В современных компаниях SIEM-системы ежедневно обрабатывают миллионы событий из разных источников. По статистике коллектив из 100 человек способен сгенерировать более 3000 входов Active Directory, а одна (!) работающая в штатном режиме VMware – порядка 4 млн событий в день. Чтобы выделить в потоке действительно значимые инциденты, в SIEM есть кросс-корреляция – сопоставление событий из разных источников, которые в совокупности говорят об угрозе. Обычно правила кросс-корреляции требуют программирования. Иногда это по запросу делает вендор, но чаще заказчику приходится разбираться самостоятельно. В «СёрчИнформ SIEM» мы максимально упростили задачу: такие правила можно создать в пару кликов. Показываем и рассказываем.
Как работает кросс-корреляция?
Представим ситуацию: SIEM зафиксировала попытку входа в AD с неправильным паролем. Это может быть совершенно рядовое событие (пользователь ошибся при вводе), а может указывать на кражу учетной записи. Чтобы наверняка выяснить, представляет ли ситуация опасность, необходимо изучать контекст – какие еще события происходили в системе в это время и как они связаны с исходным. И тут как раз нужна кросс-корреляция: она вычисляет инцидент, даже если по отдельности события из разных источников не выглядят угрожающими.
Чтобы написать правило кросс-корреляции, обычно нужно задать атрибуты этих событий на языке программирования в том виде, в котором их передает источник, задать «интерпретатор» и правила их сопоставления. В «СёрчИнформ SIEM» эта задача автоматизирована – мы сделали мастер в графическом интерфейсе, где правило собирается как в конструкторе.
Правила создаются в три действия:
1. Выбираем нужные значения из предлагаемых списков:
источников (коннекторов),
событий (идентификаторов),
атрибутов.
2. Указываем объединяющие условия. Например, чтобы сообщения о событиях поступали с одного ПК или от одной учетной записи. Работают логические операторы:
«И», когда инцидентом считается обязательное совпадение событий;
«НЕ», то есть инцидентом будет случай, когда после определенного события не происходит другое (которое в нормальной ситуации должно произойти).
Таким образом, сервис работает по принципу «событие 1 И событие 2 = alert» или «событие 1 НЕ событие 2 = alert». Если все заданные условия выполняются, ИБ-специалист получит уведомление об инциденте. Режим и способ уведомлений можно настроить для каждого правила в отдельности. В том числе уведомления можно получать в дайджестах по почте или в Telegram.
Сервис кросс-корреляции в «СёрчИнформ SIEM» поддерживает все коннекторы, доступные в системе – их больше 30.
Что в итоге?
Кросс-корреляция помогает ИБ-специалисту определить границы инцидента в большом потоке событий и разных точках инфраструктуры. Вдобавок она снижает количество ложноположительных сработок. Чем точнее комбинация и последовательность условий, тем выше эффективность работы SIEM и точнее результат – выявленные аномальных событий.
Преимущество конструктора правил кросс-корреляции в «СёрчИнформ SIEM» в его простоте. Настроить мониторинг сложных инцидентов можно в два клика без специальных умений и лишних трудозатрат. Наша система вся построена по этому принципу – работает «из коробки» и сразу показывает результат.
Попробовать ее можно бесплатно в течение 30 дней – оставьте заявку .
