1 17 Table of Contents 19 88

Журнал "Information Security/ Информационная безопасность" #4, 2025

Но вот парадокс: выбрать правильную SIEM-систему оказывается не проще, чем найти атакующего среди миллионов строк в журнале. На демо любая система выглядит идеально, но настоящая про- верка начинается спустя месяцы, в то время, когда хакеры становятся изобре- тательнее. Решение класса SIEM – это не допол- нительный софт, а критически важная часть инфраструктуры бизнеса. Потому к выбору SIEM нужно подходить как к решению на годы вперед. Что действительно важно при выборе SIEM-системы 1 Первое – поддерживаемые источники. У одного вендора – тысяча, у другого – полторы. Кажется, чем больше, тем лучше. Но цифра сама по себе ничего не гаран- тирует. Можно подключить сотни источни- ков и не видеть сути, а можно десяток – и сразу поймать след злоумышленника. Реальная ценность источников про- является только тогда, когда SIEM умеет извлекать из них пользу. Одно и то же событие входа в систему может остаться сухой строкой "успешная аутентифика- ция", а может превратиться в десятки индикаторов: нетипичная страна под- ключения, подозрительный процесс, необычное время. Для аналитика это – разница между "еще одной строчкой" и ключевой зацепкой. Раскроем эту мысль на примере того, как MaxPatrol SIEM 2 обнаруживает атаку DCSync. Атака DCSync – популярный способ компрометации учетных данных пользо- вателей домена: злоумышленник выдает свою систему за контроллер домена и синхронизирует данные с настоящим. MaxPatrol SIEM выявляет не только саму атаку, но и ее подготовку: l Правило корреляции фиксирует добавление привилегий группе пользо- вателей (это один из сценариев, как 16 • СПЕЦПРОЕКТ Чек-лист: как выбрать результативный SIEM ак может выглядеть один день из жизни аналитика SOC? Экран завален сотнями событий ИБ, мигают новые алерты, очередные срабатывания правил корреляций. В голове одна мысль: где-то прямо сейчас злоумышленник движется по инфраструктуре, а ты его не видишь, – в этой лавине даже опытный аналитик может пропустить главное. К Олег Хныков, руководитель группы продуктового маркетинга по инфраструктурной и сетевой безопасности, Positive Technologies Рис. 1. Корреляция, выявляющая добавление привиле- гий группе пользователей Рисунок: Positive Technologies Рис. 2. Как аналитик видит атаку DCSync в интерфейсе MaxPatrol SIEM Рисунок: Positive Technologies Фото: Positive Technologies 1 По оценке команды MaxPatrol SIEM 2 https://www.ptsecurity.com/ru-ru/products/mpsiem/

RkJQdWJsaXNoZXIy Mzk4NzYw