Определяем текущее состояние ИБ и даем рекомендации по улучшению уровня защиты
Помогаем обеспечить выполнение требований 152-ФЗ по защите персональных данных
Отчет с рекомендациями и дорожная карта для выполнения требований Указа №250
Проведем категорирование объектов, подготовим ОРД и поможем обеспечить безопасность КИИ
Курсы информационной безопасности для вас и ваших сотрудников
Услуги:
Статьи:
Аттестация объектов информатизации и подключение к ГИС
Поиск путей проникновения внешнего нарушителя во внутреннюю сеть
Непрерывный мониторинг периметра и своевременное выявление уязвимостей
Анализ защищенности от атак с доступом к локальной сети организации
Услуги:
Статьи:
Анализ защищенности от атак с эксплуатацией уязвимостей веб-ресурсов
Выявление уязвимостей и тестирование безопасности в контролируемой среде
Анализ защищенности от атак с эксплуатацией уязвимостей мобильных приложений
Реализация требований ГОСТ Р 57580.1 , начиная с аудита и заканчивая построением системы защиты
Проводим оценку рисков ИБ для организации, вероятность их реализации и степень допустимости
Проводим аудит по требованиям Положения 716-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положений 787-П и 779-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положения SWIFT CSCF, готовим отчёт и комплект ОРД
Статьи:
Услуги:
Полный комплекс работ по обеспечению информационной безопасности КИИ
Защита автоматизированных систем управления технологическими процессами
Готовим документы для выполнения требований по защите ПДн (152-ФЗ)
Обеспечение соответствия Приказам ФСТЭК № 235 и № 239
Поможем выполнить требования Указа № 250 Президента Российской Федерации
Оценка и подтверждение соответствия объектов информатизации требованиям безопасности
Услуги:
Статьи:
Внедрение и сопровождение IDM, аудит прав доступа, построение ролевой модели
Внедрение и поддержка средств мультифакторной аутентификации
Внедрение и поддержка систем контроля привилегированных пользователей
Услуги:
Услуги:
Статьи:
Проектирование, внедрение, поддержка систем защиты конечных точек
Проектирование, внедрение, поддержка систем защиты конечных точек от комплексных угроз
Проектирование, внедрение, поддержка систем Extended Detection and Response
Услуги:
Статьи:
Сервис обучения сотрудников навыкам кибербезопасности на базе Phishman
15 базовых курсов по информационной безопасности для ваших сотрудников
Автоматизированная система обучения сотрудников основам ИБ
Услуги:
Разработка системы управления информационной безопасностью в соответствии с ISO/IEC 27001
Экспертный аудит и разработка стратегии непрерывности бизнеса в соответствии с ISO 22301
Услуги:
Услуги по внедрению процессов безопасной разработки: SSDLC, DevSecOps, AppSec
Обучение сотрудников основам безопасной разработки приложений
Новости

Разработка уникальных правил корреляции для SIEM: ключ к эффективной защите

правила корреляции siem
В этой статье вы узнаете, почему стандартные правила корреляции в SIEM-системах не справляются с современными киберугрозами, и как правильно создавать уникальные правила для обеспечения эффективной безопасности. Рассмотрим необходимые инструменты и этапы для разработки правил корреляции, а также расскажем, как профессиональный подход к настройке SIEM-систем может усилить защиту вашей компании.

Почему «коробочных» правил корреляции недостаточно?

Корреляционное ядро является одним из ключевых компонентов SIEM-системы. Оно позволяет по заданной логике и правилам обнаруживать несанкционированные действия злоумышленников, приводящих к неприемлемым событиям – инцидентам информационной безопасности. Вендоры SIEM-систем предлагают своим клиентам так называемые коробочные правила корреляции, которые обеспечивают базовую защиту от угроз. Эти правила создаются на основе типовых сценариев атак и предназначены для обнаружения наиболее распространённых инцидентов. Однако мир кибербезопасности не стоит на месте — каждый день появляются новые уязвимости и методы эксплуатации, а хакеры становятся все более изощрёнными в своих атаках. В условиях постоянно изменяющихся угроз стандартные правила быстро устаревают, поэтому полагаться только на них уже недостаточно для обеспечения надёжной защиты. Все это приводит нас к мысли, что для эффективной работы SIEM-системы требуется регулярное обновление и адаптация правил корреляции под новые вызовы.
SIEM (Security Information and Event Management, «управление событиями и информацией о безопасности») — программное обеспечение, предназначенное для сбора и анализа информации о событиях информационной безопасности. SIEM — это, по сути, объединение SEM (Security Event Management, «управление событиями безопасности») и SIM (Security Information Management, «управление информацией о безопасности»). Решения SEM используются для мониторинга событий безопасности в реальном времени. Системы SIM, в свою очередь, отвечают за долгосрочное хранение и анализ данных с различных объектов инфраструктуры организации. SIEM-решения выполняют обе эти задачи.

Как написать уникальные правила корреляции для SIEM?

Эффективная работа SIEM-системы начинается с корректной настройки и разработки уникальных правил корреляции. Написание таких правил требует использования специализированных инструментов, которые можно разделить на два основных подхода: использование конструктора и написание правил на языке программирования. Конструктор предоставляет готовые формы и селекторы для задания фильтров обнаружения, что снижает порог входа для специалистов. В то время как программирование правил позволяет реализовать более сложные и специфические логические конструкции, требующие более глубоких знаний.
Рисунок 1. Инструментарии для создания правила корреляции (слева – конструктор готовых форм, справа – форма для написания правила корреляции на языке программирования)
Для тех, кто только начинает работу с написанием правил корреляции, необходимо овладеть базовыми знаниями о конечных устройствах, с которых собираются логи, понимать актуальные уязвимости и методы их эксплуатации, а также основные принципы атак. Регулярное изучение трендовых уязвимостей, тактик и техник злоумышленников также является обязательным условием. В качестве полезных ресурсов можно использовать такие источники, как MitreAtt&ck, ФСТЭК и OWASP.

Этапы разработки правил корреляции для SIEM

Процесс написания правил корреляции можно разделить на несколько ключевых этапов:

1. Изучение принципов проведения целевой атаки

На этом этапе анализируются тактики, техники, уязвимости и инструменты, позволяющие реализовать атаку. Важно понять kill-chain цепочку атаки и определить источники логов для обнаружения событий информационной безопасности.
Рисунок 2. Этапы проведения хакерской атаки (полный цикл действий злоумышленника)
2. Определение метрик обнаружения атаки

После изучения принципов атаки необходимо определить метрики её обнаружения. Важно понять, какие коды событий и параметры логов можно использовать для детектирования атаки. Часто этот шаг требует разработки или расширения нормализатора источника.

3. Разработка логики обнаружения атаки

Здесь формируется логика обнаружения, определяются детектирующие фильтры, и принимается решение, достаточно ли одного правила корреляции или требуется создание нескольких вспомогательных правил.

4. Создание вспомогательных инструментов

Вспомогательные инструменты, такие как словари, активные списки, правила обогащения, переменные и контекстные таблицы, помогают при внесении исключений, запоминании важной информации по инциденту и обогащении её дополнительными данными.

5. Создание правила корреляции

На этом этапе осуществляется непосредственная разработка правила корреляции, опираясь на все предыдущие шаги.

6. Внесение исключений

Любое правило корреляции нуждается в настройке исключений для минимизации ложных срабатываний (False Positives). Этот процесс включает в себя отлов таких срабатываний и добавление их в список исключений, чтобы избежать ненужных оповещений и фокусироваться на действительно критических инцидентах.

7. Тестирование

Завершающий этап — это тестирование созданного правила корреляции. Здесь важно убедиться, что разработанная логика позволяет в полной мере обнаруживать целевые атаки.

Доверьте написание правил корреляции профессионалам

Осознание важности постоянного обновления SIEM-системы подводит нас к следующему важному вопросу: кто будет заниматься этой задачей? Написание и поддержка правил корреляции требует не только глубоких знаний, но и значительных временных и человеческих ресурсов. Для многих компаний, особенно крупных, это может стать серьёзной нагрузкой и отвлечь внутренние ресурсы от других приоритетных задач. Кроме того, недостаток опыта или знаний в этой области может привести к созданию неэффективных правил, что, в свою очередь, увеличит риски для безопасности. Руководители, которые ценят свое время и трезво оценивают ресурсы своих команд, часто принимают решение доверить эти задачи экспертам.
Infosecurity предлагает услуги по разработке правил корреляции «под ключ», тем самым обеспечивая непрерывную защиту вашего бизнеса, освобождая ваши внутренние ресурсы для решения других приоритетных задач. Также наши специалисты помогут с внедрением SIEM-системы и ее сопровождением на любом из этапов. Команда Infosecurity обладают многолетним опытом в области информационной безопасности и глубокой профессиональной подготовкой, что позволяет нам решать самые сложные задачи.
Оставьте заявку на бесплатную консультацию

Автор: Ачыты Сотпа, ведущий инженер Infosecurity (ГК Softline)
Экспертиза