Роль SIEM: Централизованное управление событиями безопасности, а не "Серебряная пуля" Система SIEM управляет событиями информационной безопасности, объединяя и выделяя критически важные действия в организации. Она редко считается сертифицированным средством защиты, но является основополагающим инструментом, который стоит внедрять и развивать. Ее ценность заключается в централизованной видимости и помощи в реагировании на угрозы, а не в их прямой блокировке. Он служит единой точкой входа для журналов из операционных систем, приложений, сетевых устройств и других платформ.
Непрерывная настройка по принципу "Из коробки" Существуют пакеты правил и инструменты по умолчанию, но каждая среда уникальна и требует адаптации. Эффективная работа SIEM требует постоянной настройки, чтобы уменьшить количество ложных срабатываний и соответствовать изменениям в инфраструктуре и процессах. Платформа остается "живой", развивается вместе с системами и рабочими процессами и требует постоянной поддержки. Нестандартная работа - это исключение, а не норма.
Единый сбор журналов и их долгосрочное хранение Контроллеры домена и другие источники генерируют объемные журналы, которые быстро меняются и которые трудно анализировать на месте. SIEM централизует эти журналы, накапливает их столько, сколько необходимо, и делает возможным последующее исследование. Эта функция хранения является основной задачей наряду с анализом.
От логов к действиям: корреляция и обнаружение инцидентов После обработки событий SIEM анализирует закономерности в нескольких системах, чтобы выявить критические инциденты. Межсистемный контекст определяет, являются ли действия законными, и определяет приоритетность того, что требует внимания. Корреляция превращает изолированные сигналы в действенное обнаружение, когда журналы из одного источника были бы неубедительными.
Проверка присутствия пользователя путем сопоставления физических и цифровых сигналов События, связанные с регистрацией в операционной системе, использованием прокси-сервера и отслеживанием приложений, позволяют подтвердить, что пользователь действительно работал на месте. Несоответствия указывают на удаленную работу, использование общих учетных данных или вход в систему с неожиданных компьютеров. Комбинируя физические и цифровые сигналы, система повышает надежность идентификации и выявляет злоупотребления.
Помимо безопасности: ИТ-операции и варианты использования в бизнесе SIEM помогает ИТ-отделам находить хосты, которые продолжают проходить аутентификацию с устаревшими учетными данными после того, как пользователь меняет пароль. Возможна защита бизнеса от мошенничества, например, выявление повторного использования одного и того же номера страхового полиса и оценка транзакций для их блокировки или разрешения. Применение SIEM к смежным ИТ- и бизнес-задачам способствует налаживанию партнерских отношений и повышает организационную ценность платформы.
Повышение надежности ценных бумаг за счет инвестиций второй волны Антивирусы и брандмауэры, как правило, стоят на первом месте; SIEM - это ключевая возможность второго этапа, которую следует учитывать. Когда она поддерживается и действительно работает (регистрируя и помогая выявлять инциденты), это повышает уровень готовности программы обеспечения безопасности. Ценность заключается в активном использовании, а не только в развертывании.
Нормализация против чистого поиска: структурирование событий с учетом скорости и контекста Большинство платформ преобразуют необработанные журналы в общую схему с полями для объектов, источников и других атрибутов. Нормализация ускоряет поиск и позволяет дополнить его справочными данными, такими как сведения о пользователе или IP-адресе. Хотя существуют подходы, основанные только на поиске, структурированные события обычно позволяют проводить более быстрый и точный анализ.
Настройка аудита: Фиксируйте то, что важно, избегайте шума Чрезмерно широкий аудит создает помехи в каналах связи и хранилище, в то время как недостаточно сконфигурированные источники пропускают важные сигналы. Настройте каждый источник так, чтобы он отображал только события, необходимые для анализа и передачи. SIEM не может генерировать аналитические данные, которые никогда не регистрировались, что делает разработку аудита критически важным шагом.
Захват данных из нескольких источников в многоуровневых приложениях Многоуровневые бизнес-приложения могут маскировать отдельных пользователей за системными учетными записями на уровне базы данных. Для обеспечения видимости часто требуется просмотр журналов с сервера приложений, базы данных, серверов терминалов, а иногда и клиентских компонентов. Выбор только важных событий из этих источников позволяет экономить ресурсы и одновременно проводить надежные расследования.
Разработка архитектуры для масштабирования: Агенты, Ядро, быстрое хранилище, консоль Агенты собирают, нормализуют, обогащают и пересылают события, выполняя большую часть работы. Ядро обрабатывает потоки данных и выполняет запись в высокоскоростную базу данных, в то время как операторы работают через консоль или полный клиент. В больших масштабах установки обрабатывают от десятков тысяч до миллионов событий в секунду, поэтому важно быстрое хранение и эффективная обработка.
Хранилища данных и пропускная способность: ClickHouse, Elastic и математика трафика Высокоскоростные столбчатые хранилища, такие как ClickHouse, хорошо подходят для SIEM; их ограниченные возможности обновления обычно не критичны для такого использования. Elastic также широко распространен, у него есть свои плюсы и минусы, в то время как устаревшее хранилище ArcSight с трудом поспевает за ним. При среднем событии около 2 КБАЙТ, 10 000 EPS означают примерно 20 МБ/с, что определяет пропускную способность и планирование пропускной способности.
Основы корреляционного движка: выразительный, быстрый и цепочечный Мощный механизм корреляции предоставляет четкие логические условия для всех полей и типов событий. Активные списки и связанные правила позволяют использовать промежуточные результаты для последующих обнаружений для повышения точности. Поскольку корреляция требует больших ресурсов, механизм должен работать с потоками данных, которые передаются практически в режиме реального времени на больших объемах.
Оценка частоты событий с учетом пропускной способности нужного размера Контроллер домена, обслуживающий около двадцати тысяч пользователей, генерирует примерно 50 EPS. Сопоставимые сетевые устройства генерируют около 70-100 EPS каждое, что быстро увеличивается по всему предприятию. Анализ размера и корреляция начинаются с этих оценок на уровне источника.
Простота разработки правил без программирования Разработка правил не должна требовать владения языками программирования или скрытых навыков. Понятная пользователю логика расширяет возможности участия и ускоряет разработку вариантов использования. ArcSight долгое время служил эталоном эффективности корреляции и удобства использования, к которому многие стремились приблизиться.
Расширенный контекст: Модели активов, уязвимости, Источники угроз, Соответствие требованиям При поддержании модели активов и сети приоритетность обнаружения определяется местоположением и критичностью, включая зоны с более строгим контролем, например, зоны, в которых обрабатываются данные карты в соответствии с PCI DSS. Импорт результатов сканирования уязвимостей позволяет получить информацию о корреляции и отслеживать улучшения с течением времени. Аналитические данные об угрозах, поступающие от поставщиков и регулирующих органов, выявляют опасные узлы и ресурсы, интегрируя требования соответствия требованиям при обнаружении.
Ретроспективная аналитика, базовые модели поведения и ажиотаж вокруг искусственного интеллекта Онлайн-корреляция работает в режиме реального времени, но автономный ретроспективный анализ исторических данных имеет решающее значение, когда инциденты обнаруживаются с опозданием. Поведенческие базовые показатели и тенденции помогают определить нормальную активность, например, обнаружение необычных вставок во время рутинного резервного копирования. Заявления о машинном обучении и нейронных сетях сегодня остаются в основном маркетинговыми, а практическая польза ожидается в течение года или двух.
Шаблоны реализации, базовые наборы правил и мониторинг активности Linux В зависимости от дизайна, Ingestion может записываться непосредственно из агентов в хранилище или передаваться через посредника сообщений. Поставщики предоставляют базовые наборы правил (часто сотни), которые служат основой для адаптации и применения к конкретным хостам и подсетям. Глубокий мониторинг Linux отображает выполнение команд, чтобы выявить потенциальный вредоносный код, с исключениями и фокусами, адаптированными к местным потребностям.
Управление SIEM: штатное расписание, варианты SOC и изменения на рынке Аналитики могут распределить усилия между гарантированными случаями высокой степени тяжести и частыми оповещениями о шуме, например, десятью серьезными случаями в неделю продолжительностью около тридцати минут каждый, а также постоянной настройкой для уменьшения ложных срабатываний. Штат сотрудников варьируется от оператора, работающего неполный рабочий день в небольших компаниях, до полного внутреннего SoCs, а также внешнего SoCs в качестве варианта, который вызывает проблемы с обменом данными, регулированием и доступом. С уходом западных поставщиков производство отечественных систем в России ускорилось, цены выросли из-за снижения конкуренции, а собственные разработки с 2017 года продвинулись вперед, при этом квалифицированные специалисты по-прежнему необходимы.
Нехватка квалифицированных специалистов в SIEM и ее последствия Монтажники могут приступить к работе, но опытный специалист значительно ускоряет сортировку и настройку. Несколько лет назад крупная телекоммуникационная компания построила крупный SOC и наняла самых доступных на рынке специалистов по SIEM, что привело к нехватке других. В то время многие организации с трудом могли нанять SIEM и эффективно управлять им, не имея достаточного опыта.
Встроенная интеграция ClickHouse Повышает скорость Работы, Несмотря на проблемы с Реестром ClickHouse обеспечивает быструю аналитику, и многие команды переходят на нее. Система SIEM, которая изначально интегрируется с базой данных, работает лучше, чем система, подключенная к внешнему хранилищу, поскольку оптимизация и функции учитывают специфику ClickHouse. Правила сертификации, которые применяются только к определенным базам данных (например, PostgreSQL), ограничивают высокую производительность EPS, делая такие стеки непригодными для больших нагрузок. Основным отмеченным недостатком является отсутствие ClickHouse в реестре отечественного программного обеспечения, которое, как ожидается, будет решено положительно.
Пользовательские правила корреляции Для Шаблонов Шаблоны помогают, но для точного описания любого варианта использования необходима возможность написания гибких пользовательских правил. Если в SIEM отсутствует полная настройка и разработка правил, это не следует рассматривать. Мощные механизмы корреляции позволяют командам фиксировать сложные сценарии, которые отсутствуют в готовом контенте.
Локальная поддержка Превосходит Зарубежную Сложность Качество поддержки и знание языка имеют значение; оффшорная помощь часто разочаровывает и мало что дает. В случае с иностранными системами организации по-прежнему полагаются на услуги местных специалистов, что ставит вопрос о том, почему бы не использовать надежные отечественные аналоги. У бесплатных инструментов, таких как “Воздух”, есть свои плюсы и минусы, но отечественные SIEM имеют солидную поддержку и опыт. Язык пользовательского интерфейса также имеет значение; плохие переводы от некоторых поставщиков вынуждают пользователей переключать интерфейсы обратно на английский.
Гибкие условия предоставления услуг Сторонних Агентов Не подлежат Обсуждению Сторонние агенты необходимы, поскольку сторонние сборщики данных не могут охватить все источники и нюансы. Стандартные агенты проводят стандартный аудит, но в реальных средах требуются “гибкие” агенты, расширяющие возможности или написанные с нуля. Только пользовательские или расширяемые агенты могут обрабатывать именно те события и контекст, которые требуются, в нужном объеме.
Разнообразные пути поступления в организм с учетом ограничений на источники Сбор данных должен включать отслеживание файлов и папок, анализ регулярных выражений и XML, а также средства чтения на основе ODBC, которые опрашивают базы данных по расписанию. Журналы событий Windows можно получать напрямую или через центры пересылки, соблюдая осторожность, чтобы избежать избыточного шума. Прослушиватели системного журнала/SNMP полезны, и иногда агенты должны активно запрашивать источники, чтобы события поступали надежно, когда пассивной переадресации недостаточно.
Предотвращение шума с помощью интеллектуального набора контроллеров домена В крупных доменах сбор данных с небольшого набора центральных контроллеров позволяет выполнять большую часть операций, предотвращая при этом массовое дублирование из региональных контроллеров домена, доступных только для чтения. Региональные контроллеры, которые также управляют локальными файловыми ресурсами, могут по-прежнему требовать сбора данных. Продуманное определение области действия превращает избыточные потоки в значимую телеметрию, эффективную для хранения данных.
Использование ценных источников с учетом рисков В первую очередь определите приоритетность антивируса, контроллеров домена и сетевого оборудования, добавив прокси-сервер или протокол TLP, если таковые имеются, а затем подключите серверы электронной почты и приложений. Электронная почта часто содержит больше шума, чем пользы, поэтому подключайтесь позже. Windows выдает множество пользовательских и системных сигналов, а endpoint antivirus показывает ценные показатели. Начните с того, что имеет решающее значение для рисков организации, чтобы обеспечить быстрое и обоснованное покрытие.
Расширение за пределы СНГ благодаря некоторым глобальным развертываниям Предпринимаются попытки выхода на азиатские рынки, сообщается об отдельных внедрениях в США и Латинской Америке. Возможна замена оборудования за пределами СНГ; масштабное внедрение - вопрос времени и возможностей. Технология и процессы не привязаны к региону.
Бесплатное по сравнению с платным: общая стоимость и скорость При небольших бюджетах и небольших объемах мероприятий могут работать бесплатные или “условно бесплатные” SIEM, но для этого требуется сильная внутренняя экспертиза или платная поддержка. В течение 3-5 лет поддержка бесплатных инструментов может стоить дороже, чем лицензии на платные. Бесплатные решения также, как правило, развиваются медленнее из-за менее прозрачных дорожных карт.
Сначала протестируйте и остерегайтесь раздувания функций Пилоты проверяют удобство использования, возможности и готовность к эксплуатации, прежде чем приступить к работе. Некоторые покупатели получают сертификаты в основном для проведения поверхностных проверок, которые не приносят реальной пользы. Лидеры рынка предлагают широкий функционал, но требуют значительного бюджета, поддержки, внутренней экспертизы и профессиональных услуг, часто предоставляя функции, которые вы не будете использовать. Планируйте постоянные инвестиции, если вы выберете лидера.
Прагматичные альтернативы с разделением собственности Специализированные платформы могут обеспечить результаты, сравнимые с результатами лидеров, по более выгодной цене в сочетании с надежной поддержкой и квалифицированной проектной командой. Организации, желающие развиваться вместе со своей SIEM, извлекают максимальную выгоду. “Бесплатный” выбор часто влечет за собой дополнительные расходы, которые сводят на нет первоначальную экономию.
Правило: Качество важнее количества, Синтаксические анализаторы имеют значение Большие готовые пакеты правил часто отключаются, потому что они плохо подходят, особенно если они разработаны для различных условий эксплуатации. Ключевым моментом является простота настройки и возможность создания правил с нуля. Ценны обширные библиотеки синтаксических анализаторов, а опубликованные анализаторы из других источников могут быть повторно использованы при согласовании форматов. Совместимость с моделями данных в стиле ArcSight и логикой правил упрощает миграцию для команд, уже знакомых с этой экосистемой.
Объединение событий Windows в цепочку для выявления рискованного создания учетной записи Практичная цепочка объединяет Windows 4720 (создание пользователя) и 4732 (добавление в привилегированные группы). Правила устанавливают соответствующую степень серьезности, заполняют ключевые поля и помещают пользователей в активные списки для последующего контроля. В результате получается составное оповещение, в котором четко указаны хост, новая учетная запись и изменение привилегий.
Практический разбор от регулярных выражений до готовых обработчиков Windows Текстовые журналы можно анализировать с помощью регулярных выражений, которые извлекают токены и сопоставляют их с полями базы данных, даже в нескольких строках. Синтаксический анализ журналов Windows предоставляется "из коробки", поскольку специальные синтаксические анализаторы Windows статичны и трудоемки в обслуживании. Более сложные форматы могут быть обработаны с помощью более сложных синтаксических конструкций по мере необходимости.
Режимы корреляции и компромиссы при размещении агентов Как онлайн, так и офлайн-корреляция имеет значение. Агенты лучше всего размещать на отдельных серверах, чтобы изолировать всплески ресурсов и выполнять функции надежных буферов; обычно используется один хост Windows и один Linux. Установка агентов на исходные файлы минимизирует требуемые привилегии, но увеличивает нагрузку на критически важные системы и создает проблемы с обслуживанием и доступом. Требования к аутентификации (например, общие ресурсы Windows и авторизация домена) также влияют на то, какие хосты Windows или Linux предпочтительнее для конкретных сборщиков.
Распределенные проекты с сегментированным хранилищем Разделение базы данных и основного ядра предотвращает конкуренцию за ресурсы и поддерживает масштабирование. Репликация и резервное копирование защищают данные, а региональные сайты могут объединяться локально и пересылаться централизованно. Сегментирование ClickHouse распределяет нагрузку между серверами, ускоряя операции записи и запросов по мере роста объема данных.
Настройка строгости, интеграция аудио- и видеотехники и определение размеров инфраструктуры Уровни серьезности событий могут быть изменены, поскольку значения по умолчанию (например, в Windows) могут вводить в заблуждение. События Kaspersky регистрируются с помощью системного журнала или базы данных, несмотря на сложную структуру журнала. Выбор архитектуры зависит от точек входа и топологии и часто требует консультации специалиста. Виртуализация работает при высокой надежности дискового ввода‑вывода; резервное копирование осуществляется с помощью инструментов виртуализации и механизмов на уровне базы данных.
Быстрая аналитика с глубоким и сильно сжатым хранением данных Интерфейс быстро фильтрует десятки миллионов событий, используя полнотекстовый поиск, группировку, диаграммы и информационные панели. Среднее сжатие составляет около 25 раз и может достигать 40 раз, что обеспечивает глубокую хронологию. Поисковые запросы на 80-90 ТБАЙТ остаются быстродействующими, что позволяет выполнять поиск на один-три года назад и более без ущерба для скорости. Для эффективной работы с системой доступна консоль толстого клиента.