Systemy zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM) oraz orkiestracji, automatyzacji i reagowania na bezpieczeństwo (SOAR) stanowią operacyjne serce nowoczesnego Centrum Operacji Bezpieczeństwa (SOC). W środowiskach komercyjnych ich wdrożenie to kwestia wyboru dostawcy, wysiłku integracyjnego i dyscypliny operacyjnej. W środowiskach wojskowych i obronnych to samo wdrożenie wymaga poruszania się między granicami klasyfikacji, ograniczeniami izolacji, obsługą danych na wielu poziomach bezpieczeństwa (MLS) oraz wymaganiami dotyczącymi opóźnień, do których komercyjne narzędzia bezpieczeństwa nie były zaprojektowane.

Artykuł analizuje, jak wygląda integracja SIEM i SOAR w kontekście wojskowym: jakie źródła logów zasilają platformę, jak zautomatyzowane playbooki reagowania muszą być zaprojektowane z uwzględnieniem wymagań zatwierdzenia przez człowieka dla działań o wysokim wpływie, oraz jakie są różnice architektoniczne między wdrożeniami w sieciach jawnych i niejawnych.

Podstawy SIEM w kontekście wojskowym

SIEM agreguje dane logów i zdarzeń z całej sieci, normalizuje je do wspólnego schematu i stosuje reguły korelacji wykrywające wzorce wskazujące na incydenty bezpieczeństwa. Propozycja wartości jest prosta: żadne pojedyncze źródło logów nie opowiada pełnej historii ataku, ale korelacja logów z wielu źródeł — sieciowych, endpointów, aplikacji, tożsamości — może ujawnić pełny łańcuch ataku.

Sieciowe źródła logów obejmują logi zapór sieciowych (akceptacja/odrzucenie połączeń, skanowanie portów, anomalie geolokalizacji), logi routerów i przełączników (zmiany tabeli routingu, zdarzenia spanning tree), logi zapytań DNS (wzorce beaconingu, wykrywanie algorytmu generowania domen, nowo zarejestrowane domeny), logi proxy oraz alerty systemów wykrywania włamań (IDS).

Źródła logów endpointów pochodzą z dzienników zdarzeń Windows (zdarzenia uwierzytelniania, tworzenie procesów, tworzenie zaplanowanych zadań, modyfikacje rejestru, wykonanie PowerShell), logów Linux auditd (audyt wywołań systemowych, eskalacja uprawnień, dostęp do plików) oraz agentów wykrywania i reagowania na endpointach (EDR). W środowiskach niejawnych wybór EDR jest ograniczony statusem akredytacji — nie wszystkie komercyjne produkty EDR są zatwierdzone do wdrożenia w sieciach niejawnych.

Wybór platformy SIEM dla środowisk obronnych jest ograniczony dwoma czynnikami: obsługą klasyfikacji i modelem wdrożenia. Splunk Enterprise (nie Splunk Cloud) jest szeroko stosowany w środowiskach niejawnych, ponieważ może działać jako instalacja lokalna bez zależności chmurowych. IBM QRadar podobnie obsługuje lokalne wdrożenie niejawne. Elastic Security jest coraz częściej stosowany w środowiskach obronnych, szczególnie tam, gdzie priorytetem są koszty i elastyczność licencjonowania.

SOAR: projektowanie playbooków dla przypadków użycia wojskowego (MON)

SOAR rozszerza SIEM, automatyzując przepływ pracy reagowania — nie tylko wykrywając incydent, ale podejmując działania. Zakres zautomatyzowanych działań to miejsce, gdzie wdrożenia wojskowe najbardziej odbiegają od komercyjnych. W komercyjnym SOC w pełni zautomatyzowane powstrzymanie — blokowanie IP na zaporze, izolowanie stacji roboczej od sieci — jest akceptowalne dla wykryć o wysokiej pewności. W środowisku wojskowym zautomatyzowane działania powstrzymywania mogą mieć konsekwencje operacyjne nieakceptowalne bez przeglądu przez człowieka.

Bramki zatwierdzenia przez człowieka są obowiązkowe w wojskowych playbookach SOAR dla każdego działania wpływającego na zdolności operacyjne. Oznacza to, że projekt playbooka podąża za modelem warstwowym: działania o niskim wpływie (wzbogacenie alertu danymi wywiadowczymi, tworzenie zgłoszenia, powiadamianie dyżurnego analityka) wykonują się automatycznie. Działania o średnim wpływie mogą być zautomatyzowane z 15-minutowym oknem powiadomienia dla operatora. Działania o wysokim wpływie (izolacja segmentu sieci, odwołanie konta uprzywilejowanego, kwarantanna endpointu) wymagają wyraźnego zatwierdzenia przez człowieka przed wykonaniem.

Wdrożenie SIEM z separacją od internetu

Wdrożenie SIEM z separacją od internetu — gdzie infrastruktura SIEM nie ma łączności z internetem — jest wartością bazową dla każdego niejawnego środowiska sieciowego. Wprowadza to wyzwania operacyjne, z którymi wdrożenia komercyjne nie muszą się zmagać.

Aktualizacje wywiadu zagrożeń nie mogą być automatycznie pobierane z chmurowych usług dostawców. MISP (Malware Information Sharing Platform) lub komercyjna platforma CTI wdrożona w tej samej izolowanej sieci musi służyć jako źródło wywiadu. Wywiad zagrożeń z zewnętrznych źródeł wchodzi poprzez jednokierunkową bramkę danych lub zatwierdzone rozwiązanie między domenami (CDS), nie przez połączenie internetowe.

Kluczowy wniosek: Wolumen logów w sieciach wojskowych jest systematycznie niedoszacowywany przy wymiarowaniu SIEM. Jedna sieć z włączonym kompleksowym logowaniem endpointów wygeneruje 50–200 GB danych logów dziennie. Modele licencjonowania SIEM oparte na wolumenie pozyskiwania (historyczny model Splunk) stają się bardzo kosztowne w tej skali. Model licencjonowania oparty na węzłach Elastic Security jest często bardziej opłacalny dla wojskowych wdrożeń o wysokim wolumenie.

Automatyczna reakcja na znane IOC: łańcuch od wykrycia do izolacji

Najczęstszy przypadek automatyzacji SOAR w środowiskach wojskowych to automatyczna reakcja na znane wskaźniki kompromitacji (IOC). Przepływ pracy demonstruje, jak SIEM i SOAR integrują się w praktyce.

Wykrycie: SIEM odbiera log zapytania DNS z rekursorza sieci. Zapytany domeną pasuje do wpisu w bazie IOC (znana domena dowodzenia i kontroli związana z państwowym aktorem zagrożeń). Reguła korelacji SIEM uruchamia się, generując alert z poziomem HIGH i odwołaniem do źródła IOC i poziomu pewności.

Wzbogacenie: Playbook SOAR odbiera alert przez API. Automatycznie odpytuje platformę CTI o dodatkowy kontekst domeny: data rejestracji, rejestrator, historia pasywnego DNS, powiązane adresy IP, powiązane kampanie. Odpytuje także SIEM o wewnętrzny IP, który wysłał zapytanie DNS, i pobiera klasyfikację zasobu (stacja robocza, serwer, terminal taktyczny) i właściciela (jednostka, rola).

Ludzkie zatwierdzenie i działanie: Analityk przegląda zgłoszenie, potwierdza działanie izolacji, a SOAR wykonuje: wysyła wywołanie API do platformy EDR, aby odizolować endpoint od sieci, umieszcza IOC na liście blokowania sinkhole'a DNS i tworzy zadanie zachowania dowodów. Wszystkie działania są rejestrowane z identyfikatorem operatora, sygnaturą czasową i odwołaniem do autoryzacji.

Logowanie uwzględniające klasyfikację we współdzielonym SIEM

Wiele organizacji wojskowych eksploatuje wiele sieci na różnych poziomach klasyfikacji — jawną sieć administracyjną, operacyjną sieć na poziomie TAJNE oraz potencjalnie wyższe. W niektórych architekturach wspólny SIEM monitoruje je wszystkie. Tworzy to problem bezpieczeństwa wielopoziomowego (MLS): dane logów z sieci TAJNE nie mogą być widoczne dla analityków posiadających tylko poświadczenie jawne.

Podejścia do segregacji danych obejmują wdrożenie oddzielnych instancji SIEM na poziom klasyfikacji (architektonicznie proste, ale kosztowne i operacyjnie uciążliwe), używanie jednego SIEM z ścisłą kontrolą dostępu opartą na rolach i oznaczaniem danych (złożone do prawidłowej implementacji, ale operacyjnie efektywne), lub hierarchiczną architekturę SIEM, gdzie niejawne instancje przekazują oczyszczone, zdeklasyfikowane alerty do jawnego głównego dashboardu przez jednokierunkowy CDS.