Details

Работа посвящена разработке программного решения для автоматизации интеграции логов с системами управления информацией и событиями безопасности (SIEM) с использованием формата CEF (Common Event Format). Предмет исследования – процесс обработки и нормализации логов из разнородных ис-точников для их преобразования в формат CEF, совместимый с SIEM-платформами. Цель работы – создание инструмента, упрощающего настройку и трансформацию логов в формат CEF для эффективной обработки в SIEM-системах. Методология проведения работы включает анализ существующих реше-ний и форматов логов, с акцентом на CEF, проектирование архитектуры приложения, разработку на языке Python с использованием библиотек Tkinter, re, json и других, а также модульное тестирование с применением фреймворка pytest. Проведено сравнение протоколов доставки логов, изучены архитектурные пат-терны интеграции и требования российских регуляторов (ФСТЭК, ФСБ). Реализованы алгоритмы токенизации, генерации регулярных выражений и преобразования логов в формат CEF, а также графический интерфейс для управления шаблонами и анализа покрытия. Результаты работы: разработано приложение, включающее модули для токенизации логов, построения регулярных выражений, подсветки совпадений и генерации кода для преобразования данных исключительно в формат CEF, совместимый с SIEM. Реализованы графические компоненты, такие как PatternWizardDialog, TransformEditorDialog и CoverageAnalysisDialog, обеспечивающие удобное взаимодействие пользователя с системой. Проведено тестирование, показавшее покрытие кода на уровне 72% (1885 из 2634 операторов). Программа успешно обрабатывает нестандартные логи, преобразуя их в формат CEF. Область применения результатов: решение применимо в центрах мониторинга безопасности (SOC), организациях, использующих SIEM для анализа со-бытий безопасности, и компаниях, подлежащих требованиям регуляторов (ФСТЭК, ФСБ, 187-ФЗ). Программа может использоваться для автоматизации обработки логов от сетевых устройств, серверов и приложений, упрощая их интеграцию в формате CEF с платформами MaxPatrol SIEM, RuSIEM и KUMA. Выводы: Разработанное решение эффективно решает задачу нормализации и интеграции логов в формате CEF, сокращая время настройки SIEM-систем и снижая вероятность ошибок. Программа соответствует требованиям российских стандартов и может быть адаптирована под различные SIEM-платформы, поддерживающие CEF. Дальнейшее развитие возможно в направлении интеграции с облачными сервисами и оптимизации обработки больших объемов данных.

The work focuses on developing a software solution for automating the integration of logs with Security Information and Event Management (SIEM) systems using the CEF (Common Event Format). The research subject is the process of processing and normalizing logs from heterogeneous sources for transformation into the CEF format compatible with SIEM platforms. The goal is to create a tool that simplifies the configuration and transformation of logs into CEF for efficient processing in SIEM systems. Methodology includes analyzing existing log integration solutions with a focus on CEF, designing the application architecture, developing it using Python with Tkinter, re, json, and other libraries, and conducting modular testing with the pytest framework. The study compares log delivery protocols, examines integration architec-tural patterns, and considers Russian regulatory requirements (FSTEC, FSB). Algorithms for log tokenization, regular expression generation, and transformation into CEF were implemented, along with a graphical interface for managing templates and analyzing coverage. Results: A software solution was developed, incorporating modules for log to-kenization, regular expression generation, match highlighting, and code generation for transforming data exclusively into the CEF format compatible with SIEM. Graphical components such as PatternWizardDialog, TransformEditorDialog, and CoverageAnalysisDialog were implemented to enhance user interaction. Testing achieved 72% code coverage (1885 out of 2634 statements). The solution successfully process-es non-standard logs, transforming them into CEF. Application area: The solution is applicable in Security Operations Centers (SOCs), organizations using SIEM for security event analysis, and companies subject to regulatory requirements (FSTEC, FSB, 187-FZ). It can automate log processing from network devices, servers, and applications, facilitating their integration in CEF format with platforms like MaxPatrol SIEM, RuSIEM, and KUMA. Conclusions: The developed solution effectively addresses log normalization and integration in CEF format, reducing SIEM configuration time and error rates. It complies with Russian standards and is adaptable to various SIEM platforms supporting CEF. Future development could include integration with cloud services and optimization for handling large data volumes.