Integracja systemów IT z systemami monitorowania

Jednym z elementów wdrożenia rozwiązaia SIEM jest integracja platformy technologicznej SIEM z systemami informatycznymi przedsiębiorstwa. O ile dla typowych systemów takich jak systemy operacyjne, bazy danych, urządzenia sieciowe czy rozwiązania bezpieczeństwa istnieją gotowe interfejsy (konektory) dla platformy SIEM, to problemy zaczynają się przy rozwiązaniach mniej popularnych dostawców czy też w przypadku aplikacji dedykowanych. Wychodząc naprzeciw temu problemowi oferujemy usługę tworzenia konektorów, zarówno w ramach naszych wdrożeń SIEM jak i jako samodzielny projekt. W trakcie naszej dotychczasowej działalności wytworzyliśmy ponad sto konektorów dedykowanych do różnorakich źródeł danych, takich jak: aplikacje bankowości internetowej, systemy kontroli dostępu, mniej popularne bazy danych i rozwiązania bezpieczeństwa, czujniki wilgotności, systemy alarmowe i wiele innych. Niezależnie od sposobu logowania zdarzeń przez system, jesteśmy w stanie pobrać z niego te informacje, które są w nim dostępne.

Tworzenie konektora dedykowanego to nie tylko kwestie techniczne, związane z formatem zdarzeń, sposobem ich dostarczenia czy wydajnością. W ramach usługi integracji źródeł danych przeprowadzamy również analizę merytoryczną dostępnych informacji. Niestety większość systemów nie była tworzona z myślą o automatycznym przetwarzaniu dzienników zdarzeń w platformie SIEM, a prawie wszystkie nie były tworzone z myślą o analizach dzienników pod kątem bezpieczeństwa, stąd też zarówno format zapisu informacji jak i ich treść pozostawiają wiele do życzenia. Wynikiem naszej analizy jest również rekomendacja zmian, pozwalających na bardziej efektywne przetwarzanie logów w systemach automatycznych oraz pozwalających na lepszą ocenę zdarzeń pod kątem bezpieczeństwa.

Szczególnej uwagi wymagają dwa rozwiązania integracyjne dla bardzo popularnych platform, których standardowe narzędzia dostępne „z pudełka” pozostawiają spore luki jeżeli chodzi o interpretację dzienników zdarzeń. Pierwszym z tych systemów jest platforma Microsoft Exchange, dla której pełny log audytowy (w szczególności zakres audytu potrzebny do identyfikacji przypadków „zaglądania do cudzej skrzynki”) wymaga specjalnych zabiegów i odczytu poprzez interfejs programistyczny. Drugim systemem jest platforma Microsoft Sharepoint, dla której ponownie, pełny log audytowy w formie zrozumiałej dla człowieka nie jest dostępny za pomocą standardowych narzędzi. W obu przypadkach nasze narzędzia pozwalają na konfigurację odpowiednich ustawień audytu i przekazywanie informacji w postaci zdarzeń do platformy SIEM lub innego wybranego przez Klienta rozwiązania.