Источники логов
FWМежсетевой экран (Firewall) / IDS
EPКонечные точки (EDR)
ADАутентификация (AD)
APПриложения
CLОблако (CSPM — Cloud Security Posture Management / управление состоянием безопасности облака)
NWСетевые устройства
DBАудит баз данных
→
СБОР
syslog сетевые устройства
агенты серверы / конечные точки
API облако / SaaS
SIEM
Нормализация
Приведение к единому формату
Корреляция
Правила корреляции событий
Оповещение
Генерация алертов по критичности (severity)
→
SOC (Security Operations Center)
L1 Исследование: аналитик изучает алерт, эскалирует
L2-L3 Реагирование: реагирование, изоляция, восстановление, передача в IR (Incident Response / реагирование на инциденты)
1 Перебор (Brute Force) >10 неудачных входов / 5 мин с одного IP СРЕДНИЙ
2 Невозможное перемещение (Impossible Travel) Москва + Сингапур за 30 мин ВЫСОКИЙ
3 Повышение привилегий (Privilege Escalation) Добавление в Domain Admins вне часов КРИТИЧЕСКИЙ
4 Эксфильтрация данных (Data Exfiltration) >5 ГБ исходящего от конечной точки КРИТИЧЕСКИЙ
5 Подозрительный процесс (Suspicious Process) powershell + base64-команда ВЫСОКИЙ
6 Обход DLP (DLP Bypass) Попытка отключения DLP-агента КРИТИЧЕСКИЙ
7 Компрометация аккаунта (Account Compromise) Смена паролей нескольких аккаунтов с одного IP ВЫСОКИЙ
8 Внерабочая активность (After-hours Activity) Активность в выходные/ночь СРЕДНИЙ
9 Ошибка затем успех (Failed then Success) Серия неудачных + успешный вход ВЫСОКИЙ
10 Латеральное перемещение (Lateral Movement) Последовательные подключения к разным серверам КРИТИЧЕСКИЙ
MTTD (Mean Time to Detect / среднее время обнаружения)
Без SIEM + SOC
197 дней
Узнают от ФСБ или из соцсетей
SIEM + SOC L1 (24/7)
4-24 часа
SIEM + SOC L1-L3 + Поиск угроз (Threat Hunting)
30 минут
Стартап на 30 чел.
Полноценный SIEM избыточен. Достаточно облачных провайдеров средств мониторинга и автоматических алертов.
Корпорация на 5000 чел.
SIEM обязателен с собственным или аутсорс-SOC. Лицензии 5-50 млн руб/год + внедрение 10-30 млн руб + SOC L1 12-30 млн руб/год.
SIEM, дорогой инструмент. Но SIEM (Security Information and Event Management / управление информацией и событиями безопасности) без SOC бессмысленен. И SOC без хороших правил корреляции тоже бессмысленен. Когда CISO (Chief Information Security Officer / руководитель ИБ) просит SIEM, спрашивайте про SOC. Когда просит SOC, спрашивайте про правила.