Система управления уязвимостями Tenable.sc Continuous View включает в себя компонент Log Correlation Engine (движок корреляции логов или LCE), обеспечивающий сбор и анализ журнальных данных.
Log Correlation Engine осуществляет непрерывный мониторинг событий безопасности и наложение этих данных на информацию об уязвимостях в отчетах и дашбордах Tenable.sc. Такая комбинаций логов и уязвимостей дает более детальное понимание реального состояния инфраструктуры и позволяет принимать оптимальные решения аналитикам ИБ.
Рассмотрим подробнее возможности и преимущества LCE.
Что такое Log Correlation Engine
Tenable Log Correlation Engine (LCE) — это важнейший компонент решения Tenable.sc Continuous View (ранее SecurityCenter CV), который позволяет агрегировать, нормализовать, коррелировать и анализировать журнальные данные из необработанного сетевого трафика, данные систем обнаружения вторжений, системные журналы и журналы приложений, а также активность пользователей и инфраструктуры.
Преимущества использования LCE
LCE позволяет реализовать следующие сценарии:
- Централизованные нормализация, корреляция и анализ пользовательской и сетевой активности на основе журнальных данных, сгенерированных практически любым устройством или приложением организации
- Хранение, сжатие и полнотекстовый поиск по любым журнальным данным, генерируемым тысячами сетевых устройств и приложений
- Демонстрация соответствия внутренним политикам и регуляторным требованиям требования путем поддержания аудируемой инфраструктуры
- Отслеживание несанкционированных изменений и удалений файлов и каталогов
- Обнаружение вредоносных программ и вредоносных системных процессов, запущенных на анализируемых хостах
- Сбор пользовательских журналов доступа и анализ поведения для профилирования внутренних угроз и определения ресурсов Интернет, которые посещают сотрудники, систем, к которым они получают доступ, а также запускаемых программ
- Классификация и хранение журналов, не соответствующие существующим правилам, для дальнейшего анализа, что позволяет ретроспективно анализировать угрозы, которым могли быть упущены ранее
- Мониторинг локальных и удаленных систем Windows на активность съемных устройств
- Автоматическое обнаружение отклонений от типичного уровня и типа активности для любых источников журнальных данных, включая всплески активности на МСЭ, изменения в частоте ошибок веб-приложений и атаки типа «отказ в обслуживании»
Принципы работы LCE
Обнаружение аномалий и корреляция событий
По мере сбора событий для каждого устройства LCE применяет статистическое профилирование, что позволяет выявлять изменения и отклонения от ожидаемого поведения. Оповещения генерируется при обнаружении аномальной активности, такой как увеличение типов событий, увеличение количества подключений или изменения в поведении клиентов или серверов.
LCE содержит расширенные правила корреляции, которые ищут всплески заражения вирусами, сетевые аномалии, нарушения регуляторного соответствия, утечки данных, продвинутые угрозы, некорректное использование беспроводных точек доступа и многое другое. Эти правила описаны на языке Tenable Application Scripting Language (TASL), поэтому определения могут быть дополнены или изменены по мере необходимости.
Отчетность и анализ
Возможности сбора форензики и реагирования на инциденты, встроенные в Tenable.sc, полагаются на единое озеро данных по уязвимостям, угрозам и вторжениям, и доступны в едином веб-интерфейсе, в том числе:
- Хранение журнальных данных — все журнальные данные, отправляемые в LCE, могут сохраняться на том же диске, передаваться на syslog-сервер или записываться на сетевую СХД, что позволяет выполнять нормативные требования и проводить расследования. Журнальные данные можно ротировать и архивировать, а также сохранять в сжатом формате на сервере LCE с возможностью последующего поиска по ним в интерфейсе Log Correlation Engine или консоли Tenable.sc.
- Клиенты Log Correlation Engine — каждый сервер Log Correlation Engine может быть подключен к тысячам клиентов LCE, предназначенных для сбора данных журналов Windows, логов веб-серверов, выполняемых команд, syslog, сетевого трафика и информации о целостности файлов. Кроме того, веб-клиенты LCE могут импортировать события из Amazon Web Services (AWS) для мониторинга облачных приложений, а также успешные и неуспешные входы в систему и изменения пользователей в Salesforce.
Централизованное управление
Централизованное управление клиентами Log Correlation Engine позволяет значительно сократить время на развертывание и администрирование. Дополнительно это позволяет проводить масштабные изменения конфигурации в реальном времени.
Log Correlation Engine как компонент Tenable.sc
Платформа непрерывного мониторинга Tenable.sc CV — флагманский продукт Tenable, который позволяет получать наиболее комплексное и полноценное представление о состоянии сети организации.
Система Tenable.sc CV (ранее SecurityCenter CV) способна управлять множеством сканеров Nessus, инстансов Nessus Network Monitor и серверов Log Correlation Engine в рамках одной инсталляции. Это позволяет коррелировать обнаруженные в реальном времени угрозы, собираемые журнальные данные и результаты мониторинга регуляторного соответствия в рамках единого веб-интерфейса с ролевой моделью доступа. Такая комбинация данных обеспечивает аналитикам возможность эффективно оценивать происходящее, коммуницировать состояние безопасности и создавать отчетность для принятия оптимальных решений по ИБ в масштабе всей организации.
Tenable.sc организует сетевые активы в категории на основе активного сетевого сканирования, пассивного мониторинга сети и интеграции с внешними источниками данных об активах и сетевой инфраструктуре, и затем коррелирует эту информация с журнальными данными. Результат позволяет получить комплексное представление о системной и сетевой активности в инфраструктуре организации.