Tenable Россия Беларусь Казахстан Азербайджан

Что такое Tenable Log Correlation Engine (LCE) и в чем его польза?

Система управления уязвимостями Tenable.sc Continuous View включает в себя компонент Log Correlation Engine (движок корреляции логов или LCE), обеспечивающий сбор и анализ журнальных данных.

Log Correlation Engine осуществляет непрерывный мониторинг событий безопасности и наложение этих данных на информацию об уязвимостях в отчетах и дашбордах Tenable.sc. Такая комбинаций логов и уязвимостей дает более детальное понимание реального состояния инфраструктуры и позволяет принимать оптимальные решения аналитикам ИБ.

Рассмотрим подробнее возможности и преимущества LCE.

Что такое Log Correlation Engine

Tenable Log Correlation Engine (LCE) — это важнейший компонент решения Tenable.sc Continuous View (ранее SecurityCenter CV), который позволяет агрегировать, нормализовать, коррелировать и анализировать журнальные данные из необработанного сетевого трафика, данные систем обнаружения вторжений, системные журналы и журналы приложений, а также активность пользователей и инфраструктуры.

Сводка нормализованных событий Log Correlation Engine в интерфейсе Tenable.sc

Преимущества использования LCE

LCE позволяет реализовать следующие сценарии:

  1. Централизованные нормализация, корреляция и анализ пользовательской и сетевой активности на основе журнальных данных, сгенерированных практически любым устройством или приложением организации
  2. Хранение, сжатие и полнотекстовый поиск по любым журнальным данным, генерируемым тысячами сетевых устройств и приложений
  3. Демонстрация соответствия внутренним политикам и регуляторным требованиям требования путем поддержания аудируемой инфраструктуры
  4. Отслеживание несанкционированных изменений и удалений файлов и каталогов
  5. Обнаружение вредоносных программ и вредоносных системных процессов, запущенных на анализируемых хостах
  6. Сбор пользовательских журналов доступа и анализ поведения для профилирования внутренних угроз и определения ресурсов Интернет, которые посещают сотрудники, систем, к которым они получают доступ, а также запускаемых программ
  7. Классификация и хранение журналов, не соответствующие существующим правилам, для дальнейшего анализа, что позволяет ретроспективно анализировать угрозы, которым могли быть упущены ранее
  8. Мониторинг локальных и удаленных систем Windows на активность съемных устройств
  9. Автоматическое обнаружение отклонений от типичного уровня и типа активности для любых источников журнальных данных, включая всплески активности на МСЭ, изменения в частоте ошибок веб-приложений и атаки типа «отказ в обслуживании»

Принципы работы LCE

Обнаружение аномалий и корреляция событий

По мере сбора событий для каждого устройства LCE применяет статистическое профилирование, что позволяет выявлять изменения и отклонения от ожидаемого поведения. Оповещения генерируется при обнаружении аномальной активности, такой как увеличение типов событий, увеличение количества подключений или изменения в поведении клиентов или серверов.

LCE содержит расширенные правила корреляции, которые ищут всплески заражения вирусами, сетевые аномалии, нарушения регуляторного соответствия, утечки данных, продвинутые угрозы, некорректное использование беспроводных точек доступа и многое другое. Эти правила описаны на языке Tenable Application Scripting Language (TASL), поэтому определения могут быть дополнены или изменены по мере необходимости.

Дашборд мониторинга целевых событий LCE

Отчетность и анализ

Возможности сбора форензики и реагирования на инциденты, встроенные в Tenable.sc, полагаются на единое озеро данных по уязвимостям, угрозам и вторжениям, и доступны в едином веб-интерфейсе, в том числе:

  • Хранение журнальных данных — все журнальные данные, отправляемые в LCE, могут сохраняться на том же диске, передаваться на syslog-сервер или записываться на сетевую СХД, что позволяет выполнять нормативные требования и проводить расследования. Журнальные данные можно ротировать и архивировать, а также сохранять в сжатом формате на сервере LCE с возможностью последующего поиска по ним в интерфейсе Log Correlation Engine или консоли Tenable.sc.
  • Клиенты Log Correlation Engine — каждый сервер Log Correlation Engine может быть подключен к тысячам клиентов LCE, предназначенных для сбора данных журналов Windows, логов веб-серверов, выполняемых команд, syslog, сетевого трафика и информации о целостности файлов. Кроме того, веб-клиенты LCE могут импортировать события из Amazon Web Services (AWS) для мониторинга облачных приложений, а также успешные и неуспешные входы в систему и изменения пользователей в Salesforce.

Централизованное управление

Централизованное управление клиентами Log Correlation Engine позволяет значительно сократить время на развертывание и администрирование. Дополнительно это позволяет проводить масштабные изменения конфигурации в реальном времени.

Дашборд аналитик и событий LCE

Log Correlation Engine как компонент Tenable.sc

Платформа непрерывного мониторинга Tenable.sc CV — флагманский продукт Tenable, который позволяет получать наиболее комплексное и полноценное представление о состоянии сети организации.

Система Tenable.sc CV (ранее SecurityCenter CV) способна управлять множеством сканеров Nessus, инстансов Nessus Network Monitor и серверов Log Correlation Engine в рамках одной инсталляции. Это позволяет коррелировать обнаруженные в реальном времени угрозы, собираемые журнальные данные и результаты мониторинга регуляторного соответствия в рамках единого веб-интерфейса с ролевой моделью доступа. Такая комбинация данных обеспечивает аналитикам возможность эффективно оценивать происходящее, коммуницировать состояние безопасности и создавать отчетность для принятия оптимальных решений по ИБ в масштабе всей организации.

Tenable.sc организует сетевые активы в категории на основе активного сетевого сканирования, пассивного мониторинга сети и интеграции с внешними источниками данных об активах и сетевой инфраструктуре, и затем коррелирует эту информация с журнальными данными. Результат позволяет получить комплексное представление о системной и сетевой активности в инфраструктуре организации.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибербезопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/