* {
margin: 0;
padding: 0;
box-sizing: border-box;
}
body {
font-family: ‘Segoe UI’, Tahoma, Geneva, Verdana, sans-serif;
background-color: #1a1a2e !important;
color: #e8e8f0 !important;
line-height: 1.6 !important;
padding: 20px !important;
}
h1 {
background: linear-gradient(135deg, #4c0519 0%, #1a1a2e 100%) !important;
padding: 20px !important;
border-radius: 8px !important;
margin-bottom: 20px !important;
font-size: 28px !important;
border-left: 4px solid #ff6600 !important;
word-break: break-word !important;
}
h2 {
background: linear-gradient(135deg, #4c0519 0%, #1a1a2e 100%) !important;
padding: 15px !important;
border-radius: 8px !important;
margin: 25px 0 15px 0 !important;
font-size: 22px !important;
border-left: 4px solid #ff6600 !important;
word-break: break-word !important;
}
h3 {
color: #ff6600 !important;
margin: 20px 0 10px 0 !important;
font-size: 18px !important;
word-break: break-word !important;
}
p {
margin-bottom: 15px !important;
word-break: break-word !important;
}
.card {
background-color: #252545 !important;
padding: 20px !important;
border-radius: 8px !important;
margin-bottom: 15px !important;
border: 1px solid #353560 !important;
}
.card-accent {
border-left: 4px solid #ff6600 !important;
}
.card-info {
border-left: 4px solid #4a90d9 !important;
}
.card-warning {
border-left: 4px solid #f0ad4e !important;
}
.card-danger {
border-left: 4px solid #d9534f !important;
}
.card-success {
border-left: 4px solid #5cb85c !important;
}
ul {
margin: 10px 0 15px 25px !important;
}
li {
margin-bottom: 8px !important;
word-break: break-word !important;
}
strong {
color: #ff6600 !important;
}
table {
width: 100% !important;
border-collapse: collapse !important;
margin: 20px 0 !important;
}
th {
background-color: #252545 !important;
padding: 12px !important;
text-align: left !important;
border: 1px solid #353560 !important;
color: #ff6600 !important;
}
td {
padding: 12px !important;
border: 1px solid #353560 !important;
background-color: #1a1a2e !important;
word-break: break-word !important;
}
.quote {
background-color: #252545 !important;
padding: 15px 20px !important;
border-radius: 8px !important;
border-left: 4px solid #ff6600 !important;
font-style: italic !important;
margin: 15px 0 !important;
}
.code {
background-color: #1e1e3a !important;
padding: 15px !important;
border-radius: 8px !important;
font-family: ‘Courier New’, monospace !important;
margin: 15px 0 !important;
overflow-x: auto !important;
word-break: break-word !important;
}
.divider {
height: 2px !important;
background: linear-gradient(90deg, #ff6600 0%, transparent 100%) !important;
margin: 25px 0 !important;
}
.intro-text {
font-size: 18px !important;
line-height: 1.8 !important;
margin-bottom: 25px !important;
}
.highlight {
background-color: #ff6600 !important;
color: #1a1a2e !important;
padding: 2px 8px !important;
border-radius: 4px !important;
}
.check-list {
list-style: none !important;
margin-left: 0 !important;
}
.check-list li {
padding-left: 30px !important;
position: relative !important;
}
.check-list li::before {
content: «✓» !important;
color: #ff6600 !important;
position: absolute !important;
left: 0 !important;
font-weight: bold !important;
}
События и паттерны SIEM
В этом уроке мы подробно рассмотрим основные события и паттерны, которые система SIEM (Security Information and Event Management) помогает обнаруживать и анализировать. Понимание этих событий критически важно для обеспечения безопасности любой информационной системы.
Что такое SIEM и почему это важно?
SIEM (Security Information and Event Management) — это комплексное решение для сбора, агрегации, корреляции и анализа событий безопасности из различных источников в режиме реального времени.
Системы SIEM выполняют несколько ключевых функций:
- Сбор событий — получение данных о событиях безопасности из различных источников: сетевого оборудования, операционных систем, приложений, баз данных и систем защиты
- Нормализация — приведение данных из разных источников к единому формату для дальнейшего анализа
- Корреляция — выявление взаимосвязей между событиями из разных источников для обнаружения сложных атак
- Обнаружение угроз — выявление подозрительной активности на основе заданных правил и поведенческого анализа
- Реагирование — автоматическое или полуавтоматическое реагирование на обнаруженные инциденты
По данным исследований, использование SIEM-систем позволяет сократить время обнаружения кибератак в среднем на 69% по сравнению с традиционными методами мониторинга.
Частота активности
Определение
Частота активности относится к количеству запросов, действий или событий, связанных с определенным аспектом информационной системы или ресурса.
Аномально высокая активность
Если обнаруживается аномально высокая частота запросов к определенному ресурсу, это может быть признаком DDoS-атаки (распределённой атаки отказа в обслуживании). DDoS-атака направлена на создание перегрузки ресурса путём отправки множества запросов и может привести к полному отказу в обслуживании легитимных пользователей.
Пример атаки: Злоумышленники используют ботнет из тысяч заражённых устройств для одновременной отправки HTTP-запросов на веб-сервер. Количество запросов в секунду может превышать нормальный трафик в сотни или тысячи раз.
Аномально низкая активность
Слишком низкая активность может указывать на проблемы с функциональностью или доступностью сервисов. Однако она также может свидетельствовать о несанкционированном доступе, когда злоумышленник старается минимизировать свою активность, чтобы оставаться незамеченным.
Опасность: Злоумышленник может использовать минимальную активность для долгосрочного присутствия в системе (персистентность), постепенного сбора данных или подготовки к более серьёзной атаке.
Необычные попытки входа
Определение
Необычные попытки входа — это события, когда несколько неудачных попыток входа в систему происходят за короткий период времени с разных IP-адресов.
Это может быть признаком:
- Брутфорс-атаки — метода перебора различных комбинаций логинов и паролей для получения доступа к системе
- Credential Stuffing — использования украденных учётных данных от других сервисов
- Распределённых атак — когда атака ведётся с множества различных источников для обхода систем защиты
Пример брутфорс-атаки: Автоматизированная программа перебирает тысячи паролей в минуту. При этом используются: популярные пароли из словарей, типичные комбинации (password123, qwerty), даты рождения и личные данные.
Меры защиты: Мониторинг и анализ таких событий позволяет быстро обнаружить подозрительную активность и принять меры для защиты системы — заблокировать IP-адреса, включить многофакторную аутентификацию, усилить политику паролей.
Объём передачи данных
Определение
Объём передачи данных — это количество данных, передаваемых между системами или сетями за определённый период времени.
Эксфильтрация данных
Резкое увеличение объёма передачи данных с важного сервера может указывать на попытку эксфильтрации (несанкционированного копирования конфиденциальной информации).
Пример угрозы: Сотрудник или злоумышленник копирует базу данных клиентов на внешний носитель или передаёт её через интернет. Объём исходящего трафика с сервера базы данных резко возрастает в нерабочее время.
Это может быть результатом:
- Внутренней угрозы — сотрудника, который пытается украсть данные перед увольнением или из финансовой мотивации
- Внешней атаки — когда злоумышленники после компрометации системы пытаются получить доступ к чувствительной информации
- Заражённого ПО — вредоносной программы, которая передаёт данные на сервер злоумышленника
Необычные временные штампы
Определение
Необычные временные штампы относятся к активности, которая происходит в нерабочие часы или в периоды времени, когда обычно нет активности.
Например, активность, связанная с попыткой входа в систему в полночь или на рассвете, может быть подозрительной.
Почему это важно: Злоумышленники часто выбирают время, когда:
- Персонал службы безопасности минимален
- Системы мониторинга могут быть настроены на меньшую чувствительность
- Сотрудники не смогут быстро отреагировать на инцидент
Это может свидетельствовать о злоумышленной активности, когда атакующие пытаются получить доступ к системе, когда она наименее защищена или когда ослаблен контроль прав доступа.
Паттерны поведения учётных записей
Определение
Паттерны поведения учётных записей относятся к обнаружению аномального поведения или использования учётной записи на основе установленных норм и шаблонов.
Это может включать:
- Частые изменения ролей или разрешений
- Запросы на необычные разрешения
- Доступ к ресурсам, которые пользователь обычно не использует
- Время и место входа, нехарактерные для пользователя
Пример компрометации: Учётная запись, которая обычно не имеет административных привилегий, совершает множество запросов на изменение или получение административных прав. Это может указывать на компрометацию аккаунта или злоупотребление полученными привилегиями.
Защита: Наблюдение за таким поведением позволяет быстро реагировать на потенциальные угрозы и предотвращать возможные нарушения безопасности.
Сводная таблица паттернов SIEM
| Паттерн | Описание | Возможная угроза |
|---|---|---|
| Высокая частота активности | Аномальное количество запросов к ресурсу | DDoS-атака |
| Низкая частота активности | Минимальная активность в системе | Скрытая компрометация |
| Необычные попытки входа | Множественные неудачные попытки с разных IP | Брутфорс-атака |
| Объём передачи данных | Резкое увеличение исходящего трафика | Эксфильтрация данных |
| Необычные временные штампы | Активность в нерабочее время | Несанкционированный доступ |
| Паттерны поведения | Аномальное использование учётной записи | Комрометация аккаунта |
Практические рекомендации
Как реагировать на обнаруженные паттерны?
- При высокой частоте активности: включить фильтрацию трафика, активировать защиту от DDoS, уведомить провайдера
- При низкой частоте активности: провести аудит учётных записей, проверить наличие скрытых процессов, исследовать логи
- При необычных попытках входа: заблокировать подозрительные IP, включить многофакторную аутентификацию, уведомить пользователя
- При аномальном объёме данных: изолировать сервер, провести расследование, заблокировать передачу данных
- При необычных временных штампах: проверить законность активности, уведомить руководителя, усилить мониторинг
- При паттернах поведения: приостановить учётную запись, провести расследование, обновить права доступа
Итоговые вопросы для самопроверки
Вопрос 1: Какая атака характеризуется аномально высокой частотой запросов к веб-серверу?
Ответ: DDoS-атака (распределённая атака отказа в обслуживании)
Вопрос 2: Какие события могут указывать на попытку брутфорс-атаки?
Ответ: Множественные неудачные попытки входа в систему за короткий период времени с разных IP-адресов
Вопрос 3: О чём может свидетельствовать резкое увеличение объёма исходящего трафика с сервера базы данных?
Ответ: О возможной эксфильтрации (краже) конфиденциальных данных
Вопрос 4: Почему злоумышленники часто выбирают для атак нерабочее время?
Ответ: В нерабочее время минимален персонал службы безопасности, системы мониторинга могут быть настроены на меньшую чувствительность, а реагирование на инциденты замедляется
Вопрос 5: На что может указывать запрос административных прав от учётной записи, которая обычно не имеет таких привилегий?
Ответ: На компрометацию учётной записи или злоупотребление полученными привилегиями
Заключение
Системы SIEM являются незаменимым инструментом для обеспечения безопасности информационных систем. Понимание основных событий и паттернов позволяет оперативно обнаруживать и реагировать на киберугрозы. Регулярный анализ событий, настройка правил корреляции и постоянное совершенствование стратегии мониторинга — ключ к эффективной защите вашей инфраструктуры.