VB-Trend 2020: Отчёт
В этот раз конференция VB-Trend 2020: Search Anywhere прошла в комбинированном режиме. Мы писали материал в уже ставшем для нас классикой баре Дижестив и попутно выставили наружу Zoom, к которому подключились ранее зарегистрированные участники.
![](https://www.volgablob.ru/blog/wp-content/uploads/2020/10/vb-trend-2020-logo-v2-1024x419.png)
Часть экспертов присутствовала на площадке. Ещё раз просим нас извинить тех, для кого в этом году не случился наш экспертный ламповый offline. И за баги online нас простите!
Существенный плюс в том, что у нас получилось сообщить всё запланированное. А именно:
Search Anywhere и новая версия Smart Monitor Open Source
Александр Скакунов, Илья Шаманов, Алексей Орехов | VolgaBlob
.pptx .pdf YouTubeСобственно, Search Anywhere — это и есть короткое определение принципа работы нового Smart Monitor. От нас ушел Splunk, мы ушли от ELK, и вот куда это все привело: теперь Smart Monitor работает поверх множества корпоративных хранилищ данных и может искать в них без необходимости индексации данных в централизованный Data Lake.
![](https://www.volgablob.ru/blog/wp-content/uploads/2020/11/Search-Anywhere-1024x477.png)
От описания концепции, мы перешли к изложению принципов её реализации. Показали, чего достигли за год в части развития языка поисковых запросов Smart Monitor Language (SML). Кроме множества новых, но до боли знакомых пользователям Splunk команд, появились конструкции, поясняющие принцип Search Anywhere.
![](https://www.volgablob.ru/blog/wp-content/uploads/2020/11/SA-search-example-1024x319.png)
Рассказали, как ушли от визуализаций Kibana и создали собственные красивые варианты оформления, а также мастер по созданию и редактированию дашбордов. В прошлом году мы не делали акцент на этапе сбора данных, зато в этом рассказали про агенты сбора данных Smart Beat и инструмент управления Smart Beat Manager.
Работу мы демонстрировали на сквозном примере на машинных данных. В качестве альтернативы просмотру видео мы прямо тут покажем что имеется в виду на парочке примеров.
SML Example Search #1
source elk:win_events, clk:events.nix_events | eval data_source = '_type' | timechart timefield="timestamp" span=10m count(data_source) by data_source
- Выгрузка данных из нескольких источников (ELK — события Windows, Click — события Linux) — использование metasource.
- Переименование сервисного поля _type > data_source.
- Построение time series графика по количеству событий в каждом источнике — с разбивкой по 10 минутным интервалам.
Вот как это выглядит в Smart Monitor:
- Запуск запроса, автоматический выбор визуализаций Line Chart (так как есть вызов команды timechart).
- Включение Area Mode и Multi Series Mode.
- Сохранение на новый дашборд Host Overview.
- Выбор опции автоматического создания и привязки временного фильтра.
- Переход к просмотру дашборда.
![](https://www.volgablob.ru/blog/images/sm/SMOS-Demo-Search.gif)
SML Example Search #2
source clk:events.nix_events, elk:win_events qsize=5000 | eval hostname = coalesce(agent.hostname, 'host') | stats count as event_count by hostname | join type=left hostname [ source had:default.servers | fields hostname description responsible ] | lookup e_hr_employee_list user_name as responsible output fio department
- Выгрузка данных из нескольких источников (ELK — события Windows, Click — события Linux) — использование metasource.
- Объединение полей, в которых хранится имя хоста, в одно — использование команды coalesce.
- Построение статистики — количество событий от каждого хоста.
- Обогащение инвентарной информацией с помощью команды join — выгрузка данных из Hadoop.
- Обогащение инвентарной информацией с помощью lookup — добавление ответственных за серверы.
Смотрим в Smart Monitor:
- Настройка отображения таблицы — раскраска значений поля department.
- Сохранение уже на ранее созданный дашборд (из первого видео).
- Переход к просмотру дашборда.
![](https://www.volgablob.ru/blog/images/sm/SMOS-Demo-Tables.gif)
Обсуждая roadmap, мы вынесли на слайд много всего. Далеко не все пункты в итоге войдут в план 2021. Но нам интересно ваше мнение, и мы открыты к обсуждению. На конференции прозвучало, что обмен мнениями и обсуждение платформы мы организуем на площадке Telegram. И мы сделали это, вот ссылочка на описание группы и возможность к ней подключиться.
Ждем всех неравнодушных!
Incident Response в корпоративном мессенджере
Максим Кириенко, Олег Гомазков | VolgaBlob
.pptx .pdf YouTubeСфера Cyber Security для платформы Smart Monitor является классикой, и мы развиваем свои cyber модули сразу в нескольких направлениях. Данный доклад был посвящен одному из вариантов интерактивного взаимодействия сотрудников ИБ с системой мониторинга и защищаемой инфраструктурой через корпоративный мессенджер. Да, мессенджер мы тоже можем разместить внутри вашей организации. Чтобы чувствительные данные об инцидентах не грузились в неконтролируемое вами публичное облако.
![](https://www.volgablob.ru/blog/wp-content/uploads/2020/11/Matrix-1024x557.png)
Для интеграции со Smart Monitor мы остановились на open source решении, где Matrix выступает в качестве серверной части и Element в качестве мессенджера для любой из распространенных операционных систем, как мобильных, так и десктопных.
Демонстрация того, как это все работает, лучше сразу смотреть вот тут: YouTube
Smart Monitor for MITRE ATT&CK
Иван Силкин, Илья Мельников | VolgaBlob
.pptx .pdf YouTubeВокруг методологии MITRE есть много хайпа, но мало практической пользы. Мы попробовали исправить ситуацию.
![](https://www.volgablob.ru/blog/wp-content/uploads/2020/11/mitre-1024x397.png)
Если коротко, то предлагаемая реализация применяет глобальную базу знаний про техники атак к локальным реалиям вашей компании. Под разными углами. К разным компонентам инфраструктуры.
Это можно назвать динамической моделью угроз и нарушителя, да простит нас ФСТЭК за самовольство в терминах. И это будет работать не на «ручном приводе», который еще известен как «экспертное мнение», а на логах с ваших средств защиты, ИТ-решений и прикладных бизнес-систем!
Да, кстати. Мы не забываем про свою практику Splunk. И этот модуль первично появился сейчас именно на Smart Monitor под Splunk.
Круглый стол «Безоблачные перспективы»
Этот раздел у нас выдержал шторм изменения и выжил! Круглый стол провели вопреки, а не благодаря, как говорится. Спасибо за помощь «из зала» от Дениса Горчакова, за подключение Дмитрия Мананникова (и это не смотря на «коронацию», которую он отмечал дома), и за неоценимый вклад в экспромт Рустэма Хайретдинова!
Технически у нас не получилось выцепить из лап обстоятельств запись, так что тут будет просто фото.
![](https://www.volgablob.ru/blog/wp-content/uploads/2020/11/zoom.jpg)
Бизнес-кейс от Сбер-Решения: оценка операционной эффективности сотрудников
Михаил Таланин | Сбер-Решения, Юрий Чернигин | VolgaBlob
.pptx .pdf YouTubeВот как не было джинсы на VB-Trend, так и не будет! Этот доклад — очередное тому подтверждение. Михаил, как представитель Сбер-Решений, максимально открыто рассказал о непростом, но в итоге весьма эффективном пути создания профилей сотрудников. И о том, что данный профиль перестал быть «карточкой» для ИБ, а стал восприниматься как консолидированная информация, нужная HR, финансам и бизнесу в целом.
![](https://www.volgablob.ru/blog/wp-content/uploads/2020/11/uba1-1024x571.png)
У ребят на слайдах много и методологии, и практики, так что лучше смотреть. Вот вам пример, как ловить «размазанные» атаки с постепенным увеличением риск-балла. А там ещё сводный индекс корпоративного соответствия, сводные показатели по подразделению, формирование эталонных моделей поведения и много чего еще вкусного!
Демо-зоны и работа экспертного клуба VB-Trend
Вот тут Zoom кончился. Мы не знаем как это выставить в online. Но эта секция была.
Мы сделали ролик для тех, кто не был. В музыке — вся тревога и напряжение 2020, динамика и вера в то, что всё будет отлично! В нём — наше настроение! А ещё в нём музыка нашего замечательного Сергея Коваленко! Который не только клёво проектирует и настраивает СЗИ, но и созидает в совершенно другой сфере!
Спасибо, Серёга!
Спасибо всей команде VB и тем, кто верит в неё!
Го создавать комьюнити!
Incident Response, KwC, MITRE, Search Anywhere, Smart Monitor, SME, UBA, VB-Trend