ArcSight Investigate
ArcSight Investigate — это программное обеспечение для кибербезопасности, предназначенное для ускоренного расследования инцидентов информационной безопасности (ИБ). Относится к классу решений Security Orchestration, Automation and Response (SOAR) и Advanced Security Analytics. Разработано компанией Micro Focus (ныне часть OpenText). Основная функция ArcSight Investigate — предоставление аналитикам единого интерфейса для анализа событий безопасности, контекстуализации угроз и автоматизации рутинных задач расследования.
История
Продукт был выпущен компанией Hewlett Packard Enterprise (HPE) в 2015 году как часть платформы ArcSight, которая изначально специализировалась на системах управления событиями и информацией безопасности (SIEM). В 2017 году подразделение программного обеспечения HPE, включая ArcSight, было выделено в компанию Micro Focus. В 2023 году Micro Focus была приобретена канадской корпорацией OpenText. Название «Investigate» подчеркивает фокус на этапе расследования, который в классических SIEM-системах часто был трудоёмким и неструктурированным.
Классификация и место в экосистеме
ArcSight Investigate занимает промежуточное положение между традиционными SIEM-системами (например, ArcSight ESM, Splunk) и полноценными платформами SOAR (например, Palo Alto Cortex XSOAR, IBM Resilient). Его можно классифицировать как:
- Инструмент аналитики угроз (Threat Intelligence Platform) — собирает и коррелирует данные из внешних источников (фиды индикаторов компрометации, базы уязвимостей).
- Система управления инцидентами (Incident Management) — позволяет создавать, назначать, отслеживать и закрывать инциденты.
- Платформа автоматизации расследований (Investigation Automation) — выполняет предопределённые сценарии (playbooks) для сбора данных, запуска скриптов и интеграции с другими системами.
Архитектура и принцип работы
Сбор данных
ArcSight Investigate не является самостоятельным сборщиком данных. Он работает в связке с другими компонентами платформы ArcSight:
- ArcSight ESM (Enterprise Security Manager) — основной SIEM-движок, который собирает логи, события и потоки данных из сетевых устройств, серверов, приложений и баз данных.
- ArcSight SmartConnectors — агенты для сбора данных из различных источников (Windows Event Log, Syslog, NetFlow, API облачных сервисов).
- ArcSight Logger — система долговременного хранения и поиска по сырым данным.
Процесс расследования
- Обнаружение инцидента: Инцидент может быть создан автоматически (на основе корреляционного правила в ArcSight ESM) или вручную аналитиком.
- Контекстуализация: При открытии инцидента ArcSight Investigate автоматически собирает связанные события, активы (IP-адреса, хосты, пользователи) и индикаторы компрометации (IoC) из разных источников.
- Визуализация: Данные представляются в виде временной шкалы (Timeline), графа связей (Graph) и таблиц. Аналитик может «проваливаться» в детали каждого события.
- Автоматизация: Аналитик запускает playbook — последовательность действий (например, проверка IP-адреса в VirusTotal, блокировка домена на межсетевом экране, запрос на изменение пароля пользователя).
- Документирование: Все действия аналитика, результаты автоматизации и комментарии фиксируются в журнале инцидента.
- Закрытие: Инцидент классифицируется (ложное срабатывание, подтверждённая атака, инцидент с утечкой данных) и закрывается.
Ключевые возможности
Визуализация и навигация
- Граф связей (Graph): Позволяет увидеть взаимосвязи между сущностями (IP-адреса, хосты, пользователи, файлы, процессы) в виде интерактивного графа. Это упрощает выявление сложных цепочек атак.
- Временная шкала (Timeline): Отображает последовательность событий в хронологическом порядке, что критично для реконструкции атаки.
- Панель «Сводка» (Summary): Показывает ключевые метрики инцидента: количество событий, типы атак, затронутые активы, статус.
Автоматизация (Playbooks)
Встроенный движок playbook позволяет автоматизировать типовые задачи:
- Обогащение данных: Автоматический запрос к внешним базам (VirusTotal, AlienVault OTX, Shodan) для проверки IP-адресов, доменов, хэшей файлов.
- Реакция: Блокировка IP-адреса на межсетевом экране (через API), отключение пользователя в Active Directory, изоляция хоста в сети.
- Уведомления: Отправка уведомлений в ServiceNow, Jira, Slack или по электронной почте.
- Запуск внешних инструментов: Вызов скриптов, команд PowerShell или API сторонних систем.
Playbooks создаются в визуальном редакторе (drag-and-drop) и могут быть как простыми (один шаг), так и сложными (с условиями, циклами, параллельными действиями).
Интеграция
ArcSight Investigate интегрируется с широким спектром систем:
- SIEM: ArcSight ESM, ArcSight Logger.
- Threat Intelligence: VirusTotal, Recorded Future, Anomali, IBM X-Force.
- ITSM/ITOM: ServiceNow, Jira, BMC Remedy.
- Сетевые устройства: Palo Alto Networks, Cisco, Check Point, Fortinet.
- Endpoint Security: CrowdStrike, Carbon Black, Symantec Endpoint Protection.
- Active Directory, LDAP.
Отчётность и соответствие стандартам
Продукт позволяет генерировать отчёты по инцидентам, времени реакции (MTTR — Mean Time to Respond), эффективности playbook. Поддерживает требования стандартов PCI DSS, HIPAA, GDPR, SOX.
Преимущества и недостатки
Преимущества
- Снижение времени расследования: За счёт автоматизации сбора контекста и визуализации.
- Уменьшение человеческих ошибок: Стандартизация процессов через playbook.
- Повышение продуктивности аналитиков: Освобождение от рутинных операций.
- Глубокая интеграция с ArcSight ESM: Для организаций, уже использующих ArcSight, внедрение Investigate является естественным шагом.
Недостатки
- Зависимость от платформы ArcSight: Не является самостоятельным продуктом; требуется наличие ArcSight ESM или Logger.
- Сложность настройки: Для эффективной работы требуется квалифицированный персонал и значительное время на настройку playbook и интеграций.
- Высокая стоимость: Лицензирование и поддержка могут быть дорогими, особенно для крупных организаций.
- Ограниченная поддержка облачных сред: Исторически продукт был ориентирован на on-premise развёртывание, хотя сейчас доступны облачные версии.
Применение
ArcSight Investigate используется в организациях с высокими требованиями к кибербезопасности:
- Крупные корпорации: Финансовый сектор, энергетика, телекоммуникации, промышленность.
- Государственные учреждения: Министерства, ведомства, оборонные предприятия.
- Центры мониторинга и реагирования (SOC): Как внутренние, так и коммерческие (MSSP).
Критика
Основная критика в адрес ArcSight Investigate связана с его сложностью и высокой стоимостью внедрения. Некоторые эксперты отмечают, что продукт не всегда оправдывает ожидания по автоматизации, так как требует глубокой кастомизации под конкретную инфраструктуру. Также отмечается, что встроенные playbook могут быть недостаточно гибкими для сложных сценариев атак. В отзывах пользователей на платформах типа Gartner Peer Insights и G2 часто упоминается, что продукт лучше всего работает в среде, где уже развёрнут ArcSight ESM, и его внедрение «с нуля» может быть неоправданно сложным.
Пример сценария использования
- Событие: ArcSight ESM обнаруживает подозрительное соединение с IP-адресом из списка известных командных серверов (C2).
- Создание инцидента: Правило корреляции создаёт инцидент в ArcSight Investigate.
- Автоматический сбор: Playbook автоматически проверяет IP-адрес в VirusTotal (обнаружено 15 антивирусных детекций), собирает логи с межсетевого экрана (Palo Alto) и Active Directory (пользователь, с которого шло соединение).
- Визуализация: Аналитик видит на графе связей: IP-адрес атакующего -> хост пользователя -> файл «invoice.exe» -> пользователь «ivanov».
- Действие: Аналитик запускает playbook «Блокировка хоста», который изолирует хост в сети, блокирует IP-адрес на межсетевом экране и создаёт задачу в ServiceNow для ИТ-отдела.
- Документирование: Аналитик добавляет комментарий о том, что файл «invoice.exe» является трояном, и закрывает инцидент как «Подтверждённая атака».
Источники
- Документация Micro Focus (OpenText) по ArcSight Investigate.
- Обзоры на Gartner Peer Insights и G2.
- Статьи в специализированных изданиях (например, «SecurityWeek», «The Hacker News»).
- Материалы конференций по кибербезопасности (RSA Conference, Black Hat).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →