Зачем бизнесу SIEM: возможности и преимущества Solar SIEM
Узнать большеПравила корреляции — ключевой элемент любой SIEM-системы для сбора и анализа событий ИБ (Security Information and Event Management). Они позволяют выделить из огромного потока данных те, которые свидетельствуют об инцидентах безопасности и требуют повышенного внимания аналитиков. Рассказываем, как работают правила и какую роль они играют в предотвращении киберугроз.
Зачем нужны правила корреляции в SIEM
Правила связывают разрозненные события от разных источников (серверов, файрволов, антивирусов, журналов событий и т. д.) в логические цепочки, которые указывают на реальную атаку или нарушение политик безопасности.
Задачи правил SIEM:
- Выявление сложных атак. Анализ цепочек событий из разных источников в режиме реального времени для обнаружения многошаговых угроз, которые невидимы при просмотре одиночных событий.
- Снижение «шума». Минимизация количества ложных срабатываний — ошибочной активности системы, при которой легитимные действия воспринимаются как подозрительные.
- Обнаружение инцидентов путем выявления закономерностей. Поиск и анализ паттернов, которые свидетельствуют о некой последовательности действий.
- Автоматизация реагирования. Срабатывание правила может автоматически запускать сценарии реагирования (SOAR), например блокировку IP-адреса или изоляцию хоста.
Правила SIEM работают на основе шаблонов. Они ищут не одно событие, а анализируют временные последовательности и аномальные паттерны. Например, в SIEM-систему от брандмауэра поступает информация о 20 неудачных попытках входа в аккаунт за 30 секунд. От контроллера домена — сведения о смене географической точки пользователя. От файлового сервера — уведомление об изменении прав доступа. Правила корреляции объединяют события в инцидент — взлом и несанкционированное использование аккаунта. Также они помогают идентифицировать события из одного источника как инциденты.
Если бы эти события рассматривались отдельно один от другого, угрозу было бы сложнее выявить. Сами по себе немногочисленные неудачные попытки входа не всегда являются критичными — пользователь мог просто забыть пароль. Смена географической точки возможна, если используется VPN. Если объединить эти события, то они уже выглядят подозрительными.
Основные типы правил корреляции SIEM
Остановимся на двух из них:
- Императивные. Это правила, которые основаны на алгоритмическом подходе. Они определяют точную последовательность действий, которую должна выполнить система, чтобы проанализировать данные и прийти к конкретному результату. Такие правила корреляции SIEM описывают, как нужно искать угрозу.
- Декларативные. Это правила, которые описывают желаемый результат или конечное условие. Конкретных шагов для выполнения цели они не предполагают. Определяется только условие — что должно произойти, чтобы сработало оповещение. Система сама выбирает эффективный путь и способ достижения результата.
|
Критерий |
Императивные правила |
Декларативные правила |
|---|---|---|
|
Описание |
Определяют шаги или действия, которые должны быть выполнены. |
Описывают результат, который должен быть достигнут. |
|
Принцип работы |
Процесс ориентирован на выполнение последовательности действий. |
Процесс ориентирован на достижение конечного состояния. |
|
Гибкость |
Меньшая гибкость, поскольку строго указаны шаги, которые необходимо выполнить. |
Высокая гибкость, поскольку не указаны точные шаги, а лишь условия. |
|
Пример |
Если произошло событие A, выполните действие B и C. |
События A, B, и C должны произойти, чтобы считать инцидент завершенным. |
|
Применение в SIEM |
Используются для пошагового анализа данных и реакции на инциденты. |
Применяются для создания гибких стратегий и политики обработки событий |
|
Сложность реализации |
Проще в реализации, но ограничены в гибкости. |
Могут быть более сложными в реализации, но гибкими в настройке. |
|
Пример использования в SIEM |
Создание определенной последовательности действий. Например, блокировка IP-адреса. |
Отслеживание и реагирование на повторяющиеся паттерны поведения. Например, когда несколько событий происходят в течение определенного времени. |
Плюсы императивных правил — простая реализация, четкая последовательность действий и применимость для специфических ситуаций. Минусы — ограниченная гибкость, сложная адаптация к изменениям. Плюсы декларативных правил — высокая гибкость и масштабируемость, простая адаптация к изменениям, использование для сложных и комплексных паттернов. Минусы — сложность в реализации, настройке и отладке и потребность в дополнительных ресурсах для обработки.
Примеры простых и сложных сценариев
Правила корреляции SIEM реализуют различные сценарии — от базовой фильтрации событий до выявления многоступенчатых атак.
Простые сценарии — фильтрация, агрегация и превышение порогового значения
Цель фильтрации и агрегации — снизить уровень «шума» и объединить однотипные события в одно. Например, вместо сотни записей о заблокированном трафике с конкретного IP-адреса аналитики получат одно оповещение — «попытка сканирования портов с IP-х».
Цель применения пороговых значений — обнаружение аномальной частоты событий. Такой сценарий обычно применяют для выявления Brute-Force и DDoS-атак. Например, если за 30 секунд происходит более 10 неудачных попыток входа в систему, создается оповещение об инциденте «Попытка подбора пароля (Brute-Force)».
Выявление многоступенчатых и сложных атак
Правила SIEM помогают выявлять связи между событиями, происходящими в разных системах. Пример обнаружения атаки с целью кражи данных:
|
Шаг атаки |
Действие |
Источник информации о событии |
|---|---|---|
|
Первичный доступ |
Успешный вход пользователя в базу данных через скомпрометированный аккаунт сотрудника. |
Active Directory (AD) или сервер VPN. |
|
Повышение привилегий |
Попытка запуска скрипта или команды, требующих прав администратора. |
Журнал безопасности Windows, контроллер домена. |
|
Сбор данных |
Пользователь подключается к файловому хранилищу, к которому ранее не имел доступа, и начинает скачивать конфиденциальные документы. |
Файловый сервер, система DLP. |
|
Эксфильтрация |
Резкий всплеск исходящего трафика с рабочей станции на внешний IP-адрес в другой стране. |
Брандмауэр, прокси-сервер или NDR. |
SIEM-система не просто отслеживает каждый лог, а сохраняет состояние и следит за поведением объекта:
- Регистрирует повышение привилегий и создает внутреннюю переменную.
- В течение определенного периода отслеживает, есть ли подозрительное действие сомнительного пользователя, связанное с данными.
- Обнаруживает аномальный исходящий трафик, связанный с тем же пользователем, и объединяет в цепочку три события — повышение привилегий + доступ к данным + отправка документов.
- Генерирует алерт с высокой критичностью.
Создание правил корреляции в SIEM-системах
Создание правил корреляции — итеративный процесс, который требует глубокого понимания ландшафта угроз и специфики защищаемой IT-инфраструктуры. Этапы:
- Определение целей и задач. Правила должны быть нацелены на конкретные тактики, техники или процедуры из фреймворка MITRE ATT&CK.
- Анализ источников данных. Нужно определить, откуда будут поступать данные в SIEM: системные журналы Windows и Linux, БД, СЗИ, внешние системы.
- Создание шаблона корреляции. На основе собранных данных формируется шаблон. Он определяет, какие события будут обрабатываться и как их интерпретировать.
- Определение временных окон и пороговых значений. Нужно установить условия, при соблюдении которых события будут рассмотрены в связи друг с другом.
- Внедрение исключений. Добавление условий, которые исключают реакцию на легитимное поведение, чтобы минимизировать ложные срабатывания
- Определение действий при срабатывании. Нужно установить, что должно происходить при срабатывании правила корреляции. Например, отправка уведомлений, блокировка доступа или создание тикета для расследования.
- Тестирование и отладка. После создания правил корреляции SIEM нужно протестировать их в рабочем окружении и убедиться, что они срабатывают корректно.
- Оптимизация и настройка. После тестирования в правила вносятся корректировки. Например, можно дополнительно уточнить пороги значений или временные интервалы.
- Мониторинг и анализ. После внедрения правил необходимо постоянно отслеживать их эффективность и корректировать в случае изменений в инфраструктуре или появления новых угроз.
- Обновление и адаптация. В условиях изменяющихся угроз важно регулярно пересматривать правила, чтобы поддерживать актуальность защиты.
В Solar SIEM есть автоматическая доставка обновлений правил от экспертов Solar JSOC и Solar 4RAYS. При появлении новых угроз и техник атак вам не нужно вручную писать, тестировать и внедрять правила — они автоматически загружаются в систему. Таким образом, без дополнительных трудозатрат обеспечивается актуальность защиты.
Преимущества Solar SIEM
Помимо предустановленных правил корреляции для оперативного сбора статистики у системы есть и другие преимущества:
- Автоматизированная аналитика. Автоматический сбор расширенного контекста сработанного правила корреляции на основе полученных данных.
- Автоматизированное продвижение контента. Непрерывная доставка новых правил корреляции SIEM, типов источников и парсеров логов в потоковом режиме.
- Профилирование данных. Создание собственных профилей для сверхбыстрого поиска аномалий в исторических данных.
- Эффективное хранение. Высокий коэффициент сжатия данных (до 16,6 раза) для хранения больших объемов логов без затрат на отдельное хранилище.
- Импортонезависимость. Solar SIEM — полностью отечественное решение, включенное в реестр ПО, подходит для импортозамещения.
Для быстрого реагирования на подозрительные события в Solar SIEM можно настроить автоматизированные цепочки действий — от обогащения обнаруженного инцидента дополнительной информацией до взаимодействия с внешними системами.
Правила корреляции в SIEM — фундамент проактивной защиты
Правила корреляции — это «мозг» любой SIEM-системы. Их качество и гибкость напрямую определяют уровень безопасности. Solar SIEM предлагает современный подход — от библиотеки предустановленных правил до мощных инструментов для кастомизации и глубокой автоматизации. Это все позволяет не только быстрее обнаруживать угрозы, но и кратно сокращать операционные расходы на кибербезопасность.
Хотите увидеть, как работают правила корреляции и автоматического реагирования на практике? Закажите демонстрацию возможностей Solar SIEM и получите консультацию наших экспертов.
