Журнал "Information Security/ Информационная безопасность" #4, 2025

"400+ универсальных правил из коробки SIEM" неизбежно генерируют поток мусора, и если в SIEM нет необходимых инстру- ментов, то инциденты и события аудита начинают тонуть в потоке ложнополо- жительных сработок, мешая друг другу. SIEM не заменит тради- ционные инструменты (опро- сы, интервью, ручной ана- лиз), но дополнит их объ- ективными данными, под- тверждающими или опро- вергающими теорию, а также поможет сэкономить время. по сути, не собирает нужные метрики с нужных систем и не дает наглядных и понятных даш- бордов, с помощью которых CISO могли бы получить всю информацию по соблюдению необходимых правил. С чем это связано? Основная проблема заключается в слож- ности отслеживания потоков данных (data-flow). Тот, кто когда-либо пробовал собрать логи с веб-приложения, вклю- чающего в себя три звена (веб- сервер, БД и клиентскую маши- ну), знает, что это задача со звездочкой. Например, устано- вить мониторинг на кастомизи- рованные конфигурации 1С получится только после много- месячных страданий со стороны разработчиков системы. Кроме того, "400+ универсальных пра- вил из коробки SIEM" неизбежно генерируют поток мусора, и если в SIEM нет необходимых инстру- ментов, то инциденты и события аудита начинают тонуть в потоке ложноположительных сработок, мешая друг другу. Масло в огонь подливает и тот факт, что для целей аудита события необходимо хранить от года до трех лет, а для Click- House-like SIEM это неизбежно повышает требования к железу. Сошлюсь на коллег из "Лабора- тории Касперского": в своих общих рекомендациях 1 , рассчи- танных на широкие аналитиче- ские запросы, они сообщают, что ClickHouse рекомендует при- держиваться отношения RAM к объему хранимых данных рав- ному 1:100. Но сколько опера- тивной памяти потребуется, если на каждом узле предполагается хранить 50 Тбайт? Ведь зача- стую глубина хранения событий определяется требованиями регулятора, и поисковые запро- сы не выполняются на всю глу- бину хранения. Поэтому реко- мендацию можно трактовать следующим образом: если сред- няя глубина запроса предпола- гает сканирование партиций суммарным объемом в 10 Тбайт, то потребуется 100 Гбайт RAM. Наконец, не стоит забывать и про основополагающий момент: систем много, данные в них содержатся в разных фор- матах и схемах. SIEM, полу- чающая на входе сырые дан- ные, не приведенные к единому формату, не имеющая инстру- ментов для их стандартизации, на выходе даст поток неструк- турированной информации, который сложно будет исполь- зовать в работе. Для тех, кто использует SIEM на ClickHouse, это означает, что перед отправ- кой данных в БД их придется стандартизировать под схему, предложенную вендором. Если же ИС нуждается в дополнительных полях, то потребуется приложить экстра- усилия: например воспользо- ваться опцией отправки запроса к вендору на доработку или же обратиться к системе ETL, кото- рая поможет перенести данные в единое хранилище. Коллеги, заменившие или заменяющие Splunk, прекрасно понимают эту проблематику. OpenSearch будет наилучшим решением для этой задачи. Для оптимизации его работы надо потратить лишь немного времени на перенос индексов и событий для ауди- торов на warm-хранилища, но при этом он позволит каким угодно образом обрабатывать нетиповые логи, хранимые в сыром виде, без риска потери информации из полей. Выводы Могут ли аудиторы использо- вать SIEM? Да, могут. SIEM не заменит традиционные инстру- менты (опросы, интервью, руч- ной анализ), но дополнит их объективными данными, под- тверждающими или опровер- гающими теорию, а также помо- жет сэкономить время. Однако прежде чем использовать этот инструмент, необходимо прове- сти архитектурный аудит источ- ников данных: что мы логируем, в каком виде, с какой детали- зацией? SIEM для аудитора – мощный инструмент для зрелых команд и отлаженных процессов. Это не разовая история – "внедрил и забыл", – а комплексная орга- низационно-техническая транс- формация, переводящая ком- плаенс-контроль из реактивного состояния (раз в год или квар- тал) в постоянный, проактивный процесс. Без понимания этого проект обречен на провал. l • 23 SIEM www.itsec.ru Рис. Инвентаризация активов в SIEM Alertix 2 АДРЕСА И ТЕЛЕФОНЫ NGR SOFTLAB см. стр. 84 NM Реклама 1 https://support.kaspersky.ru/help/KUMA/4.0/ru-RU/217889.htm 2 https://ngrsoftlab.ru/alertix