Вам «шашечки» или «ехать»? Как сэкономить при выборе SIEM и не потерять в результате

Задача 1. Выявить инциденты

Основные задачи SIEM — контроль инфраструктуры, поиск инцидентов и сбоев. На базовом уровне они решаются за счет сбора логов от имеющихся источников и выявления любых подозрительных корреляций, то есть связи событий, которые по отдельности выглядят рядовыми, а вместе — подозрительно. Например, пользователь вошел в учетную запись в нерабочее время. Или — тот же пользователь сделал это ночью, удаленно и попытался повысить себе привилегии, чтобы заполучить доступ к файлам начальника.

За сопоставление событий в SIEM отвечают правила корреляции, в том числе сложные — для анализа взаимосвязи событий из 3+ источников сразу. Во многих «больших» решениях писать эти правила необходимо вручную, на языке программирования. Даже если они вшиты в систему по умолчанию, то часто требуют длительной калибровки и донастройки, часто с дописыванием кода. Но не всегда. Например, «СёрчИнформ SIEM» поставляется с набором из 450+ предустановленных правил корреляции, они сделаны таким образом, чтобы приносить результат сразу, потому что опираются на простую логику. Также решение дополняет встроенный конструктор, чтобы создавать кросс-корреляции «по клику» без программирования.

Задача 2. Расставить приоритеты

Когда связи обнаружены, встает вопрос: как понять, какие из выявленных корреляций действительно опасны? Задача приоритезации событий в SIEM решается по-разному. Многие системы используют для этого паттерны развития атак.

Это значит, угрозой считается не просто совпадение событий, а целая цепочка, где каждое следующее событие «проясняет» предыдущее – и их общую цель. Такой подход позволяет выяснить, кто злоумышленник и чего он хочет, понять, какой элемент инфраструктуры атакуют следующим и, соответственно, где нужно применить максимально строгие меры защиты.

То есть: системный администратор повысил кому-то из сотрудников права — стандартная ситуация. Затем учетка пользователя с новыми правами стала активна в нерабочее время — нетипично, но не страшно. Он авторизовался за ПК гендира — уже подозрительно, но выводы о злонамеренном проникновении делать рано. И только когда под этой учеткой за чужим ПК получат доступ к конфиденциальным данным, SIEM однозначно зарегистрирует угрозу.

Каждое событие в цепочке имеет свой вес, или коэффициент, и чем выше их сумма, тем вернее система определит атаку. Это снижает количество ложноположительных сработок и помогает в расследованиях. Проблема здесь в том, что выводы система делает по результатам анализа свершившихся действий. Анализ отнимает время, а действовать надо быстро, чтобы злоумышленник не успел реализовать свой план до конца.

Поэтому «простые» SIEM включают «сигнализацию» уже на первой аномалии, привлекая внимание службы ИБ. Это подразумевает больше ручной работы, но дает больше времени среагировать. О каких событиях «сигналить» сразу, система понимает благодаря расставленным приоритетам. Например, в «СёрчИнформ SIEM» можно вручную разметить каждое правило корреляции как «аварийное» (нужно решать немедленно), «тревожное» (требует расследования, но на него есть время) или «информационное» (можно иметь в виду и заняться, когда будет возможность). По этим категориям можно фильтровать сработки по правилам: например, чтобы видеть только неотложные проблемы и не отвлекаться на информационные сообщения. А также настраивать разные варианты реагирования: срочно уведомлять ИБ-специалиста в мессенджеры об «аварийных» событиях или раз в неделю собирать в письмо дайджесты с «информационными».

Задача 3. Сообщить о проблеме

Итак, об угрозе или инциденте нужно вовремя сообщить. Как мы выяснили, обычно для этого хватает уведомлений.

В «простой» SIEM будет достаточно выбрать канал связи и время оповещения, в зависимости от приоритета выявленных событий. «СёрчИнформ SIEM» рассылает уведомления в Telegram или на почту, это два готовых варианта, настроить которые можно в один клик. В enterprise-SIEM, как правило, вариантов больше, но с ними придется повозиться. Например, есть возможность слать уведомления в любой мессенджер по выбору — но для этого придется вручную написать интеграцию через Webhook, то есть снова потратить больше времени и усилий, прежде чем все заработает.

Иногда суть угрозы — не в конкретном инциденте, а в тенденции. Например, критичными становятся участившиеся перегревы серверного оборудования. Здесь нужны инструменты визуализации, которые наглядно отобразят проблему. Подходят дашборды — чтобы «на глаз» выявить статистические или трендовые аномалии. Они «рисуют» понятные схемы и графики по работе SIEM и отдельных правил корреляции. Ведь на графике банально видно, если у пользователя более-менее ровная прямая инцидентов каждый день, которая сегодня внезапно взяла тренд на агрессивный рост.

Дашборды как формат представления данных есть практически во всех SIEM. Разница между «большими» и «маленькими» решениями — в количестве и гибкости настройки этих представлений. Хорошо, когда в системе много предустановленных шаблонов и ИБ-специалисту не нужно «изобретать велосипед», чтобы найти подходящую визуализацию для тех или иных событий.

Задача 4. Расширить возможности

SIEM централизует работу с другими ИБ-системами как большой пульт управления, потому что собирает их данные и позволяет коррелировать их друг с другом. Например, сопоставить брутфорс пароля системной учетной записи и последовавшее распространение вируса. Поэтому логично желание заказчиков объединить в SIEM как можно больше ИБ-инструментов, даже если они предназначены не для мониторинга.

Так появляются SIEM, перенимающие функционал смежных продуктов: сканеров уязвимостей, инцидент-менеджмента, систем реагирования и т.д. Иметь эти функции в «одном флаконе» удобно в ежедневной работе ИБ-специалиста, плюс так можно не тратиться на отдельные профильные решения. Поэтому «большие» SIEM часто шагают за пределы своего класса, да и «малые» не отстают: например, и сканер уязвимостей, и автоматическое реагирование на инциденты есть в «СёрчИнформ SIEM». Но нужно понимать, что «профильные» решения априори справляются со своими задачами лучше. К тому же одной системой не закрыть нормативы: если они предписывают компании иметь IRP, регулятора не устроит, что задачу решает SIEM. Ведь SIEM в первую очередь — это Security Information and Event Management.

Поэтому выбирать SIEM по дополнительным возможностям порой излишне — нет смысла доплачивать за них, если есть инструменты, решающие задачу целенаправленно.

Задача 5. Учесть нюансы

SIEM должна решать прикладные задачи, для этого ее надо «приземлить» на конкретную инфраструктуру и персонализировать. Это подразумевает учет нестандартных источников, создание собственных правил корреляции, интеграцию с внешними системами. Большинство решений дают для этого самые широкие возможности, это «признак хорошего тона» на рынке SIEM. Но персонализация SIEM требует четкого понимания, что ИБ-специалист хочет получить: то есть опыта, знания продукта и собственной инфраструктуры «на зубок».

Если такого опыта нет, SIEM «не заведется», то есть не будет давать результат, пока соответствующие настройки не заданы. А чтобы набраться нужного опыта, без результата — удовлетворительного или неудовлетворительного — не обойтись. Простые системы предлагают готовые наборы для старта, которые сразу отработают типовые проблемы и дадут ИБ-специалисту вводные, чтобы скорректировать работу SIEM.

Но и опытные специалисты могут столкнуться с проблемой: любая кастомизация требует времени и сил. Чтобы это не превращалось в долгострой, нужны удобные инструменты. Например, простой редактор для подключения источников — в «СёрчИнформ SIEM» эту функцию выполняет CustomConnector, он помогает интегрировать источник через простейшие скрипты на PowerShell. Полезны и те же шаблоны «из коробки»: от скриптов для интеграции до правил корреляции.

Главное

Какая бы SIEM ни была, ИБ-специалист должен понимать, как с ней работать. И как он хочет работать с ней: полностью самостоятельно или с помощью вендора. Удивительно, но в обоих случаях именно отзывчивость вендора играет главную роль.

Есть разработчики, готовые взять на себя все техническое сопровождение, настройку и доработку SIEM. Некоторые даже работают с ней в формате SOC или становятся для заказчика SIEM-аналитиками на аутсорсе. Часто это стоит дополнительных денег, даже если речь о банальной задаче: скажем, подключения источников. Обычно это характерно для «больших» SIEM, которые сложны настолько, что требуют или сверхквалификации ИБ-специалиста, или «присмотра» сотрудников вендора.

Другие производители нацелены на то, чтобы заказчик смог автономно решать возникающие проблемы — или, как минимум, самостоятельно вести расследования. Например, мы делаем ставку на обучение ИБ-специалистов. В нашей SIEM много подсказок прямо в интерфейсе, к ней написаны подробные мануалы. Менеджеры внедрения сопровождают заказчиков на каждом этапе, учат работе с системой и по запросу помогают в настройке и расследованиях. Это не требует дополнительных вложений. А дополнительно мы предлагаем курсы в Учебном центре и делимся полезными материалами. Например, вот запись вебинара о том, с чего начать работу с любой SIEM.

Так что главное при выборе системы — определиться с первостепенными задачами для нее и оценить, как можно решить их проще и без переплат. Для этого нужен опыт, а набраться его поможет практика. Поэтому «формула» идеальной SIEM — это понятная логика работы, быстрый результат, на основе которого можно делать выводы, и надежный вендор, который научит «водить» и «ехать», то есть полноценно использовать все возможности решения.