Osa 1 rakensi tiedustelupedustan. Osa 2 toteuttaa operaatiokerroksen, joka kuluttaa tuota tiedustelua: SIEM koostaa ja korreloi telemetrian, SOAR automatisoi reagoinnin, molemmat yhdistetty luokiteltujen enklaaviverkkojen topologiaan, joka määrittelee puolustuksen kyberturvallisuuden. Kaupallisia SIEM- ja SOAR-tuotteita on olemassa; niiden mukauttaminen puolustuksen käyttöönottoon on kohta, jossa useimmat ohjelmat aliarvioivat työmäärän. Osa 2 käy läpi, miltä tuo työ todella näyttää.

Pääartikkelin viitekehys on artikkelissa Täydellinen opas puolustuksen kyberturvallisuuteen; syvemmät SIEM/SOAR-insinööriyksityiskohdat artikkelissa SIEM ja SOAR sotilaskäyttöön integroituna.

Vaihe 1: Enklaavikohtainen käyttöönottarkkitehtuuri

Kaikkein ratkaisevin arkkitehtuuripäätös: älä aja yhtä SIEM-instanssia useiden luokittelutasojen läpi. Jokainen luokiteltu enklaaivi pyörittää omaa SIEM/SOAR-pinoaan, omaa tietovarastoa, omaa havaintosisältöä, omaa auditointilogia. Pinot on fyysisesti eroteltu; tiedonsiirto niiden välillä kulkee akkreditoitujen verkkotunnusten välisten ratkaisujen kautta, ei koskaan jaetun infrastruktuurin kautta.

Perustelu on rakenteellinen: SIEM-data on luokittelun yläjoukko sen lähteistä. SIEM, joka koostaa SECRET-verkkologeja, sisältää SECRET-luokiteltua sisältöä; kyseisen varaston yhdistäminen LUOKITTELEMATTOMIIN hallinnollisiin lokeihin nostaisi tahattomasti hallinnollisen varaston luokittelua SIEM:n koostamisvaikutuksen kautta. Enklaavikohtainen eristäminen estää tämän.

Käyttöönottomalli toimivaa esimerkkiä varten:

  • LUOKITTELEMATON SIEM — hallinnolliset verkot, internetiin näkyvät omaisuudet, toimittajien hallinta. Toimittajan SaaS voi olla hyväksyttävä täällä.
  • NATO RESTRICTED -SIEM — koalition tehtäväverkot, FMN-liitetty infrastruktuuri. Itsehostattu akkreditoidussa infrastruktuurissa; toimittajan SaaS harvoin hyväksyttävä.
  • NATO SECRET -SIEM — operatiiviset luokitellut verkot. Itsehostettu; ilma-aukkoinen internetistä; päivitykset hallittujen kanavien kautta.
  • Kansallisesti luokiteltu SIEM — kansalliset järjestelmät korkeammalla luokittelulla. Yksittäislähdetoimittajat, joilla on kansallinen akkreditointi; räätälöity käyttöönotto.

Enklaavien välinen tiedustelujakaminen kulkee CTI-levittämisen (osan 1 mekanismi) ja hallittujen yhteenvetoraporttien kautta — ei jaettujen SIEM-kojelautanäkymien kautta.

Vaihe 2: Lokien koostamisputkilinja

SIEM on rakenteellisesti lokiputkilinja, jonka päälle on kerrostettu havainnointi. Saa putkilinja oikein ja havainnoinnista tulee hallittavaa; saa se väärin ja putkilinjan kustannus dominoi kaikkea muuta.

Putkilinjan vaiheet:

Keräys. Agentit päätepisteissä (Sysmon Windowsissa, auditd Linuxissa, EDR-toimittajan agentit), verkkoanturit (NDR-tuotteet, IDS-laitteet, NetFlow-keräimet), sovelluslokit (mukautettu formaatti ja Syslog), pilviohjaustason lokit (missä pilvi on soveltamisalassa), OT-telemetria (tämän sarjan osa 3).

Normalisointi. Heterogeeniset lähdeformaatit normalisoidaan yhteiseen skeemaan. Elastic Common Schema (ECS), OCSF, toimittajakohtaiset skeeat — valitse yksi ja linjaa se. Skeeman yhteensopimattomuudet tuotannossa ovat toistuva havaintomissien lähde.

Rikastus. Lisää konteksti, jota raaka loki ei sisällä: omaisuuden luokittelu luettelosta (osa 1), CTI-tagit tiedusteluputkilinjasta, käyttäjäattribuuttikonteksti identiteettijärjestelmistä, maantieteellinen sijainti, uhkatoimijan yhdistys.

Reititys. Tapahtumat kulkevat SIEM:n kuumaan tasoon suoraa korrelaatiota varten, pitkäaikaiseen kylmään tallennukseen rikosteknistä säilytystä varten ja valikoivasti SOAR:iin playbook-käynnistystä varten. Reitityssäännöt ovat eksplisiittistä politiikkaa.

Säilytys. Puolustuksen kyberturvallisuudella on pitkät säilytysvaatimukset — valtion tason kampanjat piilevät kuukausia tai vuosia. Putkilinja tukee tasokehitettyä säilytystä: kuuma (suora korrelaatio), lämmin (viimeaikaiset rikosteknisset kyselyt), kylmä (pitkäaikainen arkistointi). Säilytysbudjetit ovat ohjelmatason päätöksiä; alibudjetointi pakottaa ennenaikaiseen datan poistamiseen.

Vaihe 3: Havaintosisältö koodina

SIEM:n vakiohavainnointisäännöt havaitsevat tavanomaisia uhkia. Puolustuslaatinen havainnointi havaitsee valtion tason uhkia. Kuilu on havaintosisällössä: säännöt räätälöity omaisuusluettelolle, uhkamallille ja CTI-putkilinjalle.

Havaintosisältö-koodina -kurinalainen:

Sigma-säännöt lähdeformaattina. Sigma on toimittajaneutraali havaintosääntöformaatti; Sigmailla kirjoitetut säännöt muuntuvat Splunkiin, Elasticiin, Sentineliin, QRadariin ja muihin. Sigmailla kirjoittaminen pitää havainnoinnin siirrettävänä; toimittajakohtainen hienosäätö tapahtuu käyttöönotossa.

Omaisuus- ja uhkatoimijakohtaiset säännöt. Geneerinen "PowerShell-koodattu komento" -havainnointi havaitsee kohinaa. "PowerShell-koodattu komento NATO SECRET -isännällä käyttäjältä, joka ei ole insinööriorganisaatioyksiköstä" on signaali. Omaisuusluettelo ja uhkamalli kertovat säännön spesifisyydestä.

CI-testaus tallennetulla tapahtumadatalla. Havaintosäännöt yksikkötestataan CI:ssä. Aiemmista tapauksista ja punaisen joukkueen harjoituksista tallennetut tapahtumapolut toimivat totuuden perustana. Sääntömuutos, joka ei enää havaitse tallennettua tapahtumaa, on regressio, joka estää yhdistämisen.

MITRE ATT&CK -kartoitus. Jokainen sääntö kartoitetaan yhteen tai useampaan ATT&CK-tekniikkaan. Kartoitus mahdollistaa kattavuusanalyysin (mitkä tekniikat ovat hyvin katettu, mitkä ovat katvealueita) ja hankintalaatisen raportoinnin alustan puolustusasennosta.

Väärien positiivisten hallinta. Säännöt tuottavat hälytyksiä. Hälytykset tuottavat SOC:n työkuormaa. VP-hienosäätökuri — VP-asteen mittaaminen sääntökohtaisesti, sääntöjen tarkentaminen melun vähentämiseksi, säätämättömien sääntöjen poistaminen käytöstä — on rakenteellista. SOC:t, jotka hukkuvat VP:hin, menettävät TP:t.

Vaihe 4: SOAR-playbook-suunnittelu

SOAR (Security Orchestration, Automation, and Response) automatisoi reagoinnin havaittuihin tapahtumiin. Playbook on versioitu, testattu, tarkastettava työnkulku, jonka SOAR suorittaa hälytyksen yhteydessä.

Playbook-kurinalaisuus:

Versioitu versionhallinnassa. Playbokit ovat koodia — YAML, JSON, toimittajakohtaiset DSL:t. Ne elävät säilytyspaikkassa havaintosääntöjen rinnalla, tarkastetaan ennen käyttöönottoa ja tuodaan tuotantoon saman muutoksenhallinnan kautta kuin sovelluskoodi.

Testattu CI:ssä. Tallennetut tapahtumapolut toimivat testituloksina. Playbook, joka ei enää suorita oikein tallennettua polkua vastaan, estää yhdistämisen.

Ihmisen vahvistusportit seuraamuksellisille toimille. SOAR voi eristää isännän, poistaa käyttäjätilin käytöstä, estää verkkoalueen, lopettaa prosessin. Jokaisella näistä on operatiivisia seurauksia. Playbook esittää ehdotetun toimenpiteen ja vaatii eksplisiittisen ihmisen vahvistuksen; ihmisen päätös kirjataan lokiin.

Auditointipolku jokaiselle automatisoidulle toimelle. Jopa toimenpiteet, jotka suoritetaan ilman ihmisen tarkistusta (hälytyksen rikastus, tiketin luominen, uhkatiedon haku), kirjataan lokiin. Auditointipolku on toimenpiteen jälkeisen tarkastelun todistepohja.

Palautuspolut. SOAR-toimenpide, joka oli virheellinen — väärä isäntä eristetty, väärä käyttäjä poistettu käytöstä — on oltava peruutettavissa. Playbook-suunnittelu ottaa tämän huomioon alusta alkaen; palautuksen jälkikäteen lisääminen on toimenpidekohtaista räätälöityä työtä.

Vaihe 5: CERT-välinen integraatio

Puolustuksen kyberturvallisuus toimii yhteisössä. Kansalliset CERT:t (CISA, BSI, ANSSI, CCN-CERT), sotilaskohtaiset CSIRT:t (US-CERT, NCSC, JCDC), koalition CSIRT:t (NATO NCIRC), kumppani-CSIRT:t. Alusta integroituu tähän yhteisöön kaksisuuntaisesti.

Integraatiomallit:

Saapuva tiedustelukulutus. CERT-tiedotteet virtaavat CTI-putkilinjaan (osa 1) ja käynnistävät havaintosääntöpäivityksiä. Kiireelliset tiedotteet (aktiivinen haavoittuvuuden hyväksikäyttö, käynnissä olevan kampanjan attribuointi) saavat prioriteettikäsittelyn.

Lähtevä tapahtumaraportointi. Vahvistetut tapahtumat — erityisesti ne, joihin liittyy valtion tason TTP:t tai koalitiorelevantit tunnisteeet — kulkevat lähtevänä asianmukaiselle CERT:lle STIX/TAXII:n tai virallisten tapahtumaraportointikanavien kautta. Raportointi kunnioittaa luokittelua: NATO SECRET -tapahtumat menevät NCIRC:lle, ei kaupalliselle toimittajalle.

Yhteinen metsästys. Ajoittaiset uhkametsästysyhteistyöt kumppani-CERT:en kanssa — kyselyjen suorittaminen useiden kansallisten ympäristöjen läpi, vastustajan TTP:iden etsiminen, jotka nousevat esiin vain koostettuna. Yhteinen metsästys on operatiivisesti arvokasta ja poliittisesti monimutkaista; alustan auditointipolku tukee oikeudellista ja poliittista tarkistusta.

Harjoituksiin osallistuminen. Locked Shields, Cyber Coalition, Crossed Swords — NATO:n ja kumppaneiden kyberharjoitukset, jotka testaavat CERT-välistä koordinaatiota. Osallistuminen on hankintalaatinen todiste kyvystä.

Keskeinen oivallus: SIEM/SOAR-pino, joka toimii eristyksissä, havaitsee vain sen, mitä se näkee paikallisesti. Pino, joka on integroitu CERT-yhteisöön, näkee samat uhat, jotka ovat jo nousseet esiin kumppaniympäristöissä — yleensä päiviä aiemmin. Yhteisöintegraatiokuri on korkeavipuvaikutteinen ja aliarvostettu hankintamäärittelyissä.

Vaihe 6: Suorituskyky- ja skaalaustavoitteet

SIEM/SOAR-tavoitteet, jotka erottavat operatiiviset alustat prototyypeistä:

  • Lokien syöttö ylläpidetty operatiivisella nopeudella (tyypillisesti 50K–500K tapahtumaa/sekunti kansallisessa puolustuskäyttöönotossa), huippukäsittely 5× perustasolla.
  • Havaitsemisviive alle 60 sekuntia tapahtuman saapumisesta hälytyksen tuottamiseen aikakriittisille säännöille; alle 5 minuuttia korrelaatioraskailla säännöillä.
  • Playbook-suoritusviive alle 30 sekuntia ihmisen tarkistusluovutukselle; täydellinen playbook-suoritus minuuteissa automatisoiduilla poluilla.
  • Tallennussäilytys mitattu vuosissa korkealuokitteisissa ympäristöissä; tasoporraste kustannusten hallintaan.
  • Kyselysuorituskyky alle 30 sekuntia tyypillisille analyytikkokyselyille kuumalla datalla; alle 5 minuuttia kylmän datan kyselyille.
  • Saatavuus 99,9 %+ kuuman tason komponenteille; alentunut toiminta hyväksyttävää kylmän tason vikaantumisessa.

Näiden tavoitteiden saavuttamatta jättäminen on yleensä arkkitehtuuristen oikopolkujen tulosta (aliresursoitu syöttö, virheellisesti reititetyt indeksit, naiivia kyselymalleja). Ohjelmat, jotka prototyypityksen aikana eksplisiittisesti mittaavat näitä tavoitteita vastaan, havaitsevat oikopolut ennen operatiivista käyttöönottoa.

Vaihe 7: Toimittajan valinta puolustuskäyttöönottoon

Puolustukseen sopivien SIEM/SOAR-toimittajien lista on kaupallista listaa lyhyempi. Kriteerit:

Akkreditointihistoria. Toimittajilla, joilla on aiempi akkreditointi NATO:n tai jäsenvaltion luokitelluissa verkoissa, on akkreditointiarvioijien uskottavaksi löytämää näyttöä. Kylmäkäynnistys akkreditoimattomalla toimittajalla lisää käyttöönottoon 12–24 kuukautta.

Ilma-aukkoinen käyttöönottokelpoisuus. Toimittajan käyttöönoton on toimittava ympäristöissä, joissa ei ole internet-ulospääsyä päivityksiä, uhkatietosyötteitä tai telemetriaa varten. Vain pilvipohjaiset tuotteet eivät sovellu korkeammille luokitteluille.

ITAR-vapaa asemointi eurooppalaisille ohjelmille. Ks. ITAR-vapaa puolustusohjelmisto kriteerien osalta. Eurooppalaiset käyttöönotot suosivat yhä enemmän ITAR-vapaita toimittajia.

Havaintosisällön siirrettävyys. Sigma-tuki (tai vastaava toimittajaneutraali formaatti) pitää alustan havaintosisällön siirrettävänä toimittajasiirtymien välillä. Toimittajasidonnaisuus havaintosisällössä on strateginen riski.

Avoimet API:t. SIEM/SOAR integroituu kaikkeen muuhun kyberipinon — CTI-alusta, EDR, verkkoanturit, identiteettijärjestelmät, tikettijärjestelmät. Avoimet API:t ovat neuvottelemattomia.

Yksityiskohtaiset toimittajanvalintakriteerit puolustusohjelmistolle laajemmin ovat artikkelissa Kuinka valita puolustusohjelmistotoimittaja.

Mitä seuraavaksi

Osa 2 on rakentanut operaatiokerroksen. Enklaavikohtainen SIEM/SOAR-arkkitehtuuri, lokien koostamisputkilinja, havaintosisältö koodina, SOAR-playbook-kurinalaisuus, CERT-välinen integraatio, suorituskykyavoitteet, toimittajan valinta. Pino havaitsee ja reagoi nyt skaalassa luokiteltujen enklaaviverkon arkkitehtuurin sisällä.

Osa 3 käsittelee erikoistuneita kerroksia: ICS/OT-puolustus operatiiviselle teknologialle, johon IT-luokan työkalut eivät riitä, digitaalinen rikostekninen tutkimusvalmius kompromissin jälkeiselle analyysille ja verkkotunnusten väliset ratkaisut, jotka siirtävät asianmukaista dataa enklaavienvälisesti estäen epäasianmukaiset virrat.