Частина 1 побудувала розвідувальну основу. Частина 2 впроваджує операційний шар, що споживає цю розвідку: SIEM агрегує та корелює телеметрію, SOAR автоматизує реагування, обидва вбудовані в топологію мережі класифікованих анклавів, яка визначає оборонну кібербезпеку. Комерційні продукти SIEM і SOAR існують; інженерія їх для оборонного розгортання — це те, де більшість програм недооцінює обсяг роботи. Частина 2 проходить через те, як ця робота виглядає насправді.

Pillar-рівневе обрамлення — у Повний посібник з оборонної кібербезпеки; глибші інженерні деталі SIEM/SOAR — у SIEM і SOAR для військової інтеграції.

Крок 1: Архітектура розгортання на анклав

Найбільш консеквентне архітектурне рішення: не запускайте один екземпляр SIEM на кількох рівнях класифікації. Кожен класифікований анклав має власний стек SIEM/SOAR із власним сховищем даних, власним контентом детекції, власним аудит-логом. Стеки фізично розділені; рух даних між ними проходить через акредитовані крос-доменні рішення, ніколи через спільну інфраструктуру.

Обґрунтування структурне: дані SIEM — це класифікаційна супермножина джерел, які він поглинає. SIEM, що агрегує мережеві логи SECRET, містить контент із класифікацією SECRET; злиття цього сховища з UNCLASSIFIED адміністративними логами ненавмисно підвищило б класифікацію адміністративного сховища через агрегаційний ефект SIEM. Ізоляція по анклавах це запобігає.

Патерн розгортання для робочого прикладу:

  • SIEM UNCLASSIFIED — адміністративні мережі, активи з інтернет-фронтом, керування постачальниками. Постачальницький SaaS може бути прийнятним тут.
  • SIEM NATO RESTRICTED — коаліційні мережі місій, FMN-приєднана інфраструктура. Самохостинг на акредитованій інфраструктурі; постачальницький SaaS рідко прийнятний.
  • SIEM NATO SECRET — операційні класифіковані мережі. Самохостинг; повітряно-розділений від інтернету; оновлення через контрольовані канали.
  • Національно-класифікований SIEM — національні системи на вищій класифікації. Single-source постачальники з національною акредитацією; bespoke-розгортання.

Крос-анклавний обмін розвідкою тече через CTI-поширення (механізм Частини 1) і через контрольовані звіти-резюме — не через спільні дашборди SIEM.

Крок 2: Конвеєр агрегації логів

SIEM структурно — це конвеєр логів із детекцією, накладеною зверху. Зробіть конвеєр правильно — і детекція стає керованою; зробіть його неправильно — і вартість конвеєра домінуватиме над усім іншим.

Стадії конвеєра:

Збір. Агенти на ендпоінтах (Sysmon на Windows, auditd на Linux, EDR-агенти постачальника), мережеві сенсори (NDR-продукти, IDS-апаратура, NetFlow-колектори), логи додатків (кастомний формат і Syslog), логи cloud-control-plane (де хмара в обсязі), OT-телеметрія (Частина 3 цієї серії).

Нормалізація. Гетерогенні формати джерел нормалізовані до спільної схеми. Elastic Common Schema (ECS), OCSF, постачальницькі схеми — оберіть одну й узгодьте. Невідповідності схем у продакшені — повторюване джерело пропусків детекції.

Збагачення. Додайте контекст, якого бракує сирому логу: класифікація активу з інвентаризації (Частина 1), CTI-теги з розвідувального конвеєра, контекст атрибутів користувача з систем ідентичності, геолокація, асоціація із загрозливим актором.

Маршрутизація. Події течуть до гарячого яруса SIEM для живої кореляції, до довготривалого холодного сховища для криміналістичного утримання та вибірково до SOAR для запуску плейбуків. Правила маршрутизації — це явна політика.

Утримання. Оборонна кібербезпека має вимоги тривалого утримання — кампанії державних акторів тривають місяцями або роками. Конвеєр підтримує ярусне утримання: гарячий (жива кореляція), теплий (нещодавні криміналістичні запити), холодний (довготривала архівація). Бюджети утримання — програмні рішення; недобюджетування змушує до передчасного видалення даних.

Крок 3: Контент детекції як код

Готові правила детекції SIEM ловлять commodity-загрози. Оборонна детекція ловить загрози рівня держави. Розрив — це контент детекції: правила, підлаштовані під інвентаризацію активів, модель загроз і CTI-конвеєр.

Дисципліна "контент детекції як код":

Sigma rules як вихідний формат. Sigma — це постачальницько-нейтральний формат правил детекції; правила, написані у Sigma, конвертуються у Splunk, Elastic, Sentinel, QRadar та інші. Написання у Sigma зберігає детекцію портабельною; постачальницько-специфічне тюнінгування відбувається на розгортанні.

Правила на актив і на загрозливого актора. Загальна детекція "PowerShell encoded command" ловить шум. "PowerShell encoded command на хості NATO SECRET від користувача не з інженерного OU" — це сигнал. Інвентаризація активів і модель загроз інформують специфічність правила.

CI-тестування проти захоплених даних подій. Правила детекції unit-тестуються в CI. Захоплені трейси подій з попередніх інцидентів і red-team-вправ слугують ground truth. Зміна правила, що більше не детектує захоплений інцидент, — регресія, що блокує merge.

Мапування на MITRE ATT&CK. Кожне правило мапується на одну або кілька технік ATT&CK. Мапування дає змогу аналізувати покриття (які техніки добре покриті, які — сліпі зони) та звітність закупівельного рівня про оборонну позицію платформи.

Керування хибнопозитивними. Правила продукують сповіщення. Сповіщення продукують навантаження на SOC. Дисципліна FP-тюнінгу — вимірювання FP-показника на правило, уточнення правил для зменшення шуму, виведення з експлуатації правил, які неможливо налаштувати — структурна. SOC, які тонуть у FP, пропускають TP.

Крок 4: Інженерія SOAR-плейбуків

SOAR (Security Orchestration, Automation, and Response) автоматизує реагування на детектовані події. Плейбук — це версіонований, протестований, переглядуваний робочий процес, який SOAR виконує на сповіщення.

Дисципліна плейбуків:

Версіоновані в системі контролю версій. Плейбуки — це код: YAML, JSON, постачальницько-специфічні DSL. Вони живуть у репозиторії поряд із правилами детекції, переглядаються перед розгортанням і викочуються через той самий процес контролю змін, що й код додатків.

Тестовані в CI. Захоплені трейси інцидентів слугують тестовими входами. Плейбук, який більше не виконується коректно проти захопленого трейсу, блокує merge.

Гейти підтвердження людиною для консеквентних дій. SOAR може ізолювати хост, відключити обліковий запис користувача, заблокувати мережевий діапазон, термінувати процес. Кожна з цих дій має операційні наслідки. Плейбук висвітлює запропоновану дію та вимагає явного підтвердження людиною; рішення людини логується.

Аудит-трейл для кожної автоматизованої дії. Навіть дії, що завершуються без перегляду людиною (збагачення сповіщення, створення тикета, пошук у threat-intelligence), логуються. Аудит-трейл — це доказова база для after-action review.

Шляхи відкату. SOAR-дія, що була помилковою — не той хост ізольований, не той користувач відключений — повинна бути зворотною. Інженерія плейбука це передбачає від початку; ретрофіт зворотності — bespoke-робота на кожну дію.

Крок 5: Крос-CERT інтеграція

Оборонна кібербезпека існує у спільноті. Національні CERT (CISA, BSI, ANSSI, CCN-CERT), військово-специфічні CSIRT (US-CERT, NCSC, JCDC), коаліційні CSIRT (NATO NCIRC), партнерські CSIRT. Платформа інтегрується з цією спільнотою двонаправлено.

Патерни інтеграції:

Вхідне споживання розвідки. Бюлетені CERT течуть у CTI-конвеєр (Частина 1) і запускають оновлення правил детекції. Часо-чутливі бюлетені (активна експлуатація вразливостей, поточна атрибуція кампанії) отримують пріоритетну обробку.

Вихідна звітність про інциденти. Підтверджені інциденти — особливо ті, що залучають TTP державних акторів або коаліційно-релевантні індикатори — течуть назовні до відповідного CERT через STIX/TAXII або формальні канали звітності про інциденти. Звітність поважає класифікацію: інциденти NATO SECRET ідуть до NCIRC, не до комерційного постачальника.

Спільне полювання. Періодичні колаборації з полювання на загрози з партнерськими CERT — виконання запитів у кількох національних середовищах, пошук TTP противника, що проявляються лише в агрегаті. Спільне полювання оперативно цінне та політично складне; аудит-трейл платформи підтримує юридично-політичний огляд.

Участь у навчаннях. Locked Shields, Cyber Coalition, Crossed Swords — кібернавчання НАТО та партнерів, що тестують крос-CERT координацію. Участь — це доказ спроможності закупівельного рівня.

Ключовий висновок: Стек SIEM/SOAR, що працює в ізоляції, ловить те, що бачить локально. Стек, інтегрований зі спільнотою CERT, бачить ті самі загрози, що вже виринули в партнерських середовищах — зазвичай днями раніше. Дисципліна інтеграції зі спільнотою — високозважена і недооцінена в закупівельних специфікаціях.

Крок 6: Цілі продуктивності та масштабу

Цілі SIEM/SOAR, що відрізняють оперативні платформи від прототипів:

  • Поглинання логів усталене на оперативній швидкості (зазвичай 50K–500K подій/секунду для національного оборонного розгортання), з обробкою сплесків на 5× базової лінії.
  • Затримка детекції менше 60 секунд від прибуття події до генерації сповіщення для часо-чутливих правил; менше 5 хвилин для кореляційно-важких правил.
  • Затримка виконання плейбука менше 30 секунд для передачі на людський огляд; повне завершення плейбука протягом хвилин для автоматизованих шляхів.
  • Утримання сховища вимірюване у роках для середовищ високої класифікації; ярусоване для керування вартістю.
  • Продуктивність запитів менше 30 секунд для типових аналітичних запитів на гарячих даних; менше 5 хвилин для запитів на холодних даних.
  • Доступність на рівні 99,9%+ для компонентів гарячого яруса; деградована робота прийнятна на відмовах холодного яруса.

Пропуск цих цілей зазвичай — результат архітектурних скорочень (недо-провіжнений ingest, неправильно маршрутизовані індекси, наївні патерни запитів). Програми, що прототипують проти цих цілей явно, ловлять скорочення до оперативного розгортання.

Крок 7: Вибір постачальника для оборонного розгортання

Список оборонно-розгортуваних постачальників SIEM/SOAR менший за комерційний список. Критерії:

Послужний список акредитації. Постачальники з попередньою акредитацією в класифікованих мережах НАТО або країн-членів мають докази, які акредитаційні експерти знаходять довірливими. Cold-start із неакредитованим постачальником додає 12-24 місяців до розгортання.

Розгортуваність у повітряно-розділених середовищах. Розгортання постачальника повинне працювати в середовищах без інтернет-вихідного трафіку для оновлень, фідів threat-intel або телеметрії. Cloud-only продукти виключені для вищих класифікацій.

ITAR-free позиціонування для європейських програм. Див. ITAR-free оборонне ПЗ для критеріїв. Європейські розгортання дедалі частіше віддають перевагу ITAR-free постачальникам.

Портабельність контенту детекції. Підтримка Sigma (або порівнянного постачальницько-нейтрального формату) зберігає контент детекції платформи портабельним між постачальницькими переходами. Постачальницький lock-in на контенті детекції — стратегічний ризик.

Відкриті API. SIEM/SOAR інтегрується з усім іншим у кіберстеку — CTI-платформа, EDR, мережеві сенсори, системи ідентичності, ticketing. Відкриті API — необговорювані.

Деталізовані критерії вибору постачальника для оборонного ПЗ загалом — у Як обрати постачальника оборонного ПЗ.

Що далі

Частина 2 побудувала операційний шар. Архітектура SIEM/SOAR на анклав, конвеєр агрегації логів, контент детекції як код, дисципліна SOAR-плейбуків, крос-CERT інтеграція, цілі продуктивності, вибір постачальника. Стек тепер детектує та реагує на масштабі в межах архітектури класифікованих анклавів.

Частина 3 охоплює спеціалізовані шари: захист ICS/OT для операційних технологій, які ІТ-інструментарій не адресує, готовність до цифрової криміналістики для постскомпрометаційного аналізу та крос-доменні рішення, що переміщують відповідні дані між анклавами, запобігаючи невідповідним потокам.