Универсальная ракета для анализа машинных данных: Smart Monitor 4.0
12 апреля, в День Космонавтики, в 12:00 компания VolgaBlob (разработчик, на минуточку, с более двадцатилетним стажем в сфере ИБ и ИТ) запустила в IT-космос новую ракету под названием Smart Monitor 4.0. Цель нашей статьи рассказать и показать вам ее возможности. Дать понимание, в какую стратосферу можно поднять результаты обработки машинных данных. И ответить на волнующий вопрос, почему компания теперь стала «зеленой»?
На прошедшей в Москве конференции VB-Trend 2024, была представлена новая версия платформы мониторинга Smart Monitor 4.0.
Так что же такое платформа мониторинга в видении разработчиков из VolgaBlob, и почему она обещает нам космические высоты?
Генеральный Директор VolgaBlob Александр Скакунов, подробно описал архитектурные особенности своей ракеты — «Наш Smart Monitor представляет собой комплексную платформу мониторинга. Она позволяет работать с любым источником данных. С запуском Smart Monitor 4.0 мы объявляем о новой эре в «мониторингостроительстве», прошли времена, когда заказчик бежал за разными решениями в десятки производителей. Нужна SIEM-система — иди к одним, нужен мониторинг ИТ — иди в других, а так еще и бизнес-процессы надо бы решить, тогда к третьим. Smart Monitor дает возможность построить все сразу в одном решении, благодаря архитектурным преимуществам платформы. Представьте LEGO в мире мониторинга, мы даем такой конструктор для наших заказчиков, разница лишь в том, что мы можем сами собрать его для тех, кто не увлекается моделированием
А теперь серьезно:
Ключевым компонентом платформы является модуль Core — это аналитическое ядро, внутри — средства визуализации и реакции, собственный центр знаний, а также планировщик задач. Этот модуль отвечает за основную функциональность собственного поискового движка, управление инцидентами и инвентаризацию.
Помимо базового, решение имеет обширную экосистему дополнительных модулей, среди которых Cyber Security, Complience, MITRE ATT&CK, Network, Servers, Microsoft Active Directory, Microsoft Exchange, Netmap, UBA, CTT Threat Feed. Что интересно, модули может создавать не только сам вендор, но и его партнеры, которые таким образом обеспечивают выполнение практических сценариев в своих заказчиках. Глава компании также сообщил об успешно продвигающемся процессе сертификации Smart Monitor во ФСТЭК.
А теперь о важном:
Smart Monitor 4.0: гибридное хранилище, или все в SAT (Search Anywhere Technology).
Руководитель разработки Backend VolgaBlob Максим Кириенко, подробно рассказал о аналитическом движке Smart Monitor Engine, в котором содержится технология Search Anywhere. Это значит, что у нас есть возможность осуществлять поиск сразу в нескольких хранилищах без необходимости переиндексации. Были добавлены все возможные команды, которые уже транслировались в OpenSearch. Они теперь поддерживаются в ClickHouse, как результат — это кратное увеличение скорости выполнения запросов и существенное сокращение требований к дисковому пространству.
А вот и примеры применения:
Немалая часть конференции была посвящена проектам — различным сценариям использования в широком спектре отраслей.
Среди примеров применения — построение антифрод-системы в крупном международном ритейлере, защита трейдинговой деятельности в торгово-промышленном-холдинге, предотвращение приема на работу неквалифицированного персонала в обход корпоративных политик в HR-департаменте нефтегазовой компании, построение SIEM-систем и мониторинга IT, создание коммерческого SOC по модели MSSP, реализация собственного NAC на основе платформы.
SOC Team Lead Avito Тимур Котов показал свою инфраструктуру и рассказал, как они мигрировали с Sentinel на Smart Monitor за 2 месяца. Перед компанией стояли следующие задачи: скорость перехода, гибкое управление данными, приемлемый QL (близкий к привычному kusto/spl), кастомизация всего и постоянная связь с производителем решения.
Все это заказчик получил с решением Smart Monitor. Тимур поделился итогами внедрения и планами компании по его развитию. Уже намечены совместные с VolgaBlob шаги по развитию системы. Подключить сканеры и агенты для прозрачной отчетности и автоматизации постановки задач, для управления уязвимостями; добавить модуль MITRE ATT&CK и контролировать покрытие инфраструктуры разрабатываемыми детектами; организовать Asset management, собирая данные об инфраструктуре и обогатить знаниями о состоянии их безопасности; устроить Network Segmentation, занести события с Host based FW, контролировать изменения и аномалии. Задач много и задачи интересные, как пояснил Тимур.
Технический директор компании «Перспективный мониторинг» Артем Савчук рассказал о Multitenant-инсталляции Smart Monitor в режиме Service Provider, ставшем доступным с 2023 года. Компанией «Перспективный мониторинг» совместно с VolgaBlob была спроектирована и построена распределенная система мониторинга и анализа данных для нескольких клиентов, где данные собираются, обрабатываются и хранятся в соответствующих зонах и кластерах в зависимости от политики ротации данных.
Ирина Изотова, руководитель службы поиска и анализа угроз ИБ компании «Иннотех» (ГК Т1) рассказала об опыте миграции с зарубежной SIEM-системы на российское решение, в данном случае — платформу Smart Monitor. Она отметила основные вызовы, с которыми специалисты компании столкнулись во время миграции — это интеграция с различными источниками данных, масштабируемость, разграничение прав доступа и обеспечение отказоустойчивости. Ирина Изотова озвучила три основных этапа миграции: миграция контента, обучение персонала и опытная эксплуатация.
Платформа Smart Monitor может выполнять задачи в различных областях, на ее основе можно реализовывать и проекты по мониторингу промышленной инфраструктуры. Например, участники конференции узнали, как с помощью Smart Monitor можно анализировать данные диагностики труб нефтегазовой инфраструктуры и оптимизировать затраты на ремонт и эксплуатацию трубопровода. Модули платформы могут быть применены для анализа коррозийных дефектов и составления оптимальных планов по ремонту. Создается полный цифровой двойник трубопровода с информацией о его технических параметрах, в том числе о применяемых технологиях защиты. Данные о состоянии труб собираются и агрегируются из разных источников. В результате разработка плана оценки и ремонта для отчетности исполнительского персонала занимает считанные минуты, а не недели и месяцы, как ранее.
Что же нового подготовил VolgaBlob к релизу 4.0:
Касаемо новых возможностей, реализованных в Smart Monitor 4.0, то это полностью обновленные модули.
Ключевым нововведением ядра (Core) Smart Monitor 4.0 является поддержка конфигураций Search Anywhere (подключение к внешним хранилищам данных). Она позволяет осуществлять поиск в нескольких (в том числе во внешних) хранилищах сразу, да еще и без необходимости переиндексации. Достаточно в поисковом запросе лишь перечислить нужные источники данных.
В Incident Manager появился функционал «группировки» инцидентов. Основная задача представления «группировка» — объединение инцидентов в группы по конфигурируемым правилам, для последующей совместной обработки. Начиная от банальных правил, когда объединяются сработки в рамках одного поискового задания, по одному какому-то полю, например, пользователь. Так и группировка по комбинациям различных полей результатов разных поисковых заданий. Также в Incident Manager появился Ad-hoc Action. Это дополнительный инструмент, который позволяет оператору выполнить какое-то активное действие в менеджере инцидентов как на уровне одного инцидента, так и на уровне группы.
Появился новый модуль UBA, предоставляющий механизмы для выявления отклонений в поведении разных типов объектов: пользователей, хостов, администраторов, информационных систем, бизнес-процессов и пр. Универсальный механизм вычисления скоринга позволяет выявлять потенциальных злоумышленников, скомпрометированные учетные записи, вычислять Индекс Кибербезопасности, анализировать операционную эффективность и трудовую дисциплину, бороться с мошенничеством.
Модуль Cyber Security тоже затронули изменения: были обновлены дашборды и механизмы управления контентом, реализованы новые сценарии для модуля MITRE ATT&CK.
В докладах поделились и расширенной интеграцией с сервисом CTT Threat Feed. Модуль собирает актуальную информацию об угрозах из всех доступных открытых источников Threat Intelligence, нормализует, фильтрует и обогащает.
Генеральный директор Группы NN2 Алексей Орехов, рассказал о первом партнерском функциональном модуле, который разработала его компания: «Мониторинг и управление кластером Kafka». При помощи модуля можно мониторить состояние загруженности кластера, управлять топиками, получать оповещения и прочее.
Александр Скакунов рассказал нам о впечатлениях, планах и ожиданиях от конференции. «Сегодня представляем новую версию Smart Monitor нашим клиентам. Они всегда узнают первыми о любых обновлениях. Мы внимательно следим за тенденциями рынка, обязательно слушаем наших партнеров и клиентов, и хотим, чтобы они не только познакомились с новой версией платформы, но и пообщались друг с другом, обменялись опытом. Александр отметил, что российский рынок SIEM-решений уже два года живет после ухода с него зарубежных разработчиков, и мы уже успешно конкурируем с мировыми SIEM — системами, и даже идем дальше, открывая нашим клиентам возможности по реализации кейсов в ИТ и бизнес-задачах.
Александр, вопрос напоследок, почему же компания теперь «зеленая»? Зеленая цветовая гамма, поясняет Александр, как eco-режим работы нашей платформы, которая позволяет оптимизировать TCO за счет гибридного хранилища и извлекать пользу из анализа машинных данных. Продолжая зеленую тему, мы решили развить аналогию. Символ дерева с нами уже несколько лет.
Мы используем дерево метрик и индикаторов, показывающих здоровье систем. Называем это ресурсно-сервисной моделью. Сейчас через дерево визуализирована сама платформа. Корневая система которой питается данными. Основой является модуль Core, а ствол составляют базовые модули. Мы продолжаем развивать набор дополнительных модулей, куда теперь вошли и партнерские интеграции. Назвали это SM Store.
Применяемый в платформе модульный подход делает из Smart Monitor тот самый LEGO-конструктор с различными сценариями применения. Ну, а плоды, практические кейсы, реализуемые в наших проектах. Сейчас мы даем возможность нашим партнерам и заказчикам присоединиться к нашей космической Одиссеи, на борту ракеты еще есть места, добро пожаловать!
А еще была неформальная часть с партнерами и заказчиками, и конечно горячее обсуждение задач и пути их решения внутри различных инфраструктур.