← IDS и IPS: Snort и SuricataСетевая безопасность в обла… →

Мониторинг, логи и SIEM

Урок про то, что без логов и их анализа атаку не заметишь и не расследуешь.

SIEM (security information and event management) — система, которая собирает логи со всей инфраструктуры, коррелирует события и помогает обнаруживать инциденты.

Зачем логи и мониторинг

Все предыдущие меры — это барьеры. Но барьеры иногда пробивают, и тогда решает скорость обнаружения. Логи — это память сети: кто, куда и когда подключался, что отклонил firewall, что заметил IDS. Без них инцидент остаётся невидимым, а расследование — невозможным.

Что собирать в сети

  • Логи firewall: разрешённые и отклонённые соединения.
  • События IDS/IPS.
  • Логи DNS-запросов (аномальные домены — признак заражения).
  • Аутентификацию: успешные и неуспешные входы.
  • Логи VPN-подключений.

Зачем централизовать

Логи, разбросанные по десяткам устройств, бесполезны: их никто не смотрит, а атакующий может их подчистить локально. SIEM собирает всё в одно защищённое место. Это даёт две вещи: сохранность (нарушитель не сотрёт логи на захваченном хосте) и корреляцию (события из разных источников складываются в картину).

[ Firewall ] -\
[ IDS ]       ->  [ SIEM ]  -> корреляция -> оповещение аналитику
[ Серверы ]  -/

Корреляция: пример

По отдельности «неудачный вход» и «новое VPN-подключение» — рутина. Вместе, в одной последовательности с одного адреса, плюс скан портов от того же источника — это уже сценарий атаки. SIEM описывает такие правила корреляции и поднимает тревогу, когда события складываются.

Как работает под капотом

Источники шлют логи (syslog, агенты) в коллектор. SIEM нормализует разные форматы в единую схему, индексирует и применяет правила корреляции и пороги. На выходе — алерты с приоритетом и контекстом, которые разбирает аналитик SOC.

Частые ошибки

  • Логировать, но никогда не смотреть — логи ради логов.
  • Хранить логи только локально, где их сотрёт атакующий.
  • Слишком короткий срок хранения — инцидент часто обнаруживают спустя недели.
  • Шум без приоритезации — тонешь в событиях, пропускаешь важное.

Итоги

  • Логи — память сети; без них инцидент невидим.
  • Централизация даёт сохранность и корреляцию.
  • SIEM складывает разрозненные события в сценарии атак и оповещает.
Проверьте себя
1. Зачем централизовать логи в SIEM, а не хранить локально?
AЧтобы экономить место
BДля сохранности (атакующий не сотрёт) и корреляции событий
CЧтобы ускорить серверы
DЭто требование TLS
2. Что такое корреляция событий в SIEM?
AУдаление дубликатов логов
BСвязывание разрозненных событий в сценарий атаки
CШифрование логов
DСжатие хранилища