VB-Trend 2020: Отчёт

В этот раз конференция VB-Trend 2020: Search Anywhere прошла в комбинированном режиме. Мы писали материал в уже ставшем для нас классикой баре Дижестив и попутно выставили наружу Zoom, к которому подключились ранее зарегистрированные участники.

Часть экспертов присутствовала на площадке. Ещё раз просим нас извинить тех, для кого в этом году не случился наш экспертный ламповый offline. И за баги online нас простите!

Существенный плюс в том, что у нас получилось сообщить всё запланированное. А именно:

Search Anywhere и новая версия Smart Monitor Open Source

Александр Скакунов, Илья Шаманов, Алексей Орехов | VolgaBlob

Собственно, Search Anywhere — это и есть короткое определение принципа работы нового Smart Monitor. От нас ушел Splunk, мы ушли от ELK, и вот куда это все привело: теперь Smart Monitor работает поверх множества корпоративных хранилищ данных и может искать в них без необходимости индексации данных в централизованный Data Lake.

От описания концепции, мы перешли к изложению принципов её реализации. Показали, чего достигли за год в части развития языка поисковых запросов Smart Monitor Language (SML). Кроме множества новых, но до боли знакомых пользователям Splunk команд, появились конструкции, поясняющие принцип Search Anywhere.

Рассказали, как ушли от визуализаций Kibana и создали собственные красивые варианты оформления, а также мастер по созданию и редактированию дашбордов. В прошлом году мы не делали акцент на этапе сбора данных, зато в этом рассказали про агенты сбора данных Smart Beat и инструмент управления Smart Beat Manager.

Работу мы демонстрировали на сквозном примере на машинных данных. В качестве альтернативы просмотру видео мы прямо тут покажем что имеется в виду на парочке примеров.

SML Example Search #1

source elk:win_events, clk:events.nix_events
| eval data_source = '_type'
| timechart timefield="timestamp" span=10m count(data_source) by data_source

• Выгрузка данных из нескольких источников (ELK — события Windows, Click — события Linux) — использование metasource.
• Переименование сервисного поля _type > data_source.
• Построение time series графика по количеству событий в каждом источнике — с разбивкой по 10 минутным интервалам.

Вот как это выглядит в Smart Monitor:

• Запуск запроса, автоматический выбор визуализаций Line Chart (так как есть вызов команды timechart).
• Включение Area Mode и Multi Series Mode.
• Сохранение на новый дашборд Host Overview.
• Выбор опции автоматического создания и привязки временного фильтра.
• Переход к просмотру дашборда.

SML Example Search #2

source clk:events.nix_events, elk:win_events qsize=5000
| eval hostname = coalesce(agent.hostname, 'host')
| stats count as event_count by hostname
| join type=left hostname [ source had:default.servers | fields hostname description responsible ]
| lookup e_hr_employee_list user_name as responsible output fio department

• Выгрузка данных из нескольких источников (ELK — события Windows, Click — события Linux) — использование metasource.
• Объединение полей, в которых хранится имя хоста, в одно — использование команды coalesce.
• Построение статистики — количество событий от каждого хоста.
• Обогащение инвентарной информацией с помощью команды join — выгрузка данных из Hadoop.
• Обогащение инвентарной информацией с помощью lookup — добавление ответственных за серверы.

Смотрим в Smart Monitor:

• Настройка отображения таблицы — раскраска значений поля department.
• Сохранение уже на ранее созданный дашборд (из первого видео).
• Переход к просмотру дашборда.

Обсуждая roadmap, мы вынесли на слайд много всего. Далеко не все пункты в итоге войдут в план 2021. Но нам интересно ваше мнение, и мы открыты к обсуждению. На конференции прозвучало, что обмен мнениями и обсуждение платформы мы организуем на площадке Telegram. И мы сделали это, вот ссылочка на описание группы и возможность к ней подключиться.

Ждем всех неравнодушных!

Incident Response в корпоративном мессенджере

Максим Кириенко, Олег Гомазков | VolgaBlob

Сфера Cyber Security для платформы Smart Monitor является классикой, и мы развиваем свои cyber модули сразу в нескольких направлениях. Данный доклад был посвящен одному из вариантов интерактивного взаимодействия сотрудников ИБ с системой мониторинга и защищаемой инфраструктурой через корпоративный мессенджер. Да, мессенджер мы тоже можем разместить внутри вашей организации. Чтобы чувствительные данные об инцидентах не грузились в неконтролируемое вами публичное облако.

Для интеграции со Smart Monitor мы остановились на open source решении, где Matrix выступает в качестве серверной части и Element в качестве мессенджера для любой из распространенных операционных систем, как мобильных, так и десктопных.

Демонстрация того, как это все работает, лучше сразу смотреть вот тут: YouTube

Smart Monitor for MITRE ATT&CK

Иван Силкин, Илья Мельников | VolgaBlob

Вокруг методологии MITRE есть много хайпа, но мало практической пользы. Мы попробовали исправить ситуацию.

Если коротко, то предлагаемая реализация применяет глобальную базу знаний про техники атак к локальным реалиям вашей компании. Под разными углами. К разным компонентам инфраструктуры.

Это можно назвать динамической моделью угроз и нарушителя, да простит нас ФСТЭК за самовольство в терминах. И это будет работать не на «ручном приводе», который еще известен как «экспертное мнение», а на логах с ваших средств защиты, ИТ-решений и прикладных бизнес-систем!

Да, кстати. Мы не забываем про свою практику Splunk. И этот модуль первично появился сейчас именно на Smart Monitor под Splunk.

Круглый стол «Безоблачные перспективы»

Этот раздел у нас выдержал шторм изменения и выжил! Круглый стол провели вопреки, а не благодаря, как говорится. Спасибо за помощь «из зала» от Дениса Горчакова, за подключение Дмитрия Мананникова (и это не смотря на «коронацию», которую он отмечал дома), и за неоценимый вклад в экспромт Рустэма Хайретдинова!

Технически у нас не получилось выцепить из лап обстоятельств запись, так что тут будет просто фото.

Бизнес-кейс от Сбер-Решения: оценка операционной эффективности сотрудников

Михаил Таланин | Сбер-Решения, Юрий Чернигин | VolgaBlob

Вот как не было джинсы на VB-Trend, так и не будет! Этот доклад — очередное тому подтверждение. Михаил, как представитель Сбер-Решений, максимально открыто рассказал о непростом, но в итоге весьма эффективном пути создания профилей сотрудников. И о том, что данный профиль перестал быть «карточкой» для ИБ, а стал восприниматься как консолидированная информация, нужная HR, финансам и бизнесу в целом.

У ребят на слайдах много и методологии, и практики, так что лучше смотреть. Вот вам пример, как ловить «размазанные» атаки с постепенным увеличением риск-балла. А там ещё сводный индекс корпоративного соответствия, сводные показатели по подразделению, формирование эталонных моделей поведения и много чего еще вкусного!

Демо-зоны и работа экспертного клуба VB-Trend

Вот тут Zoom кончился. Мы не знаем как это выставить в online. Но эта секция была.

Мы сделали ролик для тех, кто не был. В музыке — вся тревога и напряжение 2020, динамика и вера в то, что всё будет отлично! В нём — наше настроение! А ещё в нём музыка нашего замечательного Сергея Коваленко! Который не только клёво проектирует и настраивает СЗИ, но и созидает в совершенно другой сфере!

Спасибо, Серёга!

Спасибо всей команде VB и тем, кто верит в неё!

Го создавать комьюнити!