центральный мониторинг автоматизированных систем и приложений и т.д.). Чтобы осуществлять такой мониторинг нужна регистрация событий ИБ на всех уровнях информационной инфраструктуры, в том числе на уровнях:

* ОС серверов и АРМ (включая системное ПО);
* СУБД;
* Активного сетевого оборудования (включая коммутаторы и маршрутизаторы);
* Прикладного ПО, в том числе АБС, ДБО, общесистемных сервисов (например, службы каталогов);
* Виртуальной и контейнерной инфраструктуры;
* СКУД и видеонаблюдения.

Иных систем и компонент.

</details>

#### Реализация - Т

*Мера реализуется передачей событий из  средств контроля и управления доступом, (IdM и PAM систем) в SIEM-систему сбора событий информационной безопасности.*

*Для отправки логов в SIEM-систему на хосты устанавливаются клиенты для сбора логов, либо настраивается безагентский сбор событий (например, средствами syslog). На стороне SIEM или промежуточных коллекторов настраивается нормализация, фильтрация, агрегация и классификация событий, без которых фактически невозможен мониторинг (подробнее см.* [*МАС.17*](file:///o/4rbbgJubJtDQ3J9GvoLd/s/5Q5ShzEMhHU67dehdkwD/processy/6-p.-upravlenie-incidentami-zashity-informacii/mas-monitoring-i-analiz-sobytii-zashity-informacii/mas-17-20)*).*

1\.        *Некоторые СЗИ класса SIEM:*

a.        *McAfee Enterprice Security Manager;*

b.        *Macro Focus ArcSight;*

c.        *FortiSIEM;*

d.        *MaxPatrol SIEM (Positive Technologies) (*[*MaxPatrol SIEM – выявление инцидентов информационной безопасности (ptsecurity.com)*](https://www.ptsecurity.com/ru-ru/products/mpsiem/)*);*

e.        *Ankey SIEM ("Газинформсервис") (*[*Ankey SIEM (gaz-is.ru)*](https://www.gaz-is.ru/produkty/upravlenie-ib/ankey-siem.html?ysclid=l9pkv8hbx9597669266)*);*

f.         *Kaspersky Unified Monitoring and Analysis Platform ("Лаборатория Касперского") (*[*KUMA (axoftglobal.com)*](https://kuma-kaspersky.axoftglobal.com/kuma?utm_source=yandex\&utm_medium=cpc\&utm_campaign=kuma_search\&utm_term=kaspersky%20unified%20monitoring%20and%20analysis%20platform\&utm_content=11049824438.2.desktop\&roistat=direct33_search_11049824438_kaspersky%20unified%20monitoring%20and%20analysis%20platform\&roistat_referrer=none\&roistat_pos=premium_2\&etext=2202.FT05MiKXvzDIZymi5r8utXv-EQ07Q0M90bVcTJQ4lkFCvK8_HwPz2Q-jIOYrEE8-yayA5k1yGjn06qTXOOOkT3V0c2VlcnpoZ3lnYnFyeGo.a658ee6744efbacd8cd4b88d52160a7daf6bae0b\&yclid=6330366592443011917)*);*

g.        *KOMRAD Enterprice SIEM (АО "Эшелон") (*[*KOMRAD Enterprise SIEM – АО Эшелон Технологии (etecs.ru)*](https://etecs.ru/komrad_siem/?ysclid=l9pkwvucoo452373391)*);*

h.        *RuSIEM (ООО "РуСИЕМ") (*[*SIEM – решение для мониторинга и анализа любой сетевой активности, происходящей в организации | RuSIEM*](https://rusiem.com/?ysclid=l9pky16yi683141532)*);*

*i.         "СёрчИнформ SIEM ("СёрчИнформ") (*[*СёрчИнформ SIEM - SearchInform*](https://searchinform.ru/products/siem/?ysclid=l9pkyoonnf709595410)*).*

2\.        *Некоторое ПО для сбора логов:*

a.        *Graylog;*

b.        *Logstash;*

c.        *Fluentd;*

d.        *Flume;*

e.        *LOGalyze;*

f.         *LogPacker;*

*g.        Log Collector.*

*Logwatch и т.д.*

#### Проверочные процедуры (свидетельства)

1\.        Проверить состав объектов ИИ, на которых установлен Клиент сбора логов (необходимо организовать мониторинг событий формируемых средствами контроля и управления доступом, (IdM и PAM системами);

2\.        Скриншот настройки в SIEM функций передачи событий из журнала событий  IdM или PAM системы.

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.