Как разгрузить SIEM, уже работающую в инфраструктуре?

Оптимизация SIEM требует внимательного подхода, чтобы добиться реального эффекта в производительности, не навредив работе системы. Эксперты в этой области делятся рецептами, проверенными практикой.

Евгения Лагутина, Лаборатория Касперского:

Есть два основных направления:

1. Технический – максимально проработать контент и процесс работы над ним, детально продумывать скоуп действительно полезных в корреляции источников и необходимых данных от них, настроить фильтрацию и сроки хранения событий.
2. Процессный – непрерывно актуализировать список источников и правил, исходя из актуальных для конкретной инфраструктуры сценариев атак, обучать новых аналитиков грамотно писать контент.

Но! Очень важно соблюсти баланс: разгружая таким образом SIEM-систему, мы нагружаем команду. И если в случае с перегрузкой SIEM достаточно просто масштабировать систему, то команда – актив гораздо более ценный и более чувствительный к перегрузкам.

Дмитрий Пудов, NGR Softlab:

Лучшие практики уже достаточно давно известны, они заключаются в поступательном наращивании возможностей SOC. Попытка сбора избыточных данных и работы с ними без методологической основы и процессной модели – основная причина избыточной нагрузки как на SIEM, так и на персонал. Мы рекомендуем отказаться от хранения сырых событий для части источников, использовать нормализацию только для необходимых в корреляции, а контекстную информацию хранить в ненормализованном виде с точечной настройкой сроков и правил архивации, распределять нагрузку, используя агентский сбор там, где это возможно.

Павел Пугач, СёрчИнформ:

Если достигнут предел производительности, и нет ресурсов, чтобы оперативно заменить оборудование или докупить лицензии, нашу SIEM можно масштабировать горизонтально. Часть мощностей переносится на другое, даже более слабое железо, там система может хранить данные или производить миноритарные аналитические операции. Во-вторых, можно исключить из лога источников события нормальной работы – это снизит поток данных на несколько порядков и оставит в фокусе только сбои и угрозы. Так потеряется детализация, необходимая в расследованиях, но в качестве крайней или временной меры это допустимо.

Дмитрий Шамаев, Газинформсервис:

Для правильной разгрузки уже функционирующей SIEM-системы необходимо:

1. Проанализировать настройки подсистем логирования различных источников событий и избавиться от бесполезных, с точки зрения информационной безопасности, событий. То есть более тонко настроить логирование событий на источниках.
2. Проанализировать, как часто и какие именно срабатывают правила корреляции. Возможно, получится оптимизировать логику правил корреляции. Дополнительно можно принять организационно-технические меры для снижения количества срабатываний правил. Если корректные правила корреляции срабатывают слишком часто, значит в ИТ-инфраструктуре заказчиков много проблем.

Виктор Никуличев, R-Vision:

Не требуется оптимизация SIEM, если правильно настроены система, правила корреляции и источники. В иных случаях необходимо проанализировать все процессы SIEM. Например, для снижения нагрузки можно использовать LM-решение для глубокого/холодного хранения и второстепенных логов, которые не подлежат корреляции. В SIEM следует оставлять только события, необходимые для корреляции и оперативного расследования оповещений. При создании правил корреляции и нормализации рекомендуется использовать продвинутые возможности среды разработки и оптимизировать разрабатываемые правила. Например, можно использовать инструмент бенчмаркинга в R-Vision R-Object для замера скорости работы правила.

Павел Гончаров, Positive Technologies:

Мы рекомендуем проанализировать работу SIEM-системы с самого начала, в частности, с подключения и мониторинга источников. Во время запуска MaxPatrol SIEM версии 8.2 этим летом мы выдавали нашим пользователям специальный гайд, в котором рассказали, какие источники и в каком порядке нужно подключать, как их настраивать. На основе собранной информации мы уже можем определить, какая экспертиза в системе требуется, какие правила и табличные списки можно отключить. Кроме того, нашим клиентам мы предлагаем мигрировать на LogSpace, что позволит высвободить ресурсы под выполняемые задачи.

Даниил Вылегжанин, RuSIEM:

Следует начать с настройки глубины логирования источников, чтобы собирать и обрабатывать только нужные события. Не менее важна настройка дополнительных правил фильтрации и агрегации событий, а также оптимизация существующих правил корреляции для повышения точности выявления инцидентов и снижения вероятности ложноположительных срабатываний. В части хранения и ускорения поиска событий поможет настройка индексов и использования горячих, теплых или холодных нод для оперативного хранения событий, а также архивов – для экономии дискового пространства при хранении исторических данных.

Станислав Каменский, Эшелон Технологии:

Можно применить несколько приемов.

1. В случае высокой нагрузки, по возможности, использовать варианты распределенной инсталляции системы, создание кластера БД. Использовать оптимизированные SIEM, например KOMRAD Enterprise SIEM.
2. Настроить журналирование в системах и определить перечень событий, подлежащих отправке в SIEM, исходя из самых вероятных сценариев действий злоумышленников в контролируемой инфраструктуре.
3. Актуализировать оценку критичности имеющихся активов и обрабатывать события от активов с высоким уровнем критичности.

Вадим Порошин, Пангео Радар:

Во-первых, необходимо сегментировать активы в инфраструктуре, выделяя действительно важные. Во-вторых, предфильтрация событий: избавляться от мусорных данных до начала их обработки. В-третьих, выбирать SIEM-решения с максимальной возможной степенью сжатия событий не только на хранении, но и на всех этапах передачи, чтобы сократить нагрузки на каналы связи.