NDR, EDR және SIEM: тәуекелдер мен ақша арқылы айырмашылықтар
NDR, EDR және SIEM арасындағы айырмашылықты тәуекелдер мен қаржы арқылы қалай түсіндіруге болады және корпоративтік желіде NDR пилотынан бұрын қандай сұрақтар қою керек.

Арадағы шатасудың бастауы: «бізге NDR керек»
«Бізге NDR керек» деген сөз әдетте компанияның нақты шешім класын таңдағанынан емес, жерде қандай да бір проблема бар болғандықтан шығады. Әңгіме жиі өнім атаулары мен сәнге енген аббревиатураларға ауысады. Соңында NDR неге EDR немесе SIEM-нен жақсы деген жерде дау шығып, басты сұрақ — қандай тәуекелді төмендетеміз және оның құны қанша — жауапсыз қалады.
Осындай сұраныстың артында көбінесе бизнеске қатысты нақты қорқыныштар тұрады: маңызды сервис тоқтауы, инцидент үшін айыппұл, клиенттік немесе ішкі ақпараттың шығу ықтималдығы, инфрақұрылымның тоқтауы салдарынан жобалардың кешігуі. Қаржы директоры көбіне былай сұрайды: «Бір күндік тоқтау бізге қанша тұрады және оны қаншалықты тез байқаймыз?» Бұл — құрал жайлы емес, тәуекел мен уақыт туралы сұрақ.
Киберқауіпсіздікті тәуекел терминдерінде түсіндіру дегеніміз — техникалық оқиғаларды салдарымен байланыстыру: инциденттің мүмкіндігі, зиянның ауқымы, анықтау уақыты, қалпына келтіру уақыты және сол сәтте кім қалай шешім қабылдайды. Бұл түсінікті болса, шешім классарын таңдау оңайырақ болады.
Пайдасы үшін алдын ала қандай өлшемдерді жақсартқыңыз келетінін айқындап алыңыз:
- желі мен хосттардағы күдікті әрекетті анықтау уақыты
- бизнестің әсерін тудыратын инциденттердің үлесі (тоқтаулар, утектер)
- командаға түсетін жүктеме: қанша сигнал шынайы тексеріліп, қаншасы еленбейді
- меншік құны: лицензиялар, деректерді сақтау, адам еңбегі, енгізу қызметтері
- қамту: желінің қандай сегменттері мен қандай трафик түрлері көрінеді
Осы мақсаттар анықталғаннан кейін сіз пилот кезінде нақты метрикаларды талап ете аласыз және «датчик орнаттық — шу көп, ештеңе түсінбедік» деген оқиғаға жол бермейсіз.
Қысқаша және нұсқа: EDR, SIEM және NDR не істейді
Қарапайым тілмен айтқанда, бұл бір шабуылдың әртүрлі «бақылау нүктелері». Олар бір-бірін толықтырады, бірақ көбінесе алмастыра алмайды.
Әр класс нақты не істейді
EDR соңғы нүктелерге қарайды: ноутбуктар, серверлер, виртуалды машиналар. Ол процестер мен файлдарды, зиянды кодты іске қосу әрекеттерін көреді және хост деңгейінде тез жауап бере алады.
SIEM әртүрлі көздерден оқиғаларды жинайды: AD, пошта, VPN, брандмауэрлер, қосымшалар, EDR. Содан кейін бұл оқиғаларды байланыстырып, тергеулер жүргізуге және аудит үшін есеп дайындауға көмектеседі.
NDR желіні бақылайды: кім кіммен сөйлеседі, трафикте қандай протоколдар мен мінез-құлық байқалады. Ол «хостта тыныш болса да, желіде күдікті қозғалыс бар» жағдайларда пайдалы.
Егер шпаргалка керек болса:
- EDR — құрылғы ішінде не болып жатқанын және тез реакцияны береді
- SIEM — логтар бойынша бірыңғай картина, корреляция және тергеу
- NDR — желілік трафиктегі аномалиялар мен мінез-құлық, әсіресе ішкі трафик
Шекаралар мен слепые зоналар
EDR агент орнатылмайтын жерлерде әлсіз: кейбір IoT, принтерлер, желілік жабдықтар, медициналық құрылғылар. SIEM логтардың сапасына тәуелді: егер көз қажетті оқиғаларды жазбаса немесе олар фильтрацияланып кетсе, тергеу үзіліп қалады. NDR болса, қосымша әдістерсіз шифрланған трафиктің ішін жақсы көрсете алмайды және хосттағы процестің дәл не істеп жатқанын алмастыра алмайды.
Мысал: шабуылдаушы бір серверге кіріп, көршілес подсеттерді скандей бастауы мүмкін. Егер хостта ашық зиянды процесс болмаса, EDR байқамай қалуы ықтимал. SIEM тек дұрыс сетевой логтар мен ережелер болғанда ғана байқайды. Ал NDR әдеттен тыс ішкі скан мен сегменттер арасындағы оғаш қосылыстарды көбірек көрсетеді, тіпті құрылғылар әртүрлі орнатылған болса да.
Қауіптерді қайсысы жабады: желі ме, соңғы нүктелер мен логтар ма
Аттанған атауларға емес, тәуекелдерге бөлген дұрыс: қандай құрал бизнеске тоқтау, утек немесе айыппұл әкелетін жағдайларды тоқтатуға көмектеседі.
EDR ең жақсысы — нақты құрылғылар маңызды болған кезде: бухгалтерия ноутбугы, 1С сервері, инженерлік жұмыс станциясы. Егер шифрлаушы хостқа кірсе, EDR күбіртінікті процестерді байқап, іске қосылуын блоктап, хостты оқшаулай алады. Бұл қызметтердің тоқтауынан келетін тікелей тәуекелді төмендетеді.
NDR жүйелер арасындағы «жолдарды» бақылайды. Ол боковое перемещение, мердігердің қашықтықтан қосылуы, ішкі сервистерге күдікті қосылыстар немесе мәліметтердің сыртқа жасырын шығарылуы сияқты жағдайларда өте пайдалы. Бұл клиент деректері немесе коммерциялық құпияның утекуінен туатын тәуекелді, сондай-ақ тараудан пайда болатын тізбекті тәуекелді төмендетеді.
SIEM дәлелдер мен басқаруды береді: логтарды жинап, инцидентті талдауға көмектеседі, аудиторға бақылау барын көрсетеді және регулятор талаптарын тезірек жабуға көмектеседі. Бірақ SIEM қажетті оқиғалар болмаса шектеулі.
Практикалық жағынан тәуекел қабаттары келесідей көрінеді:
- тоқтау — EDR + негізгі желілік шаралар; NDR желі бойынша тарауды ұстап тұруға көмектеседі
- утек — NDR + SIEM (корреляция), EDR хосттағы әрекеттерді ұстайды
- санкциялар және аудит — SIEM есеп орталығы ретінде, EDR/NDR арқылы кешенді дәлелдер
- жабдықтар тізбегі (chain of supply) — NDR қашықтықтық сессиялар мен оғаш маршруттарды бақылау үшін
Мысал: мердігер қашықтан қосылды, оның аккаунты ұрланды. Егер шабуылдаушы легитимді құралдармен «тыныш» жұмыс істесе, EDR ештеңе байқамауы мүмкін. SIEM кірістігін журналы жеткізілсе және ереже орнатылған болса, бұл оқиғаны көрсетеді. NDR қосылғаннан кейін сол қосылудан кейін файл шарларына бағытталған нетиптік сұраныстар мен сыртқа деректер жіберілуі анықталып, утектің алдын алуға мүмкіндік туындайды.
Айырмашылықты ақшаға қалай аудару: бюджет қандай бөліктерден тұрады
Сөйлесулер әдетте функциялар туралы болады, ал бюджетте маңыздысы басқа: неге бір рет төлейсіз, не үшін ай сайын төлеу керек және жүйеден пайда алу үшін қанша адам қажет.
Шығындарды CapEx пен OpEx-ке бөліңіз. CapEx — сенсорлар, трафик анализіне арналған бөлек серверлер немесе қосымша сақтау қажет болса туындайды. OpEx — әдетте лицензиялар (трафик көлемі, хосттар саны немесе оқиғалар саны бойынша), қолдау және жаңартуға жазылымдар.
Бюджет әдетте бес бөліктен тұрады: лицензиялар мен қолдау; инфрақұрылым (сенсорлар/зеркалдеу, есептеу, сақтау); енгізу (жоба, баптау, интеграциялар, тестілеу); эксплуатация (жаңартулар, детектілердің сапасын бақылау, оқыту); аналитиктердің алғашқы тексеріс пен тергеуге жұмсалатын уақыты.
Ең жиі бағаланбайтын бөлік — жұмыс уақыты арқылы меншік құны. Мысалы, егер NDR күніне 30 алерт қосса және әр алғашқы тексеріске 10 минут кетсе, бұл күн сайын 5 сағат первичкаға шығып тұр. Егер аналитиктің сағатына құны 12 000 KZT болса, бұл күн сайын шамамен 60 000 KZT және айына 1,2 млн KZT (20 жұмыс күні) болады. Сондықтан шешімдер салыстырғанда «дәлдік» туралы ғана емес, сигналды әрекетке қалай тез аударуға болатыны туралы сұрау маңызды.
Жалған срабатываниялардың құнын бөлек есептеңіз. Әр қосымша алерт — тек SOC уақыты ғана емес, желі әкімшілерінің алаңдауы, жобалардың кешігуі және келісімдерді тоқтатқаны үшін шығындар. Қаржылық сұрақ: күн сайын қанша жалған дабылды төлейсіз және осы уақыттың иесі кім болады?
Үлкен желіде пилот инфраструктура шығындарын да тудырады. On-prem орналастырғанда есептеу мен сақтау үшін бос ресурстар бар ма, әлде оларды сатып алып ұстап тұру керек пе — осыны пилотқа дейін анықтау маңызды. Қазақстанда бұл жиі локализация талаптарымен байланысты болады — мұндай детальдарды пилотқа дейін сметада бекіткен жөн.
NDR әдетте қайда күшті: EDR мен SIEM-нен «жасырын» сценарийлер
NDR желіні «жол» ретінде көреді — барлық құрылғылар мен сервистер сол арқылы жүреді. Сондықтан шабуыл трафикте болғанда, бір құрылғыда емес, NDR жиі алға шығады.
NDR-дің ең күшті аймағы — периметр ішіндегі east-west трафик. Құрылғы ішіне біреу кірсе, ол сегменттер арасында жүріп, рұқсаттарды іздейді. EDR кейбір серверлерде орнатылмауы мүмкін, SIEM қажетті логтарды уақытында алмай қалуы мүмкін, бірақ желі кімнің кіммен сөйлескенін «естиді».
NDR жиі ертерек және анық сигнал беретін сценарийлер:
- боковое перемещение: подсеттер арасында нетиптік қосылыстар, SMB-трафиктің өсуі, шаруалар мен админ ресурстарға кіру әрекеттері
- EDR-дің слепые зоналары: басқарылмайтын құрылғылар, IoT, принтерлер, медициналық техника, филиал терминалдары
- SIEM-нің слепые зоналары: логтардың толық еместігі, жеткізу кешігістері, шу астында қалған оқиғалар
- ерте желілік аномалиялар: оғаш DNS-сұраныстар, сирек домендерге бағыттар, әдеттен тыс сыртқы байланыстар
- сегментация бұзылуы: сервис кенет сол секциямен сөйлесіп кете бастайды, тиісінше болмауы керек
Мысал: ауруханада инфекция жұмыс станциясынан басталып, әлсіз құрылғыларды іздейді. EDR бір бөлігін ұстайды, SIEM бөлек оқиғаларды көреді, бірақ NDR бірінші болып тізбекті көрсетеді: кім сканер жасады, қандай хосттар мақсатқа айналды, қай жерде SMB-қа тырысулар басталды және қай DNS-аттар қолданылды. Бизнес үшін бұл аз уақыттағы тергеу және инциденттің кеңею ықтималдығын азайту — яғни ақша үнемдеу.
Қадам-қадам: корпоративтік желіде NDR пилотына қалай дайындалу қажет
Пилот көбіне технологиядан гөрі айқын мақсаттың жоқтығынан сәтсіздікке ұшырайды. 3–5 сценарийді нақтылаңыз: ішкі перемещение, күтпеген сыртқы қосылыстар, порт сканерлеу, деректерді шығару әрекеттері, күдікті DNS-сұраныстар.
Одан кейін қай жерде бақылау жүргізілетінін таңдаңыз. Бір жақсы сегмент бес кездейсоқ сегменттен артық. Көбінесе ЦОД (критикалық сервистер бар), бір офис учаскесі (пайдаланушы трафигі) және қажет болса бір филиал таңдалады.
Алдын ала қандай деректер енгізілетіні және қандай шектеулер қалыпты екені туралы келісіңіз. Әйтпесе бір шешімде қажетті ағын бар, ал екіншісінде жоқ — салыстыру әділ болмайды.
Дайындықтың минималды жоспары
- пилоттың мақсатын және табыс критерийлерін бекітіңіз: қандай алерттер пайдалы және оларды қандай уақытта әрекетке айналдыру жоспарланады
- сегменттер мен қосылу нүктелерін айқындаңыз: сізге солтүстіктен-оңтүстікке (интернет) немесе шығыс-батысқа (серверлер арасындағы) көңіл бөліу маңызды ма
- көздерді таңдаңыз: SPAN/TAP немесе айнадандыру, NetFlow/sFlow, DNS/Proxy журналдары (бар болса)
- шифрланған трафикті қалай есепке алатыныңызды шешіңіз: расшифровка керек пе, әлде метадеректер жеткілікті ме
- міндетті иелерді тағайындаңыз: ИБ, желі инженерлері, SOC, жүйе иелері және шешім қабылдайтын тұлға
Практикалық тест қарапайым: егер мақсат — бухгалтер серверінен «тыныш» утекті ұстап алу болса, пилотқа осы подсет пен интернет шығысын қосыңыз. Әйтпесе сіз NDR-ды емес, сәттілікті тексересіз.
Егер интегратор шақырса, алдын ала SPAN/TAP-қа кім қол жеткізетінін, коммутатор конфигурацияларын кім өзгертетінін және срабатыванияларды кім сіздің командаңызбен бірге талқылайтынын анықтаңыз. GSE.kz сияқты интеграторларда пилот жоспарына осы ролдер әдетте енгізіледі, сол арқылы бірінші аптадағы келісімдерге уақыт жоғалтпайсыз.
Пилотқа дейінгі сұрақтар: қамту, деректер және шектеулер
Пилот жиі «өнім әлсіз» емес, сіз дұрыс жерге қарамайсыз немесе қажетті трафик көрінбейді деп сәтсіздікке ұшырайды. Қаржы және тәуекел тілінде тапсырма айқын: инцидент болғанда ең үлкен зиян әкелетін сегменттерді және жеке өмірге қатысты шектеулер мен техникалық мүмкіндіктер шеңберінде қандай деректер жинауға болатынын анықтаңыз.
Алдымен қамтуды анықтаңыз: пилотта қай активтер міндетті түрде көрінуі тиіс. Егер тек офис VLAN қосып, критикалық серверлерді тастап кетсеңіз, әдемі графиктер аласыз, бірақ пайдалы нәтиже емес.
Қамту бойынша минималды сұрақтар
Оларды осылай құрыңыз, сол кезде «не көріп тұрмыз/не көрмейміз» картасы шығады:
- қай сегменттер міндетті: дата-орталық, қосымша серверлер, жұмыс орындары, Wi-Fi, қашықтық пайдаланушылар, мердігерлер, OT/IoT (бар болса)?
- қандай зоналар мен ағындар критикалық: AD, DNS, пошта, VPN, RDP/SSH әкімшілік, резервтік көшіру, сыртқы API-лармен өзара әрекет?
- көріну шектеулері қайда: NAT, брандмауэрлер, прокси, SD-WAN, SPAN/TAP, бұлтқа шығулар?
- пилот үшін күтілетін трафик көлемі мен шыңдары қандай, сонда өнім өнімділікте тұрып қалмайды
- қандай «қамту бірлігі» табыс деп есептеледі: подсеттердің пайызы, негізгі серверлер саны, критикалық ағындардың үлесі?
Деректер, шифрлау және шектеулер
Шифрлау көбіне негізгі шектеу болады. Сіз не күтесіз — расшифровка (TLS инспекция) немесе метадеректер (SNI, сертификаттар, бағыттар, жиіліктер)? Кейде метадеректер C2 немесе боковое перемещение ұстап қалуға жеткілікті, бірақ әрдайым емес.
Сонымен қатар сақтау және жеке өмір талаптарын бекітіңіз: қандай өрістер жеке саналады, шикі деректерге кім қол жеткізеді, қанша күн сақтау керек және сақтау шығынын кім төлейді. Клиника немесе банк сияқты салаларда желілік деректерге қолжетімділік шектеулі болуы мүмкін — бұл қалыпты, бірақ пилот критерийлерін алдын ала түзету керек.
Осы сұрақтардың нәтижесі қарапайым: қай жерде NDR тез нәтиже береді, ал қай жерде шифрлау, зеркалдау жоқтығы немесе рұқсат шектеулері күтулерді асырып жіберетінін алдын ала түсінесіз.
Пилотқа дейінгі сұрақтар: процестер, интеграция және жауапкершілік
«Датчик орнаттық — ғажайып болады» деген тәсіл ақыры разочарование әкеледі. Пайда сигналдар қайда баратынын, шешімдерді кім және қалай қабылдайтынын, команда алғашқы 15–60 минутта не істейтінін алдын ала анықтағанда ғана көрінеді.
Алдымен интеграцияларды айқындаңыз. Бұл «не жақсы» емес, NDR, EDR және SIEM бір процесте қалай толықтыратынын анықтау. NDR алерті SIEM-ге, тикет жүйесіне және дежур бөлме арналарına жіберіле ме, және қандай форматта: шикі оқиға ма әлде байытылған инцидент пе — осыны келісіңіз.
Содан кейін жауапкершілік: детектілерді, исключенияны және жалған срабатыванияларды кім баптайды және қарайды — вендор, интегратор немесе сіздің SOC-ыңыз ба? Егер EDR тыныш, ал NDR күдікті трафикті көрсе, қай жүйеге сенесіздер?
Пилот басқарылуын тексеру үшін минималды әрекеттер жинағын дайындаңыз:
- EDR арқылы хостты оқшаулауға кім және қанша минут ішінде рұқсатты береді
- периметрде (FW, прокси, NAC) NDR мәліметтері бойынша кім және қалай блоктайды
- форензика қалай басталады: қандай артефакттар жинаймыз және оларды кім сақтайды
- тикет қалай ашылады және инцидентті жабуды кім растауы керек
Алдын ала пайданы қалай өлшейтініңізді келісіңіз. «Алдыңғы» көрсеткіштерді тіркеңіз (орташа анықтау уақыты, иесі жоқ инциденттердің үлесі, қолмен тексерулер саны) және «кейінгі» көрсеткіштерді (қаншаға уақыты қысқарды, қанша инцидент растауға дейін жетті). Пилот соңында басшылыққа қысқа есеп керек: 3–5 табу, тәуекелдерге әсері және өндірістік режимге өту үшін не қажет (адамдар, интеграциялар, ережелер).
Сыртқы команданы тартсаңыз, бастапқыда шекараларды жазыңыз: кім интеграцияларды орнатады, кім пилоттан кейін сүйемелдейді және жұмыс уақытынан тыс қандай қолдау деңгейі бар.
Пилот NDR-дегі жиі қателіктер мен тұзақтар
Негізгі тұзақ — NDR-ды «көзге көрінбейтін» орнату. Мақсат «не табамыз» болса, нәтиже: көп сигнал, анық нәтиже аз. Түсінікті мақсат: офис торында боковое перемещение табу, критикалық подсеттерден шығатын трафикті бақылау немесе тіркелмеген сервистерді анықтау болуы мүмкін.
Екінші қателік — бірден барлық сегменттерді қосу. Пилот шуға толып, команда тіпті үстіңгі бөкті қарауға үлгермейді. Жақсырақ — 1–2 зонадан бастау, зиян келтіретін орындарды таңдау: есеп жүйелері бар серверлік сегмент және инфекция жиі басталатын пайдаланушы VLAN.
Үшінші — деректер сапасы. Нашар зеркалдау (SPAN/TAP) немесе дұрыс емес NetFlow конфигурациясы NDR-ға сессия үзінділерін көрсетіп, клиент пен сервер ролдерін шатастырып, DNS немесе TLS-сауалдарды өткізіп жіберуі мүмкін. Нәтижесінде «күдікті көлем» немесе «белгісіз протокол» сияқты жалған қорытындылар пайда болады.
Төртінші — реакция туралы келіспеу. Егер сигналдар келіп тұрса, бірақ оларды кім тексеретіні, кім жабатыны және қанша уақытта істелетіні белгісіз болса, пилот пайдасын дәлелдей алмайды.
Бастарда бір параққа бекітіңіз:
- 2–3 өлшенетін табыс критерийі (мысалы, X басқышсыз хост анықтау немесе бастапқы тексеру уақытын Y минутқа қысқарту)
- пилот сегменттерінің тізімі және оларда не маңызды екені
- трафик көздеріне қойылатын талаптар және толықтықтың тексерілуі
- RACI: кім алғашқы тексерісті жасайды, кім тергеуді жүргізеді, кім блоктайды
- жұмыс уақыты және эскалация ережелері, бизнесті тоқтатпау үшін
Практикадан мысал: NDR түнде екі ішкі подсет арасында күдікті байланыстар туралы хабарлады. Егер алдын ала жауапты тағайындамасаңыз, сигнал таңертеңге дейін «тірі» қалады, ал мәселе сол уақытта желі бойынша ары қарай таралып кетуі мүмкін.
1–2 аптада тексеруге болатын жылдам чек-лист
Пилоттың мақсаты барлық шабуылдарды «жеңу» емес. Ол қарапайым: NDR EDR және SIEM тыныш болған жерде көрініс беріп, адамдар жұмысын қаншаға қымбаттатады — сол көрсеткішті анықтау.
Қысқа мерзімде бірнеше сценарийді (тест сегментте немесе келісілген уақытта) өткізіңіз:
- боковое перемещение: SMB/RDP/WinRM, «кім кіммен» типтік емес байланыстар
- C2 (command and control): сыртқа біркелкі интервалмен тұрақты байланыс, жаңа домендер, оғаш SNI/JA3 параметрлері
- күдікті DNS: NXDOMAIN-ның өсуі, DGA-ға ұқсаған домендерге сұраныстар, бір хосттағы кенет өзгерістер
- эксфильтрация: ұзаққа созылған шығыс сессиялар, нетиптік көлемдер, жұмыс уақытынан тыс үлкен трафик
- сканерлеу: порттар бойынша көп қысқа қосылыстар, подсеттер бойынша перебор, қатемен қайтып келу өсуі
Пилотты «ұнады/ұнамады» дауға айналдырмау үшін үш метриканы бекітіңіз:
- анықтау уақыты: оқиға мен алертке, алерт пен әрекетке дейінгі уақыт
- пайдалы сигналдар үлесі: қанша алерт нақты тексеруге және табуға алып келді
- активтерді қамту: қандай бөлімдердің және маңызды жүйелердің қанша бөлігі шынымен көрінеді
Сонымен бірге деректер сапасын тексеріңіз. Егер пакеттер жоғалса, SPAN/TAP артық жүктелсе, сенсор мен логтардағы уақыт сәйкес келмесе немесе NAT дереккөздерді жасырып жатса, сіз шуға немесе слепые зоналарға тап боласыз.
Тағы бір тез тест — операциялық процесс: алерт кімге келеді (SOC, ИБ, дежур админ), қалай эскалацияланады, алғашқы тексеріске қанша уақыт беріледі және нәтижеде не тіркеледі (тикет, «жалған/растау» белгісін қою, қандай артефакттар сақталды). Бұл процесс болмаған жағдайда күшті NDR да «өте шулы» болып көрінеді.
Нақты сценарий: бір инцидентті NDR, EDR және SIEM қалай көреді
Күнделікті офис. Қызметкер қоса берілген файлды ашады, және бірнеше минуттан кейін желіде шифрлаушы пайда болады. Көптеген компьютерлерде EDR орнатылған, бірақ бухгалтериядағы бір ескі ПК-қа агент орнатпаған. Сол ПК-дан шабуыл басталды.
EDR агент орнатылған машиналарда күдікті процесті байқап, файлдан іске қосу әрекетін тоқтатады. Ал «ауызын жабық» ПК-де EDR ештеңе көрмейді — себебі жинау жоқ.
NDR желіні қарап, агентсіз де көрінетіндікті анықтайды. Бірден SMB бойынша аномалия пайда болады: бір хост файл серверіне көптеп қатынасып, каталогтарды жылдам аралап, біртүрлі көп бірдей операциялар жасайды. Бизнес үшін бұл — "құжат сервері баяулап, адамдар жұмыс істей алмай отыр" дегенге ұқсайды.
SIEM бұл жерде байланысты құрайды. Логтардан көрінеді:
- қолданушы бойынша нетиптік аутентификация
- бірнеше папкаға құқықтардың өзгеруі
- файл серверінде қателер мен оқиғалардың өсуі
- осы оқиғалардың уақыты NDR-дің желілік аномалияларымен сәйкес келеді
Қорытынды: тергеу жылдам құрылады: NDR қайдан және қай бағытқа таралғанын көрсетеді, EDR жұққан хосттардың ішкі детальдарын береді, SIEM аккаунттар мен оқиғалар арқылы тізбекті растайды.
Ақша есептеу қарапайым. Егер файлдарды шифрлау салдарынан бөлім 4–8 сағатқа тоқтаса, сол уақытта сатылымдар, сатып алулар немесе төлемдер тоқтаса, зиян пилот құнынан жиі әлдеқайда жоғары болады. Пилот өзінің құнын инцидентті ертерек байқап, жұққан хостты және аккаунтты ажыратуға мүмкіндік берген жағдайда-ақ қайтарады.
Пилоттан кейінгі келесі қадамдар: шешім және енгізу жоспары
Пилоттан кейін "алерттер мен әсерлер" тізбегін нақты шешімге айналдыру маңызды. Табысты нұсқа — нақты тәуекелдерді белгілі ақшаға төмендететін шешім, «көп функция» емес.
ИБ және бизнес үшін бір беттік резюме жасаңыз. Онда болуы керек: пилот тапқан немесе растаған 2–3 негізгі тәуекел; егер орын алса зиянның бағасы; енгізу құны; сапа метрикалары (анықталған инциденттер саны, жалған срабатывания деңгейі, орташа анықтау уақыты, шынайы қамту, SIEM-ге берілген деректер және реагирлеуге енгізілген процесс).
Келесі — мақсатты архитектураны бекіту. Көбінесе NDR-ды боковое перемещение мен ішкі трафик маңызды жерлерге бекітеді: деректер орталығы, серверлер сегменттері, қаржылық және медициналық жүйелер, АСУ және басқа да қымбат аумақтар. Құрылғылар бақылауы мен хост талдауы басты мақсат болса — EDR пен SIEM-мен қатар жүрсе жеткілікті.
Жылжыту жоспары, ұзаққа созбас үшін
- 0–30 күн: сенсор орнату нүктелерін, қолжетімділікті, трафик көздерін, сақтау ережелерін және рөлдерді растау
- 30–60 күн: интеграцияларды (SIEM, EDR, активтер инвентары), базалық сценарийлер мен праговтарды қосу
- 60–90 күн: 3–5 плейбукты іске қосып, SOC-тың жүктемесін өлшеу және KPI бекіту
- әрі қарай: қамтуды кеңейту, сізге тән қауіпті сценарийлерге арналған ережелер қосу
Параллельде толық меншік құнын есептеңіз: лицензиялар, сенсорлар және зеркалдеу, сақтау, аналитиктер уақыты, оқыту, 24/7 қолдау (қажет болса).
Егер пилот тиімді шықса, бірақ сіз желі немесе команда ресурсына шектеу тапсаңыз, инфрақұрылым жеткізу және жергілікті интеграция жөнінде келісу мағыналы болады. Мысалы, GSE.kz (gse.kz) технологиялық өндіруші және жүйелік интегратор ретінде Қазақстанда инфрақұрылымды жинап, қолдауды ұйымдастырып, сіздің архитектураға интеграциялауға көмектесе алады — бір вендорға ғана байланбай.
FAQ
Басшы «NDR керек» десе әңгімені қалай бастау керек?
Бастапқыда құрал туралы емес, тәуекел мен уақыт туралы сөйлесіңіз: не жоғалтып ала аласыз (бір күндік тоқтау, деректер утекқаны, айыппұл), бұлты қашан байқау керек және алғашқы сағаттарда кім шешім қабылдайды. 3–5 сценарий мен табыс критерийлері болғанда қай шешімнің қай бөлікті жауып беретінін түсіну оңайырақ болады.
Егер өте қысқаша түсіндірсең, EDR, NDR және SIEM нешеме?
EDR — нақты құрылғыдағы бақылау және реакция: процестер, файлдар, зиянды кодты табу, хостты оқшаулау. NDR — желідегі мінез-құлық: күтпеген байланыстар, ішкі сканерлеу, күдік тудыратын DNS және боковые перемещениелер. SIEM — әртүрлі көздерден лог жинақтап, оқиғаларды байланыстырып, тексеру мен аудит үшін дәлелдер береді.
Қашан нағыз NDR керек, ал қашан одан бас тартуға болады?
NDR қажет болады, егер ішкі периметрдегі боковое перемещение маңызды болса, басқарылмайтын құрылғылар (IoT, принтерлер, кейбір медтех) бар болса немесе логтардың толықтығына кепіл жоқ болса. Егер «хостта тыныш», бірақ желіде жат мінез байқалса — NDR өте пайдалы.
EDR, SIEM және NDR-тің типтік слепые зоналары қандай?
EDR агент орнатылмайтын немесе «бейтаныс» құрылғыларды көрмейді. SIEM қажет логтар мен олардың үздіксіз жеткізілуіне тәуелді: оқиға жоқ болса, оны «құрастыру» мүмкін емес. NDR шифрланған трафиктің ішін көре алмайды (және хосттағы процестің не істеп жатқанын дәл көрсетпейді) егер қосымша көрініс әдістері болмаса.
Пилот NDR-ге қандай мақсаттар мен табыс критерийлерін қою керек?
3–5 тексерілетін сценарий құрыңыз және қай жерде оларды көруді күтетіндігіңізді анықтаңыз: деректер орталығы, пайдаланушы сегменті немесе интернет шығысы. Сандық критерийлер белгілеңіз: оқиға мен алерт арасы, алғашқы әрекет уақыты және алерттердің қанша пайызы нақты тексеруге алып келетіндігі. Осының болмауы пилотты «шу» туралы даудың объектісіне айналдырады.
Пилот NDR-ды бағалауға дейін не жиі бұзады?
Көбінесе пилотты бастапқыда бұзады — трафиктің толық емес немесе дұрыс жиналуы: SPAN арқылы артық жүктеу, NetFlow/IPFIX қателері, маңызды ағындардың жоқтығы (DNS, интернет шығысы, ішкі ағындар). «Не көріп тұрғанымыз/не көрмейтініміз» картасын сұраңыз және детектілерді қарап бастамас бұрын трафиктің толықтығын дәлелдеңіз. Кіріс деректері нашар болса, мықты өнім де «шумды» және пайдасыз көрінеді.
Шифрланған трафикте NDR не көре алады, не көре алмайды?
Шифрланған трафикте NDR көбінесе метадеректерге сүйенеді: кім кіммен сөйлеседі, жиіліктер, бағыттар, SNI және TLS сеанстарының параметрлері. Бұл C2, сканерлеу немесе серверден тысқа шыққан күдікті байланыстарды анықтауға жеткілікті болуы мүмкін. Бірақ сұраулардың мазмұнын түсіну үшін TLS-инспекция немесе басқа расшифровка әдістері қажет, бұл пилот критерийлерінде ашық жазылуы тиіс.
Бюджетті қалай есептеу керек және неге SOC уақыты көбінесе лицензиядан қымбат?
Толық меншік құнын қараңыз: лицензиондық төлемдерден бөлек есептеу, сақтау, сенсорлар, енгізу жұмыстары, интеграциялар және ең бастысы — аналитиктердің уақыты. Тіпті аздап алерттер санының өсуі аналитиктердің уақытын қымбаттатып, шығындарға әкелуі мүмкін. Сондықтан пилотта тек дашбордтың әдемілігін емес, сигналды нақты әрекетке дейін жеткізу қанша уақыт алатынын бағалаңыз.
NDR-ді EDR және SIEM-пен қалай енгізу керек, алерттерге батып кетпеу үшін?
Алгоритм қарапайым: алерт NDR-ден қай жүйеге түседі, кім бірінші қарайды, кім блоктайды және нәтиже қайда жазылады. Жақсы байланыс — NDR желілік контекст береді, EDR нақты хостты оқшаулай алады, ал SIEM оқиғалар тізбегін құрастырады. Процесс болмаса, сигналдар интерфейсте «өледі» және тәуекел төмендемейді.
Интегратор арқылы пилот жасауға бола ма және жауапкершілікті қалай бөлу керек?
Иә, интегратормен пилот жасауға болады, бірақ рөлдерді алдын ала бөлу маңызды: сіз желі инфраструктурасына және жүйе иелеріне қолжетімділік бересіз, интегратор — қосу нүктелерін жобалап, детектілер мен интеграцияларды орнатады және командаға оқытады. Кім SPAN/TAP сапасына жауапты, кім жалған алерттерді қарайды және жұмыс уақытынан тыс қандай деңгейдегі қолдау бар — бәрін пилот жоспарына енгізіңіз. GSE.kz-пен жұмыс істесеңіз, бұл шекараларды алдын ала рәсімдеу ұсынылады, онда бірінші апта келісімдерге кетпесін.