Системи управління подіями та інформацією безпеки (SIEM) і оркестрування, автоматизації та реагування безпеки (SOAR) є операційним серцем сучасного Центру безпекових операцій (SOC). У комерційних середовищах їх розгортання — це питання вибору постачальника, зусиль з інтеграції та операційної дисципліни. У військових і оборонних середовищах те саме розгортання вимагає навігації між межами класифікації, обмеженнями ізоляції, обробкою даних на кількох рівнях безпеки (MLS) та вимогами до затримки, для яких комерційні засоби захисту не були розроблені.
Ця стаття розглядає, як виглядає інтеграція SIEM і SOAR у військовому контексті: які джерела журналів живлять платформу, як автоматизовані плейбуки реагування повинні бути розроблені з урахуванням вимог людського затвердження для дій з високим впливом, і які архітектурні відмінності між розгортанням на класифікованих та некласифікованих мережах.
Основи SIEM у військовому контексті
SIEM агрегує дані журналів і подій з усієї мережі, нормалізує їх до загальної схеми та застосовує правила кореляції, що виявляють патерни, які вказують на інциденти безпеки. Ціннісна пропозиція проста: жодне окреме джерело журналів не розповідає повну історію атаки, але кореляція журналів з кількох джерел — мережевих, кінцевих точок, застосунків, ідентифікаційних — може розкрити повний ланцюг атаки.
Мережеві джерела журналів включають журнали брандмауерів (прийняття/відхилення з'єднань, сканування портів, аномалії геолокації), журнали маршрутизаторів та комутаторів (зміни таблиці маршрутизації, події spanning tree), журнали DNS-запитів (шаблони маякування, виявлення алгоритму генерації доменів, нові зареєстровані домени), журнали проксі (категоризація URL, події завантаження файлів, аномалії протоколу) та сповіщення систем виявлення вторгнень (IDS).
Джерела журналів кінцевих точок надходять із журналів подій Windows (події автентифікації, створення процесів, створення запланованих завдань, модифікації реєстру, виконання PowerShell), журналів Linux auditd (аудит системних викликів, підвищення привілеїв, доступ до файлів) та агентів виявлення та реагування на кінцевих точках (EDR). У класифікованих середовищах вибір EDR обмежений статусом акредитації — не всі комерційні продукти EDR затверджені для розгортання на класифікованих мережах.
Джерела журналів застосунків включають системи автентифікації (події автентифікації Active Directory/LDAP, запити квитків Kerberos, твердження SAML), шлюзи електронної пошти, брандмауери веб-застосунків та журнали спеціальних оборонних застосунків. У військових середовищах системи контролю фізичного доступу — зчитувачі карток, біометричні шлюзи — все частіше інтегруються як джерела журналів, забезпечуючи можливість фізично-кіберної кореляції.
Вибір SIEM-платформи для оборонних середовищ обмежений двома факторами: підтримкою класифікації та моделлю розгортання. Splunk Enterprise (не Splunk Cloud) широко розгортається у класифікованих середовищах, оскільки може працювати як локальна інсталяція без хмарних залежностей. IBM QRadar аналогічно підтримує локальне класифіковане розгортання. Elastic Security все частіше використовується в оборонних середовищах, особливо там, де пріоритетами є вартість та гнучкість ліцензування.
SOAR: розробка плейбуків для військових випадків використання
SOAR розширює SIEM, автоматизуючи робочий процес реагування — не лише виявляючи інцидент, але й вживаючи заходів. Сфера автоматизованих дій — це те, де військові розгортання найбільш суттєво відхиляються від комерційних. У комерційному SOC повністю автоматичне стримування — блокування IP на брандмауері, ізоляція робочої станції від мережі — є прийнятним для виявлень з високою достовірністю. У військовому середовищі автоматизовані дії з стримування можуть мати оперативні наслідки, неприйнятні без людського огляду.
Розглянемо сценарій: кінцева точка на тактичній мережі показує індикатори, узгоджені з крадіжкою облікових даних. У комерційному середовищі автоматизований SOAR негайно ізолював би кінцеву точку та повідомив аналітика. У військовому середовищі ця кінцева точка може бути єдиним комунікаційним терміналом для передового оперативного підрозділу ЗСУ. Ізоляція без людського огляду може порушити активну місію.
Шлюзи людського затвердження є обов'язковими у військових плейбуках SOAR для будь-якої дії, що впливає на оперативний потенціал. Плейбуки слідують ступінчастій моделі: дії з низьким впливом (збагачення сповіщення даними розвідки загроз, створення квитка, повідомлення чергового аналітика) виконуються автоматично. Дії із середнім впливом (блокування домену на шлюзі DNS, відключення облікового запису користувача) можуть бути автоматизовані з 15-хвилинним вікном повідомлення для скасування оператором. Дії з високим впливом (ізоляція сегмента мережі, відкликання привілейованого облікового запису, карантин кінцевої точки) вимагають явного людського затвердження до виконання.
Розгортання SIEM з ізоляцією від мережі
Розгортання SIEM з ізоляцією від мережі — де інфраструктура SIEM не має підключення до Інтернету — є базовим для будь-якого класифікованого мережевого середовища. Це створює операційні виклики, з якими комерційні розгортання не стикаються.
Оновлення розвідки загроз не можуть автоматично завантажуватися з хмарних сервісів постачальників. MISP (Malware Information Sharing Platform) або комерційна CTI-платформа, розгорнута на тій самій ізольованій мережі, повинна служити джерелом розвідки. Розвідка загроз із зовнішніх джерел надходить через однонаправлений шлюз даних або затверджене рішення між доменами (CDS), а не через підключення до Інтернету.
Оновлення програмного забезпечення та пакети правил для самого SIEM повинні передаватися через затверджені знімні носії або через інфраструктуру управління виправленнями організації. Підтримання актуальності вмісту виявлення SIEM вимагає дисциплінованого процесу управління контентом.
Ключовий висновок: Обсяг журналів у військових мережах систематично недооцінюється при розмірюванні SIEM. Одна мережа з увімкненим комплексним журналюванням кінцевих точок генеруватиме 50–200 ГБ даних журналів на день. Моделі ліцензування SIEM на основі обсягу прийому (історична модель Splunk) стають дуже дорогими в такому масштабі.
Автоматизоване реагування на відомі IOC: ланцюг від виявлення до ізоляції
Найпоширеніший випадок автоматизації SOAR у військових середовищах — автоматизоване реагування на відомі індикатори компрометації (IOC). Робочий процес демонструє, як SIEM і SOAR інтегруються на практиці.
Виявлення: SIEM отримує журнал DNS-запиту від рекурсивного резолвера мережі. Запитаний домен відповідає запису в базі IOC (відомий домен командування та управління, пов'язаний із державно спонсорованим загрозливим актором). Правило кореляції SIEM спрацьовує, генеруючи сповіщення з HIGH серйозністю та посиланням на джерело IOC і рівень достовірності.
Збагачення: Плейбук SOAR отримує сповіщення через API. Він автоматично запитує CTI-платформу щодо додаткового контексту домену: дата реєстрації, реєстратор, пасивна DNS-історія, пов'язані IP-адреси, пов'язані кампанії. Він також запитує SIEM щодо внутрішнього IP, який видав DNS-запит, та отримує класифікацію активу (робоча станція, сервер, тактичний термінал) і власника (підрозділ, роль).
Людське затвердження та дія: Аналітик переглядає квиток, підтверджує дію ізоляції, і SOAR виконує: надсилає виклик API до платформи EDR для ізоляції кінцевої точки від мережі, розміщує IOC у списку блокування DNS-синкхолу та створює завдання збереження доказів (запит на знімок пам'яті та образ диска). Усі дії реєструються з ідентифікатором оператора, відміткою часу та посиланням на авторизацію.
Журналювання з урахуванням класифікації в спільному SIEM
Багато військових організацій експлуатують кілька мереж на різних рівнях класифікації — некласифіковану адміністративну мережу, оперативну мережу рівня SECRET та потенційно вищих. У деяких архітектурах спільний SIEM моніторить усі з них. Це створює проблему багаторівневої безпеки (MLS): дані журналів з мережі SECRET не повинні бути видимими для аналітиків лише з некласифікованим допуском.
Підходи до сегрегації даних включають розгортання окремих екземплярів SIEM на рівень класифікації (архітектурно просто, але дорого та операційно обтяжливо), використання єдиного SIEM зі суворим контролем доступу на основі ролей та маркуванням даних (складно правильно реалізувати, але операційно ефективно), або використання ієрархічної архітектури SIEM, де класифіковані екземпляри пересилають санованих, знижених за рівнем сповіщень на некласифікований майстер-дашборд через однонаправлений CDS.
Аудитне журналювання всіх запитів аналітиків до класифікованих індексів SIEM є обов'язковим — не лише для безпеки, але й для виконання вимог відповідності. Хто що шукав, коли і з якої робочої станції, повинно бути записано і захищено як аудитний доказ.