События и паттерны в SIEM

События и паттерны SIEM

В этом уроке мы подробно рассмотрим основные события и паттерны, которые система SIEM (Security Information and Event Management) помогает обнаруживать и анализировать. Понимание этих событий критически важно для обеспечения безопасности любой информационной системы.

Что такое SIEM и почему это важно?

SIEM (Security Information and Event Management), это комплексное решение для сбора, агрегации, корреляции и анализа событий безопасности из различных источников в режиме реального времени.

Системы SIEM выполняют несколько ключевых функций:

• Сбор событий — получение данных о событиях безопасности из различных источников: сетевого оборудования, операционных систем, приложений, баз данных и систем защиты
• Нормализация — приведение данных из разных источников к единому формату для дальнейшего анализа
• Корреляция — выявление взаимосвязей между событиями из разных источников для обнаружения сложных атак
• Обнаружение угроз — выявление подозрительной активности на основе заданных правил и поведенческого анализа
• Реагирование — автоматическое или полуавтоматическое реагирование на обнаруженные инциденты

По данным исследований, использование SIEM-систем позволяет сократить время обнаружения кибератак в среднем на 69% по сравнению с традиционными методами мониторинга.

Частота активности

Определение

Частота активности относится к количеству запросов, действий или событий, связанных с определенным аспектом информационной системы или ресурса.

Аномально высокая активность

Если обнаруживается аномально высокая частота запросов к определенному ресурсу, это может быть признаком DDoS-атаки (распределённой атаки отказа в обслуживании). DDoS-атака направлена на создание перегрузки ресурса путём отправки множества запросов и может привести к полному отказу в обслуживании легитимных пользователей.

Пример атаки: Злоумышленники используют ботнет из тысяч заражённых устройств для одновременной отправки HTTP-запросов на веб-сервер. Количество запросов в секунду может превышать нормальный трафик в сотни или тысячи раз.

Аномально низкая активность

Слишком низкая активность может указывать на проблемы с функциональностью или доступностью сервисов. Однако она также может свидетельствовать о несанкционированном доступе, когда злоумышленник старается минимизировать свою активность, чтобы оставаться незамеченным.

Опасность: Злоумышленник может использовать минимальную активность для долгосрочного присутствия в системе (персистентность), постепенного сбора данных или подготовки к более серьёзной атаке.

Необычные попытки входа

Определение

Необычные попытки входа, это события, когда несколько неудачных попыток входа в систему происходят за короткий период времени с разных IP-адресов.

Это может быть признаком:

• Брутфорс-атаки — метода перебора различных комбинаций логинов и паролей для получения доступа к системе
• Credential Stuffing — использования украденных учётных данных от других сервисов
• Распределённых атак — когда атака ведётся с множества различных источников для обхода систем защиты

Пример брутфорс-атаки: Автоматизированная программа перебирает тысячи паролей в минуту. При этом используются: популярные пароли из словарей, типичные комбинации (password123, qwerty), даты рождения и личные данные.

Меры защиты: Мониторинг и анализ таких событий позволяет быстро обнаружить подозрительную активность и принять меры для защиты системы — заблокировать IP-адреса, включить многофакторную аутентификацию, усилить политику паролей.

Объём передачи данных

Определение

Объём передачи данных, это количество данных, передаваемых между системами или сетями за определённый период времени.

Эксфильтрация данных

Резкое увеличение объёма передачи данных с важного сервера может указывать на попытку эксфильтрации (несанкционированного копирования конфиденциальной информации).

Пример угрозы: Сотрудник или злоумышленник копирует базу данных клиентов на внешний носитель или передаёт её через интернет. Объём исходящего трафика с сервера базы данных резко возрастает в нерабочее время.

Это может быть результатом:

• Внутренней угрозы — сотрудника, который пытается украсть данные перед увольнением или из финансовой мотивации
• Внешней атаки — когда злоумышленники после компрометации системы пытаются получить доступ к чувствительной информации
• Заражённого ПО — вредоносной программы, которая передаёт данные на сервер злоумышленника

Необычные временные штампы

Определение

Необычные временные штампы относятся к активности, которая происходит в нерабочие часы или в периоды времени, когда обычно нет активности.

Например, активность, связанная с попыткой входа в систему в полночь или на рассвете, может быть подозрительной.

Почему это важно: Злоумышленники часто выбирают время, когда:

• Персонал службы безопасности минимален
• Системы мониторинга могут быть настроены на меньшую чувствительность
• Сотрудники не смогут быстро отреагировать на инцидент

Это может свидетельствовать о злоумышленной активности, когда атакующие пытаются получить доступ к системе, когда она наименее защищена или когда ослаблен контроль прав доступа.

Паттерны поведения учётных записей

Определение

Паттерны поведения учётных записей относятся к обнаружению аномального поведения или использования учётной записи на основе установленных норм и шаблонов.

Это может включать:

• Частые изменения ролей или разрешений
• Запросы на необычные разрешения
• Доступ к ресурсам, которые пользователь обычно не использует
• Время и место входа, нехарактерные для пользователя

Пример компрометации: Учётная запись, которая обычно не имеет административных привилегий, совершает множество запросов на изменение или получение административных прав. Это может указывать на компрометацию аккаунта или злоупотребление полученными привилегиями.

Защита: Наблюдение за таким поведением позволяет быстро реагировать на потенциальные угрозы и предотвращать возможные нарушения безопасности.

Сводная таблица паттернов SIEM

Практические рекомендации

Как реагировать на обнаруженные паттерны?

1. При высокой частоте активности: включить фильтрацию трафика, активировать защиту от DDoS, уведомить провайдера
2. При низкой частоте активности: провести аудит учётных записей, проверить наличие скрытых процессов, исследовать логи
3. При необычных попытках входа: заблокировать подозрительные IP, включить многофакторную аутентификацию, уведомить пользователя
4. При аномальном объёме данных: изолировать сервер, провести расследование, заблокировать передачу данных
5. При необычных временных штампах: проверить законность активности, уведомить руководителя, усилить мониторинг
6. При паттернах поведения: приостановить учётную запись, провести расследование, обновить права доступа

Итоговые вопросы для самопроверки

Вопрос 1: Какая атака характеризуется аномально высокой частотой запросов к веб-серверу?

Ответ: DDoS-атака (распределённая атака отказа в обслуживании)

Вопрос 2: Какие события могут указывать на попытку брутфорс-атаки?

Ответ: Множественные неудачные попытки входа в систему за короткий период времени с разных IP-адресов

Вопрос 3: О чём может свидетельствовать резкое увеличение объёма исходящего трафика с сервера базы данных?

Ответ: О возможной эксфильтрации (краже) конфиденциальных данных

Вопрос 4: Почему злоумышленники часто выбирают для атак нерабочее время?

Ответ: В нерабочее время минимален персонал службы безопасности, системы мониторинга могут быть настроены на меньшую чувствительность, а реагирование на инциденты замедляется

Вопрос 5: На что может указывать запрос административных прав от учётной записи, которая обычно не имеет таких привилегий?

Ответ: На компрометацию учётной записи или злоупотребление полученными привилегиями

Заключение

Системы SIEM являются незаменимым инструментом для обеспечения безопасности информационных систем. Понимание основных событий и паттернов позволяет оперативно обнаруживать и реагировать на киберугрозы. Регулярный анализ событий, настройка правил корреляции и постоянное совершенствование стратегии мониторинга — ключ к эффективной защите вашей инфраструктуры.