В современных компаниях SIEM-системы ежедневно обрабатывают миллионы событий из разных источников. По статистике коллектив из 100 человек способен сгенерировать более 3000 входов Active Directory, а одна (!) работающая в штатном режиме VMware – порядка 4 млн событий в день. Чтобы выделить в потоке действительно значимые инциденты, в SIEM есть кросс-корреляция – сопоставление событий из разных источников, которые в совокупности говорят об угрозе. Обычно правила кросс-корреляции требуют программирования. Иногда это по запросу делает вендор, но чаще заказчику приходится разбираться самостоятельно. В «СёрчИнформ SIEM» мы максимально упростили задачу: такие правила можно создать в пару кликов. Показываем и рассказываем.

Как работает кросс-корреляция?

Представим ситуацию: SIEM зафиксировала попытку входа в AD с неправильным паролем. Это может быть совершенно рядовое событие (пользователь ошибся при вводе), а может указывать на кражу учетной записи. Чтобы наверняка выяснить, представляет ли ситуация опасность, необходимо изучать контекст – какие еще события происходили в системе в это время и как они связаны с исходным. И тут как раз нужна кросс-корреляция: она вычисляет инцидент, даже если по отдельности события из разных источников не выглядят угрожающими. 

Чтобы написать правило кросс-корреляции, обычно нужно задать атрибуты этих событий на языке программирования в том виде, в котором их передает источник, задать «интерпретатор» и правила их сопоставления. В «СёрчИнформ SIEM» эта задача автоматизирована – мы сделали мастер в графическом интерфейсе, где правило собирается как в конструкторе.

Правила создаются в три действия:

1. Выбираем нужные значения из предлагаемых списков:

• источников (коннекторов), 
• событий (идентификаторов),
• атрибутов. 

Можно указать до трех источников и типов событий для них. Дополнительно подключается фильтрация по пользователю и его роли, устройству, IP-адресу и другим признакам. 

2. Указываем объединяющие условия. Например, чтобы сообщения о событиях поступали с одного ПК или от одной учетной записи. Работают логические операторы:

• «И», когда инцидентом считается обязательное совпадение событий;
• «НЕ», то есть инцидентом будет случай, когда после определенного события не происходит другое (которое в нормальной ситуации должно произойти). 

3. Задаем временные рамки: события будут считаться взаимосвязанными, если произойдут одно за другим в течение определенного периода (до 6 часов).

Таким образом, сервис работает по принципу «событие 1 И событие 2 = alert» или «событие 1 НЕ событие 2 = alert». Если все заданные условия выполняются, ИБ-специалист получит уведомление об инциденте. Режим и способ уведомлений можно настроить для каждого правила в отдельности. В том числе уведомления можно получать в дайджестах по почте или в Telegram.

Сервис кросс-корреляции в «СёрчИнформ SIEM» поддерживает все коннекторы, доступные в системе – их больше 30. 

Что в итоге?

Кросс-корреляция помогает ИБ-специалисту определить границы инцидента в большом потоке событий и разных точках инфраструктуры. Вдобавок она снижает количество ложноположительных сработок. Чем точнее комбинация и последовательность условий, тем выше эффективность работы SIEM и точнее результат – выявленные аномальных событий. 

Преимущество конструктора правил кросс-корреляции в «СёрчИнформ SIEM» в его простоте. Настроить мониторинг сложных инцидентов можно в два клика без специальных умений и лишних трудозатрат. Наша система вся построена по этому принципу – работает «из коробки» и сразу показывает результат.

Попробовать ее можно бесплатно в течение 30 дней – оставьте заявку по ссылке.