В этой статье вы узнаете, почему стандартные правила корреляции в SIEM-системах не справляются с современными киберугрозами, и как правильно создавать уникальные правила для обеспечения эффективной безопасности. Рассмотрим необходимые инструменты и этапы для разработки правил корреляции, а также расскажем, как профессиональный подход к настройке SIEM-систем может усилить защиту вашей компании.
Почему «коробочных» правил корреляции недостаточно?
Корреляционное ядро является одним из ключевых компонентов SIEM-системы. Оно позволяет по заданной логике и правилам обнаруживать несанкционированные действия злоумышленников, приводящих к неприемлемым событиям – инцидентам информационной безопасности. Вендоры SIEM-систем предлагают своим клиентам так называемые коробочные правила корреляции, которые обеспечивают базовую защиту от угроз. Эти правила создаются на основе типовых сценариев атак и предназначены для обнаружения наиболее распространённых инцидентов. Однако мир кибербезопасности не стоит на месте — каждый день появляются новые уязвимости и методы эксплуатации, а хакеры становятся все более изощрёнными в своих атаках. В условиях постоянно изменяющихся угроз стандартные правила быстро устаревают, поэтому полагаться только на них уже недостаточно для обеспечения надёжной защиты. Все это приводит нас к мысли, что для эффективной работы SIEM-системы требуется регулярное обновление и адаптация правил корреляции под новые вызовы.
SIEM (Security Information and Event Management, «управление событиями и информацией о безопасности») — программное обеспечение, предназначенное для сбора и анализа информации о событиях информационной безопасности. SIEM — это, по сути, объединение SEM (Security Event Management, «управление событиями безопасности») и SIM (Security Information Management, «управление информацией о безопасности»). Решения SEM используются для мониторинга событий безопасности в реальном времени. Системы SIM, в свою очередь, отвечают за долгосрочное хранение и анализ данных с различных объектов инфраструктуры организации. SIEM-решения выполняют обе эти задачи.
Как написать уникальные правила корреляции для SIEM?
Эффективная работа SIEM-системы начинается с корректной настройки и разработки уникальных правил корреляции. Написание таких правил требует использования специализированных инструментов, которые можно разделить на два основных подхода: использование конструктора и написание правил на языке программирования. Конструктор предоставляет готовые формы и селекторы для задания фильтров обнаружения, что снижает порог входа для специалистов. В то время как программирование правил позволяет реализовать более сложные и специфические логические конструкции, требующие более глубоких знаний.
Рисунок 1. Инструментарии для создания правила корреляции (слева – конструктор готовых форм, справа – форма для написания правила корреляции на языке программирования)
Для тех, кто только начинает работу с написанием правил корреляции, необходимо овладеть базовыми знаниями о конечных устройствах, с которых собираются логи, понимать актуальные уязвимости и методы их эксплуатации, а также основные принципы атак. Регулярное изучение трендовых уязвимостей, тактик и техник злоумышленников также является обязательным условием. В качестве полезных ресурсов можно использовать такие источники, как MitreAtt&ck, ФСТЭК и OWASP.
Этапы разработки правил корреляции для SIEM
Процесс написания правил корреляции можно разделить на несколько ключевых этапов:
1. Изучение принципов проведения целевой атаки
На этом этапе анализируются тактики, техники, уязвимости и инструменты, позволяющие реализовать атаку. Важно понять kill-chain цепочку атаки и определить источники логов для обнаружения событий информационной безопасности.
1. Изучение принципов проведения целевой атаки
На этом этапе анализируются тактики, техники, уязвимости и инструменты, позволяющие реализовать атаку. Важно понять kill-chain цепочку атаки и определить источники логов для обнаружения событий информационной безопасности.
Рисунок 2. Этапы проведения хакерской атаки (полный цикл действий злоумышленника)
2. Определение метрик обнаружения атаки
После изучения принципов атаки необходимо определить метрики её обнаружения. Важно понять, какие коды событий и параметры логов можно использовать для детектирования атаки. Часто этот шаг требует разработки или расширения нормализатора источника.
3. Разработка логики обнаружения атаки
Здесь формируется логика обнаружения, определяются детектирующие фильтры, и принимается решение, достаточно ли одного правила корреляции или требуется создание нескольких вспомогательных правил.
4. Создание вспомогательных инструментов
Вспомогательные инструменты, такие как словари, активные списки, правила обогащения, переменные и контекстные таблицы, помогают при внесении исключений, запоминании важной информации по инциденту и обогащении её дополнительными данными.
5. Создание правила корреляции
На этом этапе осуществляется непосредственная разработка правила корреляции, опираясь на все предыдущие шаги.
6. Внесение исключений
Любое правило корреляции нуждается в настройке исключений для минимизации ложных срабатываний (False Positives). Этот процесс включает в себя отлов таких срабатываний и добавление их в список исключений, чтобы избежать ненужных оповещений и фокусироваться на действительно критических инцидентах.
7. Тестирование
Завершающий этап — это тестирование созданного правила корреляции. Здесь важно убедиться, что разработанная логика позволяет в полной мере обнаруживать целевые атаки.
После изучения принципов атаки необходимо определить метрики её обнаружения. Важно понять, какие коды событий и параметры логов можно использовать для детектирования атаки. Часто этот шаг требует разработки или расширения нормализатора источника.
3. Разработка логики обнаружения атаки
Здесь формируется логика обнаружения, определяются детектирующие фильтры, и принимается решение, достаточно ли одного правила корреляции или требуется создание нескольких вспомогательных правил.
4. Создание вспомогательных инструментов
Вспомогательные инструменты, такие как словари, активные списки, правила обогащения, переменные и контекстные таблицы, помогают при внесении исключений, запоминании важной информации по инциденту и обогащении её дополнительными данными.
5. Создание правила корреляции
На этом этапе осуществляется непосредственная разработка правила корреляции, опираясь на все предыдущие шаги.
6. Внесение исключений
Любое правило корреляции нуждается в настройке исключений для минимизации ложных срабатываний (False Positives). Этот процесс включает в себя отлов таких срабатываний и добавление их в список исключений, чтобы избежать ненужных оповещений и фокусироваться на действительно критических инцидентах.
7. Тестирование
Завершающий этап — это тестирование созданного правила корреляции. Здесь важно убедиться, что разработанная логика позволяет в полной мере обнаруживать целевые атаки.
Доверьте написание правил корреляции профессионалам
Осознание важности постоянного обновления SIEM-системы подводит нас к следующему важному вопросу: кто будет заниматься этой задачей? Написание и поддержка правил корреляции требует не только глубоких знаний, но и значительных временных и человеческих ресурсов. Для многих компаний, особенно крупных, это может стать серьёзной нагрузкой и отвлечь внутренние ресурсы от других приоритетных задач. Кроме того, недостаток опыта или знаний в этой области может привести к созданию неэффективных правил, что, в свою очередь, увеличит риски для безопасности. Руководители, которые ценят свое время и трезво оценивают ресурсы своих команд, часто принимают решение доверить эти задачи экспертам.
Infosecurity предлагает услуги по разработке правил корреляции «под ключ», тем самым обеспечивая непрерывную защиту вашего бизнеса, освобождая ваши внутренние ресурсы для решения других приоритетных задач. Также наши специалисты помогут с внедрением SIEM-системы и ее сопровождением на любом из этапов. Команда Infosecurity обладают многолетним опытом в области информационной безопасности и глубокой профессиональной подготовкой, что позволяет нам решать самые сложные задачи.
Оставьте заявку на бесплатную консультацию
Автор: Ачыты Сотпа, ведущий инженер Infosecurity (ГК Softline)
