Журнал "Information Security/ Информационная безопасность" #4, 2025

При его неверном выполнении анализе событий последующие действия с инци- дентом в рамках SOC могут усугубить ситуацию и вместо предотвращения кибератаки на ранней стадии привести к более серьезному ущербу для бизнеса. От чего же зависит эффективность ана- лиза событий? Факторы, определяющие качество и скорость BI.ZONE TDR ежедневно обрабатывает более 300 тыс. сырых событий кибербе- зопасности в секунду и за 2024 г. выявил более 13 тыс. инцидентов. У нас нако- пился обширный опыт анализа событий, поэтому мы можем поделиться практи- ческими советами.Качество и скорость анализа инцидента зависят от того, насколько компетентны сотрудники цент- ра мониторинга и доступны ли им про- фильные инструменты SOC, в том числе для сбора дополнительного контекста. На компетенциях персонала не оста- навливаемся – этой теме будет посвящен один из следующих материалов. Пого- ворим об инструментах для сбора допол- нительного контекста. Без него невоз- можно определить, насколько достовер- но сработало правило обнаружения, какова природа выявленной активности, как она соотносится с актуальным ланд- шафтом угроз и какое влияние оказы- вает на бизнес-процессы. Применение IRP/SOAR Поток событий постоянно растет, и нам важно выполнять их анализ без потери качества. Для этого мы применяем сред- ство класса SOAR (BI.ZONE SOAR). Это решение помогает выстраивать работу с событиями и инцидентами по единому алгоритму, избегать ошибок персонала, реализовывать сложные многосоставные задачи, получать автоматизированный контроль шагов (метрики) и т. д. Кроме того, SOAR позволяет аккумулировать информацию об активах и обогащать события и инциденты данными. В итоге аналитик SOC оперативно получает дополнительный контекст о событии или инциденте. Приведем пример. На межсетевом экране обнаружено сканирование внутри сети – как правило, в SOC создается алерт, который содержит информацию о сетевых соединениях. Но этой инфор- мации может быть недостаточно, чтобы оперативно идентифицировать хост – инициатор сканирования. Благодаря обо- гащению в SOAR в карточку инцидента автоматически добавилась информация о VPN-подсети, которой принадлежит хост, а также об активном пользователе, которому этот адрес был выдан. В итоге сразу видно, в отношении какого сотруд- ника и актива осуществлять реагирова- ние. Аналитик не тратит время на ручной сбор информации – это облегчает и уско- ряет процесс. Использование EDR Чтобы идентифицировать инцидент среди событий безопасности, мы соби- раем дополнительный контекст с помо- щью специализированных средств. В арсенале SOC могут быть различные утилиты для сбора криминалистических артефактов (системные события, дампы оперативной памяти, журналы прило- жений и т. д.), помогающие детально изучить активность. Собирать необхо- димые данные также позволяет реше- ние класса EDR (BI.ZONE EDR). Если оно используется в инфраструктуре компании, то даже внешний SOC по согласованию с клиентом сможет вести сбор нужных данных без привлечения сотрудников организации. Это значи- тельно ускоряет процесс анализа актив- ности. В кейсе из нашей практики EDR-реше- ние выявило событие, связанное с запус- ком подозрительного файла, который собирал информацию о системе. Неред- ко такое событие говорит о попытке компрометации хоста, но возможны варианты. Так, причиной активности может быть легитимный скрипт сотруд- ников ИТ-отдела, используемый для инвентаризации. С помощью EDR ана- литики провели углубленный анализ: детально изучили дельта-окрестность события по поступающей телеметрии, а подозрительный файл выгрузили в SOC на анализ. В итоге удалось одно- значно установить, что активность была вредоносной, а хост пытались скомпро- метировать. Данные от киберразведки Киберразведданные позволяют пре- вентивно реагировать на угрозы благо- даря дополнительному контексту, напри- мер оперативно атрибутировать ата- кующего и соотнести его с кластером активности. А знание тактик, техник, процедур и инструментов злоумышлен- ников позволяет быстро принимать решения о том, как реагировать в рам- ках инцидента. Рассмотрим пример: на хосте сработал антивирус на подозрительное вложение в письме. Но лишь по этому событию трудно понять, что это за письмо и насколько можно верить антивирусу. Обогащение событий киберразведдан- ными помогло оперативно обнаружить фишинговую атаку, поскольку хеш вло- женного файла был в базе индикаторов компрометации на портале киберраз- ведки. Заключение Ключевая задача аналитика SOC при анализе событий – установить правиль- ный контекст активности. Перечислен- ные в статье инструменты и процессы позволяют сделать это точно и быстро. Они необходимы для качественного обнаружения угроз и своевременного реагирования. l 54 • СПЕЦПРОЕКТ Анализ событий в SOC: что важно? омпания по управлению цифровыми рисками BI.ZONE совместно с “Информационной безопасностью” продолжает цикл публикаций о ключевых аспектах функционирования SOC. Предыдущие две статьи были посвящены покрытию мониторингом ИТ-инфраструктуры и обнаружению угроз. В третьем материале цикла расскажем об анализе событий. К Андрей Дудин, эксперт по мониторингу и анализу инцидентов кибербезопасности BI.ZONE TDR Смотрите видео с Андреем Дудиным, чтобы узнать подробности об анализе событий в SOC: Фото: BI.ZONE Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjc7fgBQ