Информационная безопасность

SIEM и мониторинг безопасности

Colonial Pipeline 2021. Один VPN аккаунт без MFA. $4.4M выкупа. 5 600 миль нефтепровода остановлены. Топливный дефицит в 17 штатах. Признаки компрометации были в логах VPN сервера. Никто не смотрел. SIEM с одним правилом - 'аутентификация с нового устройства' - мог поймать атаку в первый день.

  • Colonial Pipeline 2021: VPN без MFA + нет SIEM мониторинга = $4.4M выкупа и национальный топливный кризис
  • SolarWinds 2020: 9 месяцев в сети. FireEye обнаружила аномалию случайно, проверяя новое MFA устройство
  • Target 2013: SIEM алерт сработал (FireEye). Аналитики проигнорировали. 40M карт скомпрометировано

SIEM: Security Information and Event Management

2021 год. Colonial Pipeline. $4.4 млрд нефтепровода остановлен ransomware. Расследование: атакующие использовали скомпрометированный VPN пароль (утечка в dark web). Признаки компрометации были в логах - никто не смотрел. SIEM - централизованная система сбора, корреляции и анализа security событий. Среднее время обнаружения breach без SIEM: 200+ дней. Со зрелым SIEM: часы.

SIEM стоимость: Splunk лицензирует по объёму данных (GB/день). Enterprise: $150K-$1M+/год. Microsoft Sentinel: $2-3/GB. Альтернативы: Elastic Security (open source core), Wazuh (free, open source SIEM/XDR). Правило: SIEM без tuning = alert fatigue (тысячи false positives/день -> аналитики игнорируют -> SIEM бесполезен).

SOC аналитик получает 10 000 алертов в день, 95% - false positives. В чём проблема?

Анализ логов: Windows, Linux, Cloud

Windows Security Event Log содержит сотни Event IDs. Среди них критически важны для security мониторинга: 4624 (успешный вход), 4625 (неудачный вход), 4688 (создание процесса - включить Command Line logging!), 4728/4732 (добавление в группу), 4768/4769 (Kerberos TGT/TGS), 7045 (новый сервис). Без Command Line logging в 4688: видно что PowerShell запущен, но не что именно выполнено.

Sigma rules - универсальный формат detection rules конвертируемый в Splunk SPL, Elastic EQL, QRadar, Chronicle. GitHub репозиторий SigmaHQ содержит 3000+ готовых правил для ATT&CK техник. Правило написано один раз - конвертируется для любого SIEM.

Windows Event 4688 (Process Creation) без Command Line logging. PowerShell.exe запущен. Что неизвестно аналитику?

Correlation Rules: обнаружение сложных атак

Единичное событие редко означает атаку. 5 неудачных попыток входа - мог забыть пароль. 5 неудачных попыток с разных IP на 100 аккаунтов за 1 час - credential stuffing атака. Correlation rules связывают события по времени, источнику, последовательности. Сложные APT паттерны: несколько техник за часы или дни - требуют long-term correlation.

MITRE ATT&CK Mapping: каждое detection rule должно маппиться на ATT&CK технику. T1110 Brute Force -> correlation rule на Event 4625. Это позволяет измерить coverage: сколько техник ATT&CK детектируется, какие - нет. Цель не 100% (невозможно), а приоритизация по likely threat actors для конкретной организации.

EQL правило: sequence by host -> [cmd.exe parent: word.exe] -> [network connection]. Что это детектирует?

Alerting: от сигнала к действию

SIEM без правильного alerting - дорогой logstore. Алерт должен содержать контекст для немедленного действия: кто, что, где, когда, почему подозрительно. 2023 Gartner: SOC аналитик тратит 3-4 часа в день только на сортировку алертов. SOAR (Security Orchestration, Automation and Response) автоматизирует рутинные действия: обогащение алерта (IP -> геолокация, репутация), автоматический containment (блокировка IP на firewall).

Threat Intelligence (TI) feeds обогащают алерты: IP/domain/hash reputation. Бесплатные: AbuseIPDB, VirusTotal, AlienVault OTX, MISP. Коммерческие: Recorded Future, Mandiant Advantage. SIEM + TI: алерт содержит не просто IP, а 'этот IP из Tor exit node, замечен в 500 атаках за последний месяц'.

SIEM автоматически обнаруживает все атаки

SIEM - инструмент для людей. Качество обнаружения зависит от качества правил, tuning и аналитиков. Без постоянного обслуживания SIEM деградирует в дорогой logstore

CrowdStrike отчёт 2023: 62% организаций с SIEM не обнаружили breach в течение дней/недель. Причина: нетюнингованные правила, alert fatigue, отсутствие coverage для новых техник. SIEM - не set and forget.

SOAR playbook автоматически блокирует IP при алерте confidence > 80%. Риск этого подхода?

Итоги

  • SIEM: централизованный сбор + корреляция + alerting. Без tuning = alert fatigue. Elastic/Splunk/Sentinel - варианты
  • Log analysis: Windows Event IDs (4624, 4625, 4688+CommandLine, 4104). Linux auditd. AWS CloudTrail + GuardDuty
  • Correlation: Sigma rules (универсальный формат), EQL sequences для kill chain. UEBA для поведенческих аномалий
  • Alerting: контекст > количество. SOAR автоматизирует обогащение и containment. MTTD/MTTR - ключевые метрики

Связанные темы

SIEM - основа операционной безопасности, связывающая обнаружение и реагирование:

  • Red Team vs Blue Team — SIEM - главный инструмент Blue Team для обнаружения Red Team
  • Incident Response — IR начинается с SIEM алерта и использует логи для расследования
  • Форензика — Форензика использует исторические данные SIEM для реконструкции атаки

Вопросы для размышления

  • Почему 10 000 алертов в день с 95% false positives опаснее чем 100 алертов с 10% false positives?
  • Как Sigma rules решают проблему vendor lock-in в SIEM?
  • Что должен содержать алерт чтобы аналитик мог принять решение без дополнительного расследования?

Связанные уроки

  • sec-31 — Blue Team использует SIEM для обнаружения Red Team активности
  • sec-34 — Incident Response начинается с SIEM алерта
  • sec-35 — Форензика использует логи собранные SIEM
  • os-22-debugging
SIEM и мониторинг безопасности

0

1

Войти