Журналы событий фиксируют действия пользователей, системные события и другие важные данные, которые могут помочь в выявлении инцидентов и уязвимостей. Однако для того, чтобы анализ этих журналов был эффективным, необходимо использовать соответствующие инструменты и техники.
Первый шаг в анализе журналов событий безопасности — это сбор и хранение данных. Для этого существуют различные инструменты. Ярким примером таких инструментов является SIEM-системы (Security Information and Event Management), которые позволяют централизовать сбор данных из различных источников. Например, мы можем импортировать журналы безопасности Windows на платформу SIEM при помощи агентов непосредственно в системы, которые могут автоматически настраиваться на сбор необходимых данных. Или же воспользоваться интеграцией через API, что позволит отправлять журналы событий напрямую в систему.
Примерами некоммерческих SIEM-систем являются Splunk, ELK Stack (Elasticsearch, Logstash, Kibana). Эти инструменты не только собирают данные, но и обеспечивают их хранение, что позволяет проводить ретроспективный анализ.
После сбора данных важным этапом является их нормализация. Разные системы могут генерировать журналы в разных форматах, что затрудняет их анализ. Использование инструментов для нормализации данных, например Logstash, позволяет привести данные к единому формату, что упрощает их дальнейшую обработку и анализ. Так, при помощи заданного фильтра grok-выражения есть возможность выполнить нормализацию логов для того, чтобы придать поступаемым сырым событиям читаемый вид.
Что происходит, если нормализация событий выполнена некорректно? На выходе мы получим проблемы с производительностью, ошибки в анализе и избыточность данных. Неправильно структурированные данные могут затруднить их обработку и увеличить время выполнения запросов. Получим некорректные выводы, это также подразумевает дублирование данных и увеличение размера базы данных.
Также немаловажным этапом является корреляция событий безопасности. Корреляция — это некий процесс поиска связей между несвязанными, на первый взгляд, событиями. Корреляция играет важную роль в анализе угроз, реагировании на инциденты и предотвращении будущих атак. Корреляция помогает сфокусировать взгляд аналитика, на определенных подозрительных процессах. Чаще всего правила корреляции пишут для SIEM систем, так как в SIEM системы собираются все логи от различных систем (активов)
Анализ данных — это основной этап, на котором происходит выявление аномалий и потенциальных угроз. Стоит различать автоматизированный анализ от ручного анализа. Так, автоматизированный анализ выполняется при помощи SIEM, SOAR (Security Orchestration, Automation and Response) и машинного обучения. Преимуществами автоматизированного анализа являются скорость и высокая эффективность, предсказуемость, глубина анализа. Ручной же анализ подразумевает стандартное средство просмотра и использование xml-запросов. Просматривание построковых логов через редакторы кода или текстовые редакторы, чтобы выявить потенциальные инциденты, аномалии или угрозы. Этот процесс требует глубоких знаний о системах, условиях эксплуатации и характерных признаках атак.
Визуализация данных играет важную роль в анализе журналов событий безопасности. Инструменты визуализации позволяют создавать интерактивные дашборды, которые помогают быстро оценить состояние безопасности. Визуализация помогает не только специалистам по безопасности, но и руководству компании быстро понимать текущие угрозы и реагировать на них. Примером опенсорсного инструмента является уже озвученная выше Kibana.
Анализ журналов событий безопасности не заканчивается на выявлении угроз. Необходимо иметь четкий план реагирования на инциденты. Одним из этапов такого плана является автоматизация процессов реагирования с помощью SOAR инструментов. SOAR инструменты помогают автоматически собирать журналы из различных источников. SOAR применяется в стандартизации и нормализации журналов, чтобы сделать их более понятными и анализируемыми. А также автоматически выполнять заранее определенные действия, такие как блокировка учетных записей, уведомление ответственных лиц или инициирование процессов расследования. Помимо этого, SOAR интегрируется с другими решениями по безопасности, например SIEM, IDS/IPS, системы управления уязвимостями и т. д.
Эффективный анализ журналов событий безопасности требует комплексного подхода, содержащего сбор, нормализацию, анализ, визуализацию и реагирование на инциденты. Важно помнить, что кибербезопасность — это не статичная область. Успешная защита требует постоянного обучения и адаптации к новым вызовам.
Автор: Денис Евдокимов, аналитик первой линии USSC-SOC, УЦСБ.
Оригинал публикации на сайте CISOCLUB: "Современные техники анализа событий безопасности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
