CC BY
20
УДК 004.056
ИНТЕГРАЦИЯ МЕЖСЕТЕВЫХ ЭКРАНОВ ПРИКЛАДНОГО УРОВНЯ
С siem-системой
А. Г. Ситдикова Научный руководитель - В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева
Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: sital95@mail.ru
Рассматривается интеграция межсетевого экрана уровня веб-сервера и межсетевого экрана для защиты СУБД с SIEM-системой.
Ключевые слова: информационная безопасность, межсетевой экран прикладного уровня, SIEM.
integration of application firewalls with security information
and event management
A. G. Sitdikova Scientific Supervisor - V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation
E-mail: sital95@mail.ru
The article considers the integration of web application firewall and database firewall with security information and event management.
Keywords: information security, application firewall, security information and event management.
Для проведения исследования был создан демонстрационный стенд: на веб-сервере Microsoft IIS был развернут веб-сайт, информация для которого хранится в СУБД MySQL, развернутой на другом компьютере. Для обеспечения безопасности веб-сервера был выбран межсетевой экран ModSecurity с базовым набором правил, а для СУБД и базы данных - межсетевой экран DataArmor, в котором были настроены правила для аудита, защиты от SQL инъекций и маскировки данных [1, 2].
Для централизованного сбора данных о работе межсетевых экранов, их хранения, корреляции, создания отчетов, отправки оповещений и визуализации результатов было принято решение использовать SIEM (Security information and event management) систему. На основе анализа существующих решений была выбрана SIEM Splunk, являющаяся одним из лидеров по оценке Gartner 2018 [3; 4]. Существует 2 типа Splunk - Splunk Enterprise и Splunk Cloud. Splunk Enterprise устанавливается и поддерживается сотрудниками организации на ресурсах организации, а Splunk Cloud размещается на облачном сервере, который обслуживается Splunk. Для использования Splunk Cloud был установлен Splunk Universal Forwader на компьютеры, с которых будут собираться данные. Splunk Universal Forwader необходим для пересылки данных на сервер Splunk Cloud.
Организация пересылки данных ModSecurity и работы с ними в Splunk состоит из нескольких этапов:
1. Включение журналирования в настройках ModSecurity.
2. Включение в Splunk отслеживания журналов аудита ModSecurity.
3. Извлечение полей из отправленных данных.
Актуальные проблемы авиации и космонавтики - 2019. Том 2
4. Создание модели данных по извлеченной информации.
Пересылка информации о работе DataArmor включает в себя:
1. Конфигурирование Syslog в настройках DataArmor: тип протокола, Г?-адрес и порт Syslog сервера.
2. Включение аудита и указание на конфигурацию Syslog в настройках правил DataArmor.
3. Включение в Splunk отслеживания журналов аудита DataArmor.
4. Извлечение полей из отправленных данных.
5. Создание модели данных по извлеченной информации.
Работа с большим количеством информации является очень трудоемким и сложным процессом, поэтому для анализа собранных данных применяются различные методы, например, производится их визуализация. Используя графики, можно обнаружить наиболее популярные объекты угроз и типы атак, выявить источники атак, их расположение и др. и предпринять меры по предотвращению атак в дальнейшем.
Были созданы графики, содержащие информацию: о количестве атак, Г?-адреса источника, веб-сайты, на которые производились атаки, часовые пояса источника атак, их географическое расположение (рис. 1), сообщения, типы атак, сработавшие правила DataArmor.
Рис. 1. Расположение источников атак
При помощи SIEM можно создавать оповещения для мониторинга и реагирования на конкретные события. Оповещения используют сохраненный поиск для обнаружения событий в режиме реального времени или по расписанию. Оповещения срабатывают, когда результаты поиска соответствуют определенным условиям.
Было создано оповещение на событие ModSecurity, в настройках которого было включена работа в режиме реального времени (рис. 2).
serangs
Title ModSeEurtty Alert
Description ModSecur iy Alert
Searcr itC
Permissions Jyert type
Trigger conditions
Trigger alert when
Trigger
source«" С: VMijgWnodsec. 1 og"
Search fi Reporting (search)v Pnvate Shared in дрр
Scheduled
Real-time
Number nl Results
: цвмгпмл
»
mmut«(s) v
For each result
Рис. 2. Создание оповещения ModSecurity
В случае срабатывания оповещения добавлено действие - отправка сообщения на электронную почту и в корпоративный мессенджер Slack [5]. При регистрации атаки информация отправляется на электронную почту и в Slack (рис. 3).
Splunk Alert: Mod Security Alert
От кого; "Splunk Clcud Alefts" -^lerts&splLjnkalerts.rc Дата: 14<I3-2Q19
Tne alert condllian for 'MoctSecurily Alert' was triggered. Alert: ModSecunty Aert
| 1 I ¿plunk км» №1
Jolred чгп;11 inkalerrs I 1 В Splunk IM» AM
.added an Integration № Lhib channel: Intomlng-rtebhaok
H Splunk AFT 1CC+JAM Modbeturity Alert] A ModSecurity Alert Siow results in 5piunk 4,, wuite
C:Mog\modEffii_loa log QipJunkAlfrt Todays 10:44 AM
Рис. 3. Информация о попытке проведения атаки
SIEM-система является эффективным средством для сбора информации с различных устройств, позволяющим просматривать данные, отправлять оповещения, создавать отчеты и визуализировать результаты. Интеграция межсетевых экранов прикладного уровня с SIEM-системой предоставляет возможность отслеживать атаки на веб-сервера, веб-приложения, СУБД и базы данных. SIEM-система собирает и анализирует информацию с журналов аудита, позволяя предпринимать действия по незамедлительному отражению атак, устранению их последствий, выявлению нарушителей, а также недопущению попыток подобных атак в будущем.
Библиографические ссылки
1. ModSecurity [Электронный ресурс]. URL: https://modsecurity.org/ (дата обращения 03.03.2019).
2. DataArmor [Электронный ресурс]. https://www.dataarmor.ru/ (дата обращения: 02.03.2019).
3. Splunk [Электронный ресурс]. URL: https://www.splunk.com/ (дата обращения: 22.03.2019).
4. Gartner [Электронный ресурс]. URL: https://www.gartner.com/ (дата обращения: 26.03.2019).
5. Slack [Электронный ресурс]. URL: https://slack.com/ (дата обращения: 31.03.2019).
© Ситдикова А. Г., 2019
