Андрей Дудин, 03/10/25
Компания по управлению цифровыми рисками BI.ZONE совместно с “Информационной безопасностью” продолжает цикл публикаций о ключевых аспектах функционирования SOC. Предыдущие две статьи были посвящены покрытию мониторингом ИТ-инфраструктуры и обнаружению угроз. В третьем материале цикла расскажем об анализе событий.
Автор: Андрей Дудин, эксперт по мониторингу и анализу инцидентов кибербезопасности BI.ZONE TDR
При его неверном выполнении анализе событий последующие действия с инцидентом в рамках SOC могут усугубить ситуацию и вместо предотвращения кибератаки на ранней стадии привести к более серьезному ущербу для бизнеса. От чего же зависит эффективность анализа событий?
Факторы, определяющие качество и скорость
BI.ZONE TDR ежедневно обрабатывает более 300 тыс. сырых событий кибербезопасности в секунду и за 2024 г. выявил более 13 тыс. инцидентов. У нас накопился обширный опыт анализа событий, поэтому мы можем поделиться практическими советами.Качество и скорость анализа инцидента зависят от того, насколько компетентны сотрудники центра мониторинга и доступны ли им профильные инструменты SOC, в том числе для сбора дополнительного контекста.
На компетенциях персонала не останавливаемся – этой теме будет посвящен один из следующих материалов. Поговорим об инструментах для сбора дополнительного контекста. Без него невозможно определить, насколько достоверно сработало правило обнаружения, какова природа выявленной активности, как она соотносится с актуальным ландшафтом угроз и какое влияние оказывает на бизнес-процессы.
Применение IRP/SOAR
Поток событий постоянно растет, и нам важно выполнять их анализ без потери качества. Для этого мы применяем средство класса SOAR (BI.ZONE SOAR). Это решение помогает выстраивать работу с событиями и инцидентами по единому алгоритму, избегать ошибок персонала, реализовывать сложные многосоставные задачи, получать автоматизированный контроль шагов (метрики) и т. д. Кроме того, SOAR позволяет аккумулировать информацию об активах и обогащать события и инциденты данными. В итоге аналитик SOC оперативно получает дополнительный контекст о событии или инциденте.
Приведем пример. На межсетевом экране обнаружено сканирование внутри сети – как правило, в SOC создается алерт, который содержит информацию о сетевых соединениях. Но этой информации может быть недостаточно, чтобы оперативно идентифицировать хост – инициатор сканирования. Благодаря обогащению в SOAR в карточку инцидента автоматически добавилась информация о VPN-подсети, которой принадлежит хост, а также об активном пользователе, которому этот адрес был выдан. В итоге сразу видно, в отношении какого сотрудника и актива осуществлять реагирование. Аналитик не тратит время на ручной сбор информации – это облегчает и ускоряет процесс.
Использование EDR
Чтобы идентифицировать инцидент среди событий безопасности, мы собираем дополнительный контекст с помощью специализированных средств. В арсенале SOC могут быть различные утилиты для сбора криминалистических артефактов (системные события, дампы оперативной памяти, журналы приложений и т. д.), помогающие детально изучить активность. Собирать необходимые данные также позволяет решение класса EDR (BI.ZONE EDR). Если оно используется в инфраструктуре компании, то даже внешний SOC по согласованию с клиентом сможет вести сбор нужных данных без привлечения сотрудников организации. Это значительно ускоряет процесс анализа активности.
В кейсе из нашей практики EDR-решение выявило событие, связанное с запуском подозрительного файла, который собирал информацию о системе. Нередко такое событие говорит о попытке компрометации хоста, но возможны варианты. Так, причиной активности может быть легитимный скрипт сотрудников ИТ-отдела, используемый для инвентаризации. С помощью EDR аналитики провели углубленный анализ: детально изучили дельта-окрестность события по поступающей телеметрии, а подозрительный файл выгрузили в SOC на анализ. В итоге удалось однозначно установить, что активность была вредоносной, а хост пытались скомпрометировать.
Данные от киберразведки
Киберразведданные позволяют превентивно реагировать на угрозы благодаря дополнительному контексту, например оперативно атрибутировать атакующего и соотнести его с кластером активности. А знание тактик, техник, процедур и инструментов злоумышленников позволяет быстро принимать решения о том, как реагировать в рамках инцидента.
Рассмотрим пример: на хосте сработал антивирус на подозрительное вложение в письме. Но лишь по этому событию трудно понять, что это за письмо и насколько можно верить антивирусу. Обогащение событий киберразведданными помогло оперативно обнаружить фишинговую атаку, поскольку хеш вложенного файла был в базе индикаторов компрометации на портале киберразведки.
Заключение
Ключевая задача аналитика SOC при анализе событий – установить правильный контекст активности. Перечисленные в статье инструменты и процессы позволяют сделать это точно и быстро. Они необходимы для качественного обнаружения угроз и своевременного реагирования.
Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjc7fgBQ
