Журнал "Information Security/ Информационная безопасность" #4, 2024

38 • СПЕЦПРОЕКТ нию. В ближайшее время подобные тех- нологии все шире начнут применяться в SIEM. Виктор Никуличев, R-Vision В большом количестве источников нет ничего нового. В Enterprise-сегменте всегда было большое разнообразие систем-источников. В такой ситуации преобладает важность коннекторов, и легкость подключения данных источни- ков к SIEM. Большое количество событий меняет фокус анализа с точечных собы- тий на тренды и объемы. При этом сохраняется важность всех правил кор- реляции и анализа событий, так как это зависит от текущих киберугроз и внеш- них систем. Тем не менее, меняется схема расследования, так как становится все труднее работать со всеми события- ми одновременно. В результате подход меняется от "от меньшего к большему" к "от большего к меньшему". Гибкие инструменты поиска, такие как меха- низмы работы со статистикой событий и временные шкалы, помогают пользо- вателям в этой ситуации быстро полу- чить всевозможные срезы по данным и быстро ориентироваться в больших объе- мах информации. Павел Пугач, СёрчИнформ Подход к управлению данными у нас не меняется. Число источников не ограничено, они подключаются через универсальные коннекторы (по между- народным стандартам, например, Sys- log), специальные коннекторы или CustomConnector, если источник нестан- дартный. При росте объема логов от источника можно не опираться на его встроенные политики журналирования, а подключиться к нему напрямую. Это можно сделать с тем же CustomConnec- tor или с помощью вычитки БД источни- ка, чтобы забирать оттуда только нуж- ные для SIEM данные, не перегружая систему. Николай Лишке, Эшелон Технологии В части сбора событий мы реализова- ли все современные механизмы сбора событий как с агентами, так и без них. В результате подключение любого источ- ника проблем не представляет. В части хранения событий мы одними из первых стали использовать ClickHouse, причем постоянно его обновляем. В KOMRAD Enterprise SIEM появилось горячее и холодное хранение, а данные о собы- тиях максимально сжимаются. Евгения Лагутина, Лаборатория Касперского Есть два основных направления: 1. Технический – максимально прора- ботать контент и процесс работы над ним, детально продумывать скоуп дей- ствительно полезных в корреляции источников и необходимых данных от них, настроить фильтрацию и сроки хра- нения событий. 2. Процессный – непрерывно актуали- зировать список источников и правил, исходя из актуальных для конкретной инфраструктуры сценариев атак, обучать новых аналитиков грамотно писать кон- тент. Но! Очень важно соблюсти баланс: разгружая таким образом SIEM-систему, мы нагружаем команду. И если в случае с перегрузкой SIEM достаточно просто масштабировать систему, то команда – актив гораздо более ценный и более чувствительный к перегрузкам. Дмитрий Пудов, NGR Softlab Лучшие практики уже достаточно давно известны, они заключаются в поступательном наращивании возмож- ностей SOC. Попытка сбора избыточных данных и работы с ними без методоло- гической основы и процессной моде- ли – основная причина избыточной нагрузки как на SIEM, так и на персонал. Мы рекомендуем отказаться от хранения сырых событий для части источников, использовать нормализацию только для необходимых в корреляции, а контекст- ную информацию хранить в ненормали- зованном виде с точечной настройкой сроков и правил архивации, распреде- лять нагрузку, используя агентский сбор там, где это возможно. Павел Пугач, СёрчИнформ Если достигнут предел производи- тельности, и нет ресурсов, чтобы опера- тивно заменить оборудование или доку- пить лицензии, нашу SIEM можно мас- штабировать горизонтально. Часть мощ- ностей переносится на другое, даже более слабое железо, там система может хранить данные или производить мино- ритарные аналитические операции. Во- вторых, можно исключить из лога источ- ников события нормальной работы – это снизит поток данных на несколько порядков и оставит в фокусе только сбои и угрозы. Так потеряется детали- зация, необходимая в расследованиях, но в качестве крайней или временной меры это допустимо. Дмитрий Шамаев, Газинформсервис Для правильной разгрузки уже функ- ционирующей SIEM-системы необходимо: 1. Проанализировать настройки под- систем логирования различных источ- ников событий и избавиться от беспо- лезных, с точки зрения информационной безопасности, событий. То есть более тонко настроить логирование событий на источниках. 2. Проанализировать, как часто и какие именно срабатывают правила корреляции. Возможно, получится опти- мизировать логику правил корреляции. Дополнительно можно принять органи- зационно-технические меры для сниже- ния количества срабатываний правил. Если корректные правила корреляции срабатывают слишком часто, значит в ИТ-инфраструктуре заказчиков много проблем. Виктор Никуличев, R-Vision Не требуется оптимизация SIEM, если правильно настроены система, правила корреляции и источники. В иных слу- чаях необходимо проанализировать все процессы SIEM. Например, для сниже- ния нагрузки можно использовать LM- решение для глубокого/холодного хра- нения и второстепенных логов, которые не подлежат корреляции. В SIEM сле- дует оставлять только события, необхо- димые для корреляции и оперативного расследования оповещений. При соз- дании правил корреляции и нормали- зации рекомендуется использовать про- двинутые возможности среды разра- ботки и оптимизировать разрабаты- ваемые правила. Например, можно использовать инструмент бенчмаркинга в R-Vision R-Object для замера скорости работы правила. Павел Гончаров, Positive Technologies Мы рекомендуем проанализировать работу SIEM-системы с самого начала, в частности, с подключения и монито- ринга источников. Во время запуска MaxPatrol SIEM версии 8.2 этим летом мы выдавали нашим пользователям спе- циальный гайд, в котором рассказали, какие источники и в каком порядке нужно подключать, как их настраивать. На основе собранной информации мы уже можем определить, какая эксперти- за в системе требуется, какие правила и табличные списки можно отключить. Кроме того, нашим клиентам мы пред- лагаем мигрировать на LogSpace, что позволит высвободить ресурсы под выполняемые задачи. Даниил Вылегжанин, RuSIEM Следует начать с настройки глубины логирования источников, чтобы соби- рать и обрабатывать только нужные события. Не менее важна настройка дополнительных правил фильтрации и агрегации событий, а также оптими- зация существующих правил корре- ляции для повышения точности выявления инцидентов и снижения вероятности ложноположительных срабатываний. В части хранения и ускорения поиска событий поможет настройка индексов и использования горячих, теплых или холодных нод Ваши рекомендации заказчикам: как лучше разгрузить SIEM, уже работающий в инфра- структуре?