После приобретения системы управления инцидентами ИБ (SIEM) перед организацией встаёт практический вопрос: как сделать так, чтобы она реально повышала уровень безопасности, а не просто собирала логи, которые никто не анализирует?
«СёрчИнформ Мониторинг безопасности» (СёрчИнформ SIEM) спроектирована так, чтобы сразу встраиваться в рабочий процесс. На ее примере расскажем, как система может работать «из коробки» — с предустановленными правилами корреляции и понятным интерфейсом. Она быстро встраивается в существующие бизнес-процессы, при этом предоставляя полноценный инструментарий для мониторинга ИТ-инфраструктуры, расследования инцидентов и защиты от внутренних и внешних угроз.
Как выбрать источники
На этапе внедрения важно определить, с каких источников начинать сбор данных. Правильный выбор последовательности позволяет быстро получить результат и не перегружать команду на старте.
Предлагаем два подхода. Первый — от критических точек: начать с систем, компрометация которых нанесёт наибольший ущерб. Это межсетевые экраны, контроллеры домена, ключевые серверы и бизнес-приложения. Второй подход — от периметра внутрь: двигаться от границы сети (роутеры, файерволы) к внутренним ресурсам, что позволяет сначала настроить контроль над входящим и исходящим трафиком.
После выбора источников остаётся определить приоритетные угрозы и выстроить процесс так, чтобы система приносила пользу с первых дней работы.
Как уменьшить число ложных срабатываний на старте
На начальном этапе работы с системой удобнее всего использовать настройки, предлагаемые по умолчанию.
Чтобы избежать потока ложный уведомлений, нужно последовательно переходить от базовых правил к более сложным. По мере накопления статистики срабатываний правила требуют корректировки, чтобы сделать их более точными и релевантными для конкретной инфраструктуры.
В свою очередь, расследование инцидентов в системе строится по логике «от общего к частному». Программа отображает связанную цепочку событий, что помогает аналитику быстро восстановить полную картину и отсеять незначительные срабатывания.
Настройка правил — это циклический, а не разовый процесс. Со временем она делает систему всё более эффективной. Для удобства в «СёрчИнформ Мониторинг безопасности» («СёрчИнформ SIEM») предусмотрен графический интерфейс с редактором правил, конструктором регулярных выражений и встроенными подсказками.
Какие правила поставить в приоритет
Вместо попыток закрыть все возможные векторы атак сразу, имеет смысл сфокусироваться на типовых сценариях, которые встречаются в большинстве организаций. Матрица MITRE ATT&CK предоставляет системную основу для выбора приоритетов, но на практике для закрытия основных рисков достаточно нескольких ключевых направлений:
- входы в систему (особенно неудачные попытки и нехарактерные входы);
- операции с почтой (массовые рассылки, пересылка на внешние адреса);
- изменения учетных записей и привилегий;
- запуск подозрительных процессов и скриптов.
В «СёрчИнформ Мониторинг безопасности» (СёрчИнформ SIEM) предустановлено около 500 правил корреляции, покрывающих большинство таких сценариев.
Какие сценарии искать в первую очередь
Большинство атак начинается с компрометации рядовой учётной записи сотрудника. Так техники Valid Accounts и Brute Force являются одними из наиболее распространённых точек входа. Пока учётные записи находятся под контролем, развитие атаки существенно затруднено.
В системе управления инцидентами ИБ (SIEM) имеет смысл отслеживать следующие события.
Аномальная активность при входе. Правила системы отслеживают множественные неудачные аутентификации с одного IP-адреса или для одной учётной записи за короткое время — например, при подборе логина или пароля по словарю. Также фиксируются случаи входа с необычного местоположения или устройства, когда учётная запись сотрудника используется из Москвы, а через час — из другой страны.
Проблемы с управлением учётными записями. Если администратор не удаляет профили уволившихся сотрудников, бывший работник может войти под своей старой учётной записью — система зафиксирует такую активность. В зоне риска также находятся учётные записи, пароли которых не менялись годами или передавались третьим лицам. Отдельное внимание случаям, когда администратор переименовывает чужую учётную запись и предоставляет доступ злоумышленникам.
Признаки компрометации. Система выявляет подключения к учётным записям с IP-адресов, числящихся в базах неблагонадёжных (например, по данным ФинЦЕРТ). Также отслеживаются изменения в группах ролей на сервере Exchange и случаи, когда сотрудник получает доступ к почтовому ящику, владельцем которого не является.
Какие сценарии помогут найти злоумышленника
Получив доступ к одной учётной записи, злоумышленник обычно начинает перемещаться по сети в поисках ценных данных и повышения привилегий. Своевременное обнаружение такого перемещения позволяет перехватить инициативу до того, как атака достигнет цели.
Система позволяет отслеживать несколько ключевых паттернов.
Например, несанкционированное использование учётных записей и инструментов. Система отслеживает случаи, когда сотрудник использует служебные учётные записи с обычной рабочей станции — любое их использование пользователем требует расследования. Также фиксируется применение протоколов удалённого управления (RDP, PsExec, WMI) в нерабочее время или с нехарактерных IP-адресов — это почти всегда сигнализирует о проблеме.
Подозрительная сетевая активность. Если с одного компьютера за короткое время поступают запросы к разным сетевым ресурсам, которые пользователь ранее не затрагивал, система квалифицирует это как подозрительную активность.
Признаки подготовки или совершения утечки данных. Финальная цель большинства атак — хищение информации, и её обнаружение на ранней стадии критически важно. Система фиксирует активность вне рабочего времени (например, массовое копирование или пересылку файлов в нерабочие часы), аномальные объёмы передаваемых данных и обращения к хостам с низкой репутацией. Также отслеживаются обращения к критичным ресурсам, доступ к которым разрешён ограниченному кругу лиц, и массовое удаление файлов за короткое время — будь то ошибка пользователя или умышленное уничтожение данных.
Как создать собственные правила
Предустановленной библиотеки правил (около 500 сценариев) достаточно для большинства организаций, но каждая инфраструктура имеет свою специфику. Для таких случаев в «СёрчИнформ Мониторинг безопасности» (СёрчИнформ SIEM) предусмотрен конструктор правил.
Достаточно выбрать из списка нужные источники, события и атрибуты, после чего задать условия. Логические операторы «И» и «НЕ» позволяют задавать сложную логику — например, считать инцидентом только совпадение нескольких событий или, наоборот, отсутствие ожидаемого действия.
Особую ценность представляет корреляция на первый взгляд не связанных событий из разных источников. Сам по себе сброс пароля учётной записи может быть легитимной операцией. Но если после этого с той же учётной записи происходит обращение к критичным ресурсам, система связывает эти события в единую цепочку атаки и представляет аналитику как целостный инцидент.
Вывод
Эффективность корреляции и анализа напрямую зависит от качества исходных данных, квалификации персонала, настройки правил и алгоритмов, а также от регулярного обновления методов обнаружения. Даже самые продвинутые аналитические возможности не дадут результата при отсутствии критически важных источников данных или некорректной настройке системы.
После внедрения может наступить «затишье». Для поддержания системы в рабочем состоянии рекомендуем регулярно проводить аудит подключённых источников, анализировать статистику срабатываний и оптимизировать правила, постепенно подключать новые сценарии, а также обучать сотрудников работе с расширенным функционалом.
Готовы увидеть, как SIEM повысит эффективность вашей команды безопасности? Присоединяйтесь к вебинару 21 мая и посмотрите на практике, как «СёрчИнформ Мониторинг безопасности» (СёрчИнформ SIEM) решает «боевые» задачи в прямом эфире.
