События безопасности

Расширенная версия Браузера для организаций позволяет отслеживать события безопасности и экспортировать их во внешнюю систему.

Что такое события безопасности

События — это случаи активности в Браузере, связанные с безопасностью, которые можно обнаружить и записать. Каждое отдельное событие может показаться незначительным, но вместе они формируют общую картину активности и помогают идентифицировать угрозы безопасности.

Браузер для организаций может обнаруживать разные события, связанные с безопасностью, например:

• навигацию по страницам сайта;
• попытки изменения групповых политик;
• попытки загрузки вредоносного файла;
• события, связанные с открытием или закрытием окна Браузера;
• события, связанные с запуском и завершением процесса Браузера;
• события, связанные с использованием буфера обмена на запрещенных сайтах;
• попытки открытия сайтов, заблокированных Безопасным просмотром;
• события при ошибке SSL или пропуске предупреждения Безопасного просмотра;
• запуск вредоносного кода внутри расширения или блокировка вредоносного расширения.

SIEM (Security information and event management) позволяет анализировать такие события в реальном времени и реагировать на них. Если событие или последовательность событий указывают на возможную угрозу безопасности, SIEM создает оповещение об угрозе, к которому привязываются все относящиеся к нему данные и которое требует внимания специалиста по безопасности.

Об экспорте событий

Яндекс Браузер для организаций позволяет фиксировать информацию о событиях безопасности, произошедших в процессе его работы на управляемых устройствах. Записи о событиях можно экспортировать во внешнюю систему.

Вы можете использовать экспорт событий в централизованных системах, работающих с вопросами безопасности на организационном и техническом уровнях, обеспечивающих мониторинг систем безопасности и консолидирующих данные из различных решений. К ним относятся SIEM-системы, обеспечивающие анализ предупреждений систем безопасности и событий сетевого аппаратного обеспечения и приложений в режиме реального времени, а также центры управления безопасностью (Security Operation Center, SOC).

SIEM-системы получают данные из многих источников, включая сети, системы безопасности, серверы, базы данных и приложения. Они также обеспечивают функцию объединения обработанных данных, что не позволит вам пропустить критические события. Кроме того, эти системы выполняют автоматический анализ связанных событий и сигналов тревоги для уведомления администраторов о вопросах системы безопасности, требующих быстрого решения. Уведомления могут отображаться на панели индикаторов или рассылаться по сторонним каналам, например, по электронной почте.

Предварительные условия

Для настройки экспорта событий в SIEM понадобятся параметры:

Адрес сервера SIEM-системы

Адрес сервера, на котором установлена используемая SIEM-система, в формате IPv4 или IPv6.

Порт сервера SIEM-системы

Номер порта, по которому будет установлено соединение между Яндекс Браузером для организаций и сервером SIEM-системы.

Протокол

Протокол, используемый для передачи сообщений из Яндекс Браузера для организаций в SIEM-систему: http или https. Для организации соединения по https понадобится сертификат сервера.

Эти параметры нужны для настройки политики YandexSecurityEventConnectorUrl для Браузера и приемника в SIEM-системе.

Настройки экспорта

В экспорте событий во внешние SIEM-системы участвуют две стороны:

• отправитель событий — приложение Яндекс Браузер;

• получатель событий — SIEM-система.

URL для экспорта событий безопасности из Браузера настраивается политикой YandexSecurityEventConnectorUrl.

Чтобы SIEM-система корректно принимала и анализировала события, получаемые из Браузера, выполните ее настройку. Подробные настройки смотрите в документации выбранной системы SIEM. Обычно для всех SIEM-систем нужно настроить приемник и анализатор.

Настройка событий безопасности

https://example.com/event-collector

"YandexSecurityEventConnectorUrl": "https://example.com/event-collector"

"https://example.com/event-collector"

"https://example.com/event-collector"

Приемник сообщений

Настройка приемника нужна для получения событий, отправляемых из Яндекс Браузера для организаций. В общем случае необходимо указать следующие параметры:

Порт

Укажите номер порта для подключения к SIEM-системе.

Протокол передачи сообщений или тип исходных данных

Укажите формат JSON.

В зависимости от используемой SIEM-системы могут потребоваться дополнительные параметры приемника сообщений.

Анализатор сообщений

К полученным сообщениям применяется анализатор, который используется для разбиения сообщения на поля, такие как идентификатор сообщения, уровень важности, описание и прочие параметры. В результате SIEM-система имеет возможность выполнять хранение и обработку событий, полученных из Яндекс Браузера для организаций.

Хранение событий при отсутствии доступа к SIEM

Если соединение с системой SIEM отсутствует, события накапливаются в локальном хранилище, размер которого определяется политикой YandexSecurityEventStorageLimits. Если политика не задана, размер хранилища равен 100 000 записей. При достижении максимального размера хранилища, равному 110 000 записей, будут удалены 10 000 самых старых записей.

Браузер отправит событие повторно, если ответ не был получен ранее. Например, если событие было отправлено незадолго до закрытия последнего окна Браузера, то при следующем его запуске событие отправится снова.

Просмотр результатов экспорта

После настройки экспорта проверьте в SIEM-системе, были ли получены сообщения с экспортируемыми событиями. Если отправленные из Браузеров события получены и правильно интерпретированы SIEM-системой — настройка на обеих сторонах выполнена корректно. В противном случае проверьте и исправьте настройки политик экспорта для Браузера и конфигурацию SIEM-системы.

Отображение экспортированных событий зависит от используемой SIEM-системы.

Полезные ссылки

Промостраница Яндекс Браузера для организаций