Предметом исследования выступает практическая реализация конфигурации MaxPatrol 10, разработка типовых рекомендаций по её эксплуатации, а также её интеграция в инфраструктуру компании. Цель работы – разработка рекомендаций по настройке и эксплуатации SIEM-системы MaxPatrol 10 для повышения уровня защиты IT-инфраструктуры и упрощения её администрирования. В ходе выполнения практической работы получены следующие результаты: – проведен анализ возможностей MaxPatrol 10, включая её архитектуру, функции мониторинга, анализа данных и реагирования на инциденты; – установлена и настроена виртуальная инфраструктура на базе ProxMox для развертывания MaxPatrol 10; – развернута средненагруженная конфигурация MaxPatrol 10; – настроены задачи для обнаружения активов, группировка и сегментация объектов для повышения эффективности мониторинга; – разработаны правила фильтрации событий, дашборды для визуализации данных, а также автоматизированы отчёты по информационной безопасности. Работа продемонстрировала значимость внедрения SIEM-системы MaxPatrol 10 для повышения уровня информационной безопасности. Разработанные типовые рекомендации позволят упростить процесс настройки системы и обеспечить её эффективное использование в реальной инфраструктуре.

The subject of the study is the practical implementation of the MaxPatrol 10 scheme, the development of standard recommendations for its operation, as well as its integration into the company's infrastructure. The purpose of the work is to develop recommendations for setting up and operating the MaxPatrol 10 SIEM system to increase the level of protection of the IT infrastructure and simplify its administration. The following results were obtained during the practical work: – an analysis of MaxPatrol 10 capabilities was carried out, including architecture, functions, data analysis and incident response; – a virtual infrastructure based on ProxMox was installed and configured for deploying MaxPatrol 10; – an extended medium-load configuration of MaxPatrol 10; – tasks for searching for assets, grouping and segmenting objects to improve the efficiency of "Triptychs"; – event filtering rules, dashboards for data visualization were developed, and information security reports are also being generated. The work demonstrates the innovativeness of the MaxPatrol 10 SIEM system for increasing the level of information security. The developed standard recommendations allow simplifying the process system setup and ensuring its effective use when describing the infrastructure.

• ВВЕДЕНИЕ
• 1 Краткая характеристика ООО «Анлим-ИТ»
  • 1.1 Сфера деятельности компании
  • 1.2 Подразделения компании
  • 1.3 Организационная структура
  • 1.4 Выводы по главе 1
• 2 Система мониторинга событий MaxPatrol 10
  • 2.1 Архитектура MaxPatrol 10 и ее составляющие
  • 2.2 Варианты развертывания MaxPatrol 10
  • 2.3 Выводы по главе 2
• 3 Система виртуализации ProxMox
  • 3.1 Преимущества ProxMox
  • 3.2 Установка ProxMox на сервер
  • 3.3 Развертывание виртуальных машин
  • 3.4 Выводы по главе 3
• 4 Развертывание ролей MaxPatrol 10
  • 4.1 Развертывание ролей MP10 Core
  • 4.2 Развертывание ролей MP10 Server-Storage
  • 4.3 Веб-интерфейс MaxPatrol
  • 4.4 Выводы по главе 4
• 5 Первичная настройка MaxPatrol 10
  • 5.1 Создание задач на поиск активов сети
  • 5.2 Разработка и настройка виджетов для визуализации данных на дашборде
  • 5.3 Разработка правил для классификации и фильтрации событий
  • 5.4 Сегментация и группировка активов для упрощения их управления
  • 5.5 Разработка и выполнение запросов к активам для получения необходимой информации
  • 5.6 Конфигурирование системы для генерации отчетов и планирование их выпуска
  • 5.7 Вывод по главе 5
• 6 Настройка системы в организации
  • 6.1 Разработка стратегии внедрения и пилотирования SIEM-решения
  • 6.2 Настройка элементов и конфигурирование SIEM-платформы
  • 6.3 Нормативно-правовое регулирование и SIEM-решения
  • 6.4 Выводы по главе 6
• 7 Выработка типовых рекомендаций по настройке и эксплуатации SIEM-системы
  • 7.1 Рекомендации по настройке профилирования доступа к критически важным системам
  • 7.2 Secret Net LSP
  • 7.3 Вредоносное ПО и нежелательные рассылки
  • 7.4 Безопасность удаленной работы
  • 7.5 VMware vSphere
  • 7.6 Атаки с помощью специализированного ПО
  • 7.7 Сетевые устройства. Индикаторы компрометации
  • 7.8 Эксплуатация уязвимостей
  • 7.9 Корреляция событий
    • 7.9.1 Анализ алгоритмов корреляции событий
    • 7.9.1.1 Алгоритмы основанные на оценке подобия
    • 7.9.1.2 Алгоритмы основанные на знаниях
    • 7.9.1.3 Алгоритмы основанные на статистике
    • 7.9.2 Сравнение алгоритмов корреляции событий
  • 7.10 Сетевые устройства. Подозрительная сетевая активность
  • 7.11 PostrgreSQL
  • 7.12 Выводы по главе 7
• ЗАКЛЮЧЕНИЕ
• СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
• ПРИЛОЖЕНИЕ А
  • Рекомендации по настройке профилирования доступа к критически важным системам
  • Secret Net LSP
    • Настройка источников
  • Вредоносное ПО и нежелательные рассылки
    • Настройка источников
    • Настройка отправки событий syslog из PT Sandbox
    • Настройка аудита PowerShell с помощью групповой политики
    • Настройка расширенной политики аудита с помощью групповой политики
  • Безопасность удаленной работы
    • Настройка правил корреляции
    • Настройка Windows
  • VMware vSphere
    • Настройка источников
    • Добавление учетной записи в vCenter Server 5.5, 6.0
    • Добавление учетной записи в vCenter Server 6.5
    • Добавление учетной записи в vCenter Server 6.7
    • Настройка отправки событий на внешний syslog-сервер
  • Атаки с помощью специализированного ПО
    • Настройка источников
    • Настройка включения командной строки в события создания процессов с помощью групповой политики
    • Настройка службы Microsoft Sysmon
    • Установка Microsoft Sysmon
    • Изменение конфигурации Microsoft Sysmon
    • Настройка MaxPatrol SIEM
    • Добавление учетной записи ОС
    • Создание профиля для сбора событий
    • Создание задачи на сбор событий
    • Создание задачи на сбор событий службы Microsoft Sysmon
  • Сетевые устройства. Индикаторы компрометации
    • Настройка источников
    • Настройка PT NAD
    • Настройка MaxPatrol SIEM
    • Создание и запуск задачи на сбор событий по протоколу NetFlow
    • Создание и запуск задачи на сбор событий PT NAD
  • Эксплуатация уязвимостей
    • Настройка источников
  • Рекомендации по работе с правилами корреляций при приостановке правил
  • Сетевые устройства. Подозрительная сетевая активность
    • Настройка источников
    • Настройка MaxPatrol SIEM
    • Создание и запуск задачи на сбор событий syslog
    • Создание и запуск задачи на сбор событий по протоколу NetFlow
    • Расследование инцидента
    • Реагирование на инцидент
  • PostgreSQL
    • Настройка источников
    • Настройка в Windows
    • Настройка в Unix
    • Выбор источников событий
    • Настройка аудита файловой системы Windows
    • Настройка журналирования
    • Настройка службы auditd
    • Настройка службы syslogd
    • Настройка службы syslog-ng
    • Перезапуск службы в ОС семейства Unix
    • Настройка MaxPatrol SIEM
    • Добавление учетной записи ОС
    • Создание профиля для сбора событий
    • Создание и запуск задачи на сбор событий
    • Создание и запуск задачи на сбор событий syslog
    • Расследование инцидента
    • Реагирование на инцидент