В рамках SIEM-системы созданы статические списки, куда каждую ночь подгружаются новые индикаторы компрометации. Для каждого списка существует свой собственный TTL – time to leave, то есть срок истечения для каждой записи. Это позволяет автоматически удалять индикаторы из списка, по прохождению времени, через которое данный индикатор уже перестает быть вредоносным, тем самым уменьшая количество ложных срабатываний. При этом если индикатор все еще активен, он будет обновлен при обновлении индикаторов, и время его жизни будет увеличено.
Выявление вредоносных коммуникаций происходит на основе уже настроенных общих правил корреляции. Если решения заказчика имеют нетипичную конфигурацию (например, используются нестандартные прокси-сервера, или другие информационные системы), в рамках RuSIEM можно создать свои правила корреляции и использовать их с учетом особенностей своей инфраструктуры.
Модуль RuSIEM IoC настраивается автоматически. Когда Firewall или иное СЗИ фиксирует факт взаимодействия устройства с внешним узлом, оно передает данные в SIEM-систему. Система, в свою очередь, анализирует их с помощью правил корреляции и устанавливает, является ли IP или домен, с которым взаимодействовало устройство, вредоносным. После того, как установлена угроза, в системе создается инцидент.
Можно ли подгружать индикаторы других поставщиков или создать свои правила корреляции?
Технически можно, например, – фиды и индикаторы ФинЦЕРТ Банка России. Но для этого созданы отдельные модули, которые устанавливаются по запросу организаций, подписавших соглашение с этими организациями.