2025 ж. 20 мау.·7 мин

SIEM-ке журнал көздері: бірінші кезекте не қосу керек

SIEM-ге журнал көздерін қайдан бастау керек: тергеуге пайдалы приоритеттер, жылдам нәтижелер және оқиғаларды базалық нормализациялау.

SIEM-ке журнал көздері: бірінші кезекте не қосу керек

SIEM-тің міндеті: барлық журналдарды жинау емес, тез пайдалы нәтижеге жеткізу

Көп ұйым SIEM-ді «барлығын жұтатын» жүйе ретінде қарастыруға құлшынып, кейін шумға және шығындарға душар болады. Практикада жұмыс әдісі басқа: құндылықтан бастау. Қай журналдар ең жылдам шабуылды байқатады және тергеуге жауап береді, инцидентке дейін әрекет етуге мүмкіндік береді.

Приоритет әрқашан керек: уақыт, адамдар және лицензиялар шектеулі. «Ыңғайлы» журналдардан (мысалы, қосымша қолданбалар) бастап жіберсеңіз, SIEM оқиғаларға толып, негізгі сұрақтарға жауап бермейді: кім кірген, шабуыл қайдан келді, не өзгертілді, не ұрлап кеткен болуы мүмкін.

Бастамас бұрын келіскен дұрыс бірнеше базалық ереже жұмыстарды шексіз жобаға айналдырмауға көмектеседі:

  • Алдымен қандай 3–5 сценарийді табуды қалайсыз: фишинг, парольді күшпен іздеу, рұқсатсыз админ әрекеттері.
  • Қай жүйелер ең маңызды: аккаунттар, пошта, периметр, серверлер, жұмыс станциялары.
  • Реттеулер мен сақтау мерзімдері бойынша талаптар қандай.
  • Алерттерді кім қарап шығады және эскалация қандай тәртіппен жүреді.
  • Қандай ресурстар бар: нормализация мен көздерді қолдау үшін кім жауап береді.

2–4 апта ішінде жақсы нәтиже «50 жүйені қостық» емес, алғашқы жұмыс істейтін детекциялар мен түсінікті есептер сияқты көрінеді: күдік тудыратын географиядан кірістер, қатарлы табыcсыз логиндер, админ құралдарын іске қосу, топтар мен рұқсаттарды өзгерту. Мысалы, жұмыс станциялары мен серверлер бар ұйымда (соның ішінде GSE деңгейіндегі жабдық) сіз «аккаунт — құрылғы — сервер — желі оқиғасы» тізбегін байлап, не болғанын және ары қарай қайда іздеу керектігін тез анықтай аласыз.

Қай көздерді қалай бағалау: қарапайым бағалау критерийлері

Журнал көздерін «оңай қосуға болатынына» қарай емес, «қайсысы тез жауап береді және не істеу керек деген сұрақтарға жауап береді» деген принциппен таңдау керек. Әксінше SIEM қымбат архивке айналады, анықтаушы және тергеуші құралға емес.

10 минуттық жылдам бағалау

Әр кандидатты қарап шығып, 1–5 шкала бойынша бағалар қойыңыз. Бұл бағалауды тек инженер ғана емес, кейінгі тергеуді жүргізетін адам да жасай алуы маңызды.

Көбіне бес критерий жеткілікті:

  • Маңызды активтер мен аккаунттармен байланысы: домен, пошта, VPN, админ рұқсаттар, негізгі серверлер.
  • Деректерге сенім: жоғалулар жоқ па, уақыт таңбалары сәйкес пе, жеткізу «құлап» кетпей ме.
  • Тергеуге пайдасы: кім әрекет еткен, қайдан кірген, не жасаған және қалай аяқталғаны көрінеді ме (успех, қате, тосқауыл).
  • Иелену құны: лицензиялар, сақтау, SIEM-ге жүктеме, өрістерді талдау және парсингті қолдау уақыты.
  • Енгізу күштері: қолжетімділік, агенттер, келісімдер, өндірістік өзгерістер.

Келесі қадам — «құндылық vs күрделілік» матрицасы.

  • Жоғары құндылық + төмен күрделілік: бірінші қосыңыз. Бұл тез детекциялар мен түсінікті тергеулер береді.
  • Жоғары құндылық + жоғары күрделілік: келесі қадамға жоспарлаңыз, бәрін алдын-ала бекітіңіз.
  • Төмен құндылық + жоғары күрделілік: көбіне кейінге қалдыру тиімді.

Мысал: жұмыс станциялары журналдары (көп және күрделі) мен AD/VPN-аутентификация журналдарының (әдетте оңай және тез жауап беретін) таңдауында бірінші зерттеулер үшін адтентификация журналдары жиі жеңіске жетеді: олар аккаунттың компрометациясын және қимылды тез көрсетеді.

Алғашқы көздер, олар жиі ең көп пайда әкеледі

Егер сіз «жылдам жауап беретін» көздерден бастасаңыз, пайдаланушының кіруін, кодтың іске қосылуын және желі шығысын көретін жүйелерден бастаңыз. Бұл шабуылдарды анықтау және тергеу үшін базалық үшбұрыш.

Көп ұйымда алғашқы апталарда ең үлкен әсер береді:

  • Аккаунт каталогы (Active Directory немесе Entra ID): табысты/табыcсыз кірістер, бұғаттаулар, құпиясөзді қалпына келтіру, топтар мен рұқсаттарды өзгерту.
  • EDR немесе антивирус: срабатывания, процестер, командалық жолдар, файлдардың жасалуы, қорғанысты өшіруге әрекеттер.
  • Қоршау firewall немесе UTM: рұқсат етілген және блокталған сессиялар, NAT, шектелген категорияларға түсу, сигнатуралардың срабатыванні.
  • VPN және басқа қашықтан қатынау құралдары: кім қосылды, қайдан, қаншалықты табысты, сессия ұзақтығы, құрылғы ауысымы.
  • Пошта және пошта қорғанысы: фишингтік хаттар, күдік тудыратын тіркемелер, сілтемелер бойынша өту, шлюз деңгейіндегі блоктаулар.

Неліктен дәл осы: AD немесе Entra ID «кім болды» деген сұраққа тез жауап береді және рұқсаттардың қалай өзгергенін көрсетеді. EDR хостта «не іске қосылғанын» түсінуге көмектеседі және шынайы белсенділікті жалған кірістен ажыратады. Firewall, VPN және пошта контекст береді: шабуыл қайдан басталған, қолданушы қайда шыққан, барлық әрекет қай арналар арқылы өткен.

Жай мысал: қызметкер парольді фишинг парақшасына енгізді. Пошта журналында хат пен сілтеме, VPN немесе Entra ID-де — таңсық аймақтан кіріс, AD-де — аккаунттың привилегияға қосылуы, EDR-де — PowerShell іске қосылуы және архивтер жасалуын көруге болады. Күрделі ережелерсіз-ақ бұл тізбек бойынша тез әрекет етуге болады.

Екінші эшелон: базалық жинақтан кейін не қосу керек

Базалық көздер алғашқы детекцияларды беріп жатқанда, картинаны кеңейтуге болады. Бұл журналдар әдетте «шулы» емес, бірақ олар пайдаланушы немесе хост қайда барғанын және не болғанын анықтауға көмектеседі.

DNS: домендер бойынша ең жылдам із

DNS жиі компрометация белгілеріне апаратын қысқа жол болады: командалық серверлермен (C2) байланыс, сирек домендер, күдікті TLD-тер, ұзын сұраныстар арқылы туннелдеу әрекеттері. Контент талдамас бұрын сұраныс фактісі мен жиілігі іздеуді қатты тарылтады.

Proxy немесе Secure Web Gateway: веб контекст

Егер компанияда прокси немесе веб-шлюз болса, ол келесі мәліметтерді қосады: қандай URL ашылған, не жүктелген, сайт қандай категорияға жатқызылған, саясат бойынша блоктаулар бар ма. Тергеуде бұл жиі «күмәнді әрекет» тізбегін түсінікті жолға айналдырады: фишинг -> өту -> файлды жүктеу.

DNS және proxy-дан кейін логикалық түрде келесі байланыстарды қосады:

  • DHCP, уақыт бойынша IP-ды нақты құрылғымен сәйкестендіру үшін.
  • Веб-серверлер мен қосымшалар серверлерін, қателіктер мен күдікті сұрауларды көру үшін.
  • Бұлттық журналдар (мысалы, Microsoft 365 және IaaS), әкімшілер әрекетін, деректерге қолжетімдігін және таңсық аймақтардан кірістерді бақылау үшін.

Қысқа мысал: SOC ноутбукта күдік тудыратын процесс тапты. DHCP арқылы қандай уақытта қандай IP бекітілгенін табамыз. DNS сирек домен көрсетеді, ал прокси процесс іске қосылмас бұрын архив жүктелгенін растайды. Одан кейін M365-те жаңа аймақтан почтаға кіріс пен форвардинг ережесі байқалады. Осындай байланысты табу жиі бірнеше сағатты үнемдейді.

Тергеулер үшін қай көздер ең пайдалы: жауаптарды қай жерден табасыз

Инцидент орын алған кезде ең маңызды үш сұраққа тез жауап беру: кім істеді, нені істеді және нақты зиян қандай болды. Сондықтан тергеуде өте «дыбысты» журналдардан гөрі, қаржы, деректер және рұқсаттар айналатын жүйелердегі әрекеттер көрінетін көздер бағаланады.

Бизнес жүйелері мен деректер қорлары

ERP/CRM жүйелерінде клиенттер, келісімшарттар, шоттар мен экспорттар бойынша не болғанын көруге болады. Күдік белгілері: бір қолданушы арқылы жаппай операциялар, қалыпқа сай емес қайтарулар, жазбаларды жою, үлкен көлемдегі экспорттар түнгі уақытта.

Деректер қорлары дәлдігін қосады: табысты/табыcсыз логиндер, рұқсаттар берілуі, ауыр сұрау орындаулар, экспорт командалары. Мәліметті жою немесе ұрлау тергеуінде бұл жиі шешуші болады: кім қол жеткізді, қай кестелерге сұрау жасады және қалай деректер сыртқа шығарылды.

Алдымен ізденетін минималды оқиғалар:

  • кіріс/шығыс және қателік себебі
  • рөлдер мен рұқсаттарды өзгерту
  • экспорт/жүктеу операциялары
  • жаппай өзгертулер немесе жоюлар
  • әкімшілік әрекеттер (пайдаланушы жасау, баптауларды өзгерту)

Инфрақұрылым, резервтік көшірме және физикалық қолжетімділік

Желілік жабдықтарда (коммутаторлар, маршрутизаторлар) конфигурация өзгерістері мен админ қолжетімділігі маңызды. Шабуыл жиі «жағдайды жөндеді» белгілерін қалдырады: жаңа ережелер, айналма маршруттар, қашықтан қол жетімділіктің қосылуы.

Резервтік жүйелерден журналдар іздерді жою әрекетін көрсетеді: қалпына келтіру нүктелерін жою, тапсырмалардың сәтсіздігі, сақтау саясатын өзгерту. Қолжету жүйелері (СКУД) «адам ғимаратта болды ма» деген гипотезаны тексеруге және корреляция жасауға көмектеседі: мысалы, түнде сервер бөлмесіне кіру және дәл сол сәтте критикалық жүйеде админ әрекеттер.

SIEM «көретін» болу үшін міндетті минималды нормализация

Жобаларға арналған GSE жабдығы
Мемлекеттік және бизнестік жобаларға арналған отандық GSE жабдығын таңдаймыз.
Тапсырыс бастау

Ең жақсы көздер де әртүрлі форматта және атаулармен оқиғалар келгенде тез шуға айналады. Нормализация — бұл «деректер әдемі болу үшін» емес, Windows, VPN, пошта және сервер үшін ережелер бірдей жұмыс істеуі және тергеу қолмен сәйкестендіруге тірелмес үшін қажет.

Алғашында біркелкі ету керек минимумы (ең аз дегенде негізгі көздер үшін):

  • оқиға уақыты (UTC немесе айқын уақыт белдеуімен)
  • оқиға болған хост немесе құрылғы
  • қолданушы (кім әрекет етті)
  • әрекет пен нәтижесі (табыс/қате)
  • қатысқан объект (файл, процесс, аккаунт, саясат, ереже)

Көбіне қолданушы идентификациясы «сүйреу» жасайды. Бір журналда бұл UPN, екіншісінде sAMAccountName, үшіншісінде тек доменсіз атау болуы мүмкін. Бастапта қалай сақтау керегін шешіңіз: домен және логин үшін бөлек өрістер және каноникалық мән. Қызметтік аккаунттар мен қосымшалар аккаунттарын бөлек белгілеңіз, осылайша жалған күдіктерге уақыт жоғалтпайсыз.

Хосттар бойынша да ұқсас жағдай: FQDN, қысқа атау, сериялық нөмір, asset ID. Бір негізгі өріс (мысалы, asset_id немесе fqdn) және критичтілік атрибуты (жеке деректері бар сервер, бухгалтердің жұмыс станциясы т.с.с.) пайдалы.

Тағы бір жиі мәселе — «IP-дің артында кім тұр». IP–құрылғы–қолданушы байланысы болмаса, VPN, DHCP және NAT бойынша детекциялар мәнсіз болады. DHCP ареналары, VPN сессиялары және NAT жазбаларын уақыт бойынша сақтаңыз, сол арқылы нақты кім осы мекенжайды қолданғанын қайта қалпына келтіруге болады.

Және уақыт бөлек тақырып: NTP-ны негізгі жүйелерде тексеріп, уақыт белдеулерін ескеріп, лог жеткізудің кешігуін тіркеңіз. Әйтпесе «шабуыл басталғаннан кейін аяқталған» сияқты жағдайлар пайда болып, корреляциялар нақты инциденттерді өткізіп жібереді.

Журналдарды қосу бойынша қадамдық жоспар: инвентардан алғашқы ережелерге дейін

SIEM-ді жылдам іске қосу «бәрін қосу» емес, тәртіп пен келісімге байланысты: алғашқы көздерді таңдап, жеткізуді сенімді етіп, негізгі өрістер бойынша келісім жасаңыз. Сонда алғашқы детекциялар апталарда пайда болады, ал тоқырау кварталдарды қажет етпейді.

Барлығына сай келетін жоспар:

  1. Инвентарь жасап, приоритеттерді анықтаңыз. Аутентификациясы бар жүйелер, периметр, соңғы нүктелер және критикалық қосымшалар тізімін жинаңыз. 5–7 көзді тәуекелге әсері, көп қолданушылар/хосттарды қамтуы, «кім, қайдан, не істеді» деген сұрақтарға жауап беруі және қазірден қолжетімді болуына қарай таңдаңыз.

  2. Жөнелту әдісі мен иесін анықтаңыз. Әр көз үшін оқиғаларды қалай жібере алатынын (агент, syslog, API), үзілгенде қандай буфер болатынын және кім жаңартуларға жауапты екенін шешіңіз. Көп жағдайда дәл осы қадамда: журналдар бар, бірақ желі немесе құқықтар дайын емес екенін байқауға болады.

  3. Қажетті аудитті қосып, толықтықты тексеріңіз. Тергеулер үшін нақты не жинап жатқаныңызды тексеріңіз: кірістер мен қателер, рұқсат өзгерістері, админ әрекеттер, периметрдегі блоктаулар. Сол кезде күтпеген оқиға ағынын бағалаңыз, SIEM «сіңіп кетпесін» болдырмаңыз.

  4. Парсинг пен минималды нормализацияны баптаңыз. Уақыт (уақыт белдеуімен), қолданушы, хост, қайнар және мақсат IP, әрекет (табыс/қате), объект сияқты өрістер бойынша біртекті нейминг пен толтыруға келісіңіз. Қарапайым нормализация іздеу мен корреляцияны қатты жеделдетеді.

  5. Валидация жасап, алғашқы ережелерді іске қосыңыз. Көп детекция жазарда емес, сапаны тексеріңіз:

  • тест оқиғалары жіберіліп, SIEM-де көрініп тұр ма
  • уақыт бастапқы жүйемен сәйкес пе
  • шығындар пика кезінде жоқ па
  • негізгі өрістер дұрыс парсингтелген бе
  • оқиға бойынша бастапқы журналды тез табуға бола ма

Мысал: AD/LDAP, VPN, firewall және EDR қосылғанын есептеңіз. Алғашқы ережені «күрделі» емес, пайдалы етіп жасаңыз: VPN-да көп табыcсыз кірістер, кейін жаңа IP-дан табысты кіріс, содан кейін жұмыс станциясында PowerShell іске қосылуы. Аптасына 1–2 ереже қосып, парсингті түзеп, ерекшеліктерді анықтап отыру — алерттер сирек, бірақ дәл болуына көмектеседі.

Қай детекциялар және тергеулер бірінші жұмыс істейді

Сіздің жүктеме үшін ресурстарды есептеу
EPS, retention және есеп талаптары бойынша қуатты есептеп береміз.
Ресурстарды есептеу

Алғашқы пайдалы детекциялар жиі «кім кірген, қайдан, не іске қосылды, қайда трафик шықты» тізбегі пайда болған жерлерде жұмыс істейді. Құндылықты беретін көздер бір-бірімен оңай байланысып, негізгі тергеу сұрақтарына минуттар ішінде жауап береді.

Тез іске қосылатын сценарийлер

AD (аутентификация), VPN/қашықтан қолжетім және EDR (хосттағы әрекеттер) болғанда келесі кейстер тез жұмыс істей бастайды:

  • Кіру тізбектері: VPN арқылы қосылғаннан кейін AD-де табысты кіріс, сосын PowerShell, cmd немесе белгісіз процесс іске қосылуы.
  • Парольді шамадан тыс іздеу: AD және/немесе VPN-де қатарлы табыcсыз кірістер, firewall арқылы расталған (бір IP-дан көп әрекет, таңсық ел, қателіктер санының күрт өсуі).
  • Фишинг: поштада хат пен тіркеме/сілтеме, proxy/web-шлюз арқылы өту, кейін файл іске қосылған және EDR бойынша желілік байланыстар шыққанын көру.
  • Күдік тудыратын админ өзгерістері: AD-де қолданушыны привилегиялы топқа қосу, серверде қашықтан қолжетімділік қосу, желілік жабдықтың конфигурациясын өзгерту.
  • DNS + firewall байланысы: DNS-та жаңа домен, содан кейін хосттан сирек адреске немесе стандарттан тыс портқа шығыс қосылу.

Тергеуді жеделдететін нәрселер

«Идеал» ережелер болмаса да, төмендегілер тез жауап беруге көмектеседі: бұл оқиға бір ме әлде бірнеше ме, кіріс қайдан болған және қандай хосттар зардап шеккен. Мысалы, қызметкер түнде VPN арқылы қосылып, минут ішінде AD-де кіріс жасады, содан кейін EDR PowerShell іске қосқанын көрсетті — бұл жиі хостты оқшаулап, аккаунтты тексеруге жеткілікті болады.

Осы кейстер жұмыс істеуі үшін кем дегенде қолданушы, хост, IP, оқиға нәтижесі (табыс/қате) және әрекет түрін (кіру, процесс іске қосу, желілік байланыс) біріздендіріп алыңыз. Олай болмаса корреляция бөлшектерде үзіліп қалады.

Көздерді қосқанда жиі жасалатын қателіктер

Ең өкініштісі: көздерді қосты, индикаторлар «жанған», бірақ пайда жоқ. Көбіне мәселе SIEM-де емес, бастапқы деректер мен базалық баптауларда.

Оқиғаларды пайдасыз етіп жіберетін қателіктер

Бірінші қате — жинауды қосты, бірақ көзде қажетті аудит категорияларын қоспаған. Мысалы, серверлерден тек «табысты кірістер» келеді, ал табыcсыз әрекеттер, рұқсат жоғарылату, қызметтер мен тапсырмалардың іске қосылуы жоқ. Нәтижесінде тергеу детальға тіреледі: оқиға бар, бірақ мағынасы жоқ.

Екінші проблема — уақыт. Егер NTP орнатылмаса, оқиғалар минуттар мен сағаттарға «секіріп» тұрады, корреляция бұзылады. Сіз шабуыл тізбегін қате тәртіпте көріп, жоқ байланыстарды іздеуге уақыт жоғалтасыз.

Үшінші қате — күрделі корреляцияны тым ерте құру. Егер өрістер нормализацияланбаған, қолданушы атаулары әртүрлі жазылған және IP/хосттар әр жерде әртүрлі көрінсе, күрделі логика шу генераторы болады. Алдымен өрістер тұрақты әрі толық болсын.

Тағы бірнеше жиі қатерлер:

  • NAT пен VPN ескерілмеді: сыртқы IP көрініп тұрады, ал нақты қолданушы белгісіз.
  • Қызметтік аккаунттар мен әкімшілердің «нормальді» белсенділігі бөлек алынбаған: ережелер үнемі срабатывает етеді.
  • Бірдей аттар форматталмаған: user, host бір объектіні түрлі түрде көрсетеді.
  • Көздің көлемі бағаланбаған: маңызды оқиғалар «сөйлесуден» тоналып кетеді.
  • Жеткізу бақылауы орнатылмаған: жоғалтулар тек инцидент кезінде байқалады.

Тюнинг бөлек маңызды. Ретсіз бапталған ережелер аналитиктерді алерттерді елемеуге үйретеді және SIEM түпкілікті «көрмейтін» жүйеге айналу қаупі бар.

Жай мысал: VPN-да күдік тудыратын кіріс, кейін серверде PowerShell іске қосылуы және файлдық шарға қолжетімділік. Егер VPN және сервер уақыты сәйкес келмесе, ал NAT IP-ды қолданушымен байланыстырмаса, тізбек құрыла алмай қалады және тергеу бірінші қадамда тұра береді.

Қысқа чек-лист: іске қосуға және тұрақты жұмысқа дайындық

Көздерді бірден көптеп қоспас бұрын негізгі шарттарды тексеріңіз. Олар скучно көрінгенімен, дәл осы шарттар көбінесе детекциялар мен тергеуді бұзады: уақыт, жауапкершілік, жоғалтуды бақылау және бірізді анықтамалар.

Ұйымдастыру және көздердің иелігі

Әр критикалық қызметтің анық бір иесі және келісімшарттық контакт болуы керек. Әйтпесе қолжетім, формат өзгерістері және «бұл біздің жүйе емес» деген сұрақтар тез пайда болады.

  • Негізгі жүйелер (AD, VPN, пошта, EDR, межсетевой экран, прокси) тізімі жасалынған және иелері тағайындалған.
  • Әр көз үшін белгіленген: жеткізу әдісі (агент/syslog/API), күтілетін формат, қолжетімге жауапты және ақау кезінде жөндейтін адам.
  • Өзгерістер ережесі бар: журналдауға әсер ететін жаңартулар SIEM командасымен алдын ала келісілуі тиіс.

SIEM-нің қателіктеріне әкелетін техникалық нәрселер

Уақыт пен журнал жоғалтулары оқиғалар тізбегінде «тесіктер» тудырып, жалған корреляцияға алып келеді. Бұл шабуылдың алғашқы минуттарын іздегенде аса маңызды.

  • Негізгі жүйелерде NTP және уақыт белдеулері тексерілген, уақыт SIEM-мен сәйкестендірілген.
  • Нормализацияның минималды жиынтығы (кім, қайдан, не істеді, нәтиже) және қолданушылар мен хосттар анықтамалығы енгізілген.
  • Жоғалтуды бақылау орнатылған: ағымның құлдырауы, көлемнің кенет өзгерістері, жеткізу кезегі бойынша ескертулер.
  • Алерттермен жұмыс тәртібі келісілген: триаж кім жасайды, жауап мерзімдері қандай, тюнинг үшін кері байланыс қалай тіркеледі.

Осы минимум орындалса, жаңа көздерді қосу болжамды болады, ал алғашқы тергеулер қайтадан жасалатын үрдіске айналады.

Қарапайым сценарий: журналдар арқылы шабуыл картасын қалай жинауға болады

SIEM-ді «бастан-аяқ» енгізу
AD, VPN, EDR және периметрмен интеграцияларды жобалап, енгіземіз.
Жоба талқылау

Қызметкер түнде VPN-ға қосылмағанын айтады, бірақ поштада күдік тудыратын әрекеттер байқалған — осындай кейс қандай көздер шынайы көмектесетінін көрсетеді.

Жағдай: аккаунттың компрометациясы мүмкін

Алдымен кіру нүктесін анықтаймыз. VPN журналдарында пайдаланушының сессиясы көрінеді: уақыт, сыртқы IP, аутентификация нәтижесі, берілген ішкі адрес және құрылғы идентификаторы немесе сертификат болса ол да көрсетіледі.

Содан кейін уақыт бойынша тізбекті жинаймыз, бәрін бірден қамтамассыз етуге тырыспаңыз:

  • Кіру фактісі мен түрін растаймыз: VPN (табыc/қате, MFA бар/жоқ, ел/ASN мүмкін болса).
  • AD жазбаларын тексереміз: интерактивті кіріс, Kerberos/NTLM, бұғаттаулар, пароль ауыстыру, топқа қосу.
  • Поштаны қараймыз: пошталық жәшікке кіріс, форвардинг ережелері, тіркеме немесе сілтеме, файлды жүктеу.
  • Құрылғы бойынша: EDR ашылған тіркемеден кейін қандай процесс іске қосылғанын көрсетеді (мысалы, офис қолданбасы -> скрипт -> командалық жол).
  • IP -> қолданушы -> құрылғы маршрутын қалпына келтіреміз: VPN ішкі IP берді, DHCP оны MAC пен хостқа байлады, NAT/proxy сыртқы сұрауларды қайсы хост жасағанын көрсетті.

Растау немесе теріске шығару үшін не керек

Түйінді дәлелдер қарапайым өрістерден құралады: кіріс нәтижесі (success/fail), әдісі (MFA-пен/жоқ), қолданушының рұқсат деңгейі және нақты әрекеттер. Егер AD-де біреу привилегиялы топқа қосылғаны байқалса, ал EDR-де жаңа сервис жасау немесе PowerShell іске қосылғаны көрінсе, бұл жай «бұлыңғыр кіріс» емес.

Бұл сценарий екі нәрсені көрсетеді. Біріншіден: VPN, AD, пошта және EDR маңызды — кіріс, тұлға, әрекет және салдары туралы ақпарат береді. Екіншіден: DHCP/NAT болмаса IP артындағы нақты адам тез жоғалады, және тергеу болжамға айналады.

Келесі қадамдар: нәтиже бекіту және SIEM-ді масштабтау

Негізгі көздер қосылғаннан және алғашқы ережелер пайдалы нәтиже бере бастағанда процесті бекіту маңызды: келесі қандай көздерді қосасыз, деректерді қалай сақтайсыз, кім жауап береді және ережелерді қаншалықты жиі қайта қарастырасыз. Мұның болмағаны SIEM-нің маңызын тез жояды.

90 күнге арналған жол картасы — фокус пен нәтижеге бағдар береді, «бәрін жинау» тұйық цикліне түсірмейді.

90 күндік жол картасы

Жоспарды қарапайым блоктармен бекітіңіз:

  • Қосымша көздер мен приоритеттер: келесі қандай көздерді қосасыз және олар қандай тергеу сұрақтарын жауып береді.
  • Нормализация: міндетті өрістер (кім, қайда, не істеді, нәтиже), қай оқиғаларды біріздендіресіз, қай жерлерде олқылық бар.
  • Ережелер мен есептер: қандай детекцияларды қосасыз, басшылық пен аудит үшін қандай есептер қажет, аптасына не тексересіз.
  • Эксплуатация: кім дежурит, инциденттер қалай өңделеді, разбор және эскалация бойынша SLA.
  • Тюнинг: шуды қалай азайтасыз (жоққа шығару, шектер, сенімді объектілер тізімі) және ережелер сапасын қалай растаңыз.

Сақтау және масштабтау

Кезең-кезеңде көлем мен жылдамдыққа соғысасыз. Күнделікті оқиға ағынын, пиковые жүктемелерді (мысалы, жаппай жаңарту) және сақтау мерзімдерін есептеңіз: не оперативтік іздеу үшін қажет, не кейінгі тергеулер үшін сақталуы керек. Сонымен қатар, қалай кеңейетініңізді шешіңіз: бұлттық сервистер, дерекқорлар, резервтік көшіру, желілік жабдықтарды өзгергеннен кейін қосу.

Соңында эксплуатацияны бекітіңіз: ережелер мен көздерді айына бір рет қайта қарау, нормализация сапасын бақылау, критикалық журналдардың шынымен келетінін тексеру.

Егер инфрақұрылым мен енгізуді «ключке» тапсыру керек болса, GSE.kz жүйелік интегратор ретінде көмектесе алады: SIEM жүктемесіне сәйкес платформа мен серверлерді таңдап, шешімді орналастырып, 24/7 қолдау ұйымдастырады.

FAQ

Какие логи подключать в SIEM в первую очередь, если времени мало?

Бастапқыда «кім кірді», «не іске қосылды» және «қақай бағытқа трафик шықты» деген сұрақтарға жауап беретін көздерден бастаңыз: - **AD/Entra ID**: табысты/табыссыз кірістер, бұғаттаулар, құпиясөздерді ауыстыру, топтар мен рұқсаттарды өзгерту. - **VPN/қашықтықтан қолжетімділік**: кім қосылды, қайдан, нәтиже, берілген ішкі IP, сессия ұзақтығы. - **EDR/антивирус**: процестер, командалық жолдар, файл жасау, қорғанысты өшіруге әрекеттер. - **Firewall/UTM**: рұқсат етілген/блокталған сессиялар, NAT, сигнатуралар/категориялар. - **Пошта және пошта қорғанысы**: фишинг, тіркемелер, сілтемелерге өту, шлюз деңгейіндегі блоктаулар. Көбіне осы жинақ оқиға тізбегін жинап, жедел әрекетке мүмкіндік береді.

Как быстро и понятно приоритизировать источники логов?

Әрбір көзді қысқа бағалаңыз: 1–5 шкала бойынша келесі 5 пунктті қарастырыңыз: - маңызды активтер мен аккаунттармен байланысы - деректерге сенім (қалқып қалулар жоқ па, уақыт таңбалары сәйкес пе) - тергеуге пайдасы (кім/қайдан/не істеді/нәтиже көрініп тұр ма) - иелену құны (лицензия, сақтау, SIEM жүктемесі) - енгізу күштері (қолжетім, агенттер, келісімдер) Содан кейін «құндығы vs күрделілік» матрицасын қолданыңыз: алдымен төмен күшпен жоғары әсер беретін көздер (әдетте AD/VPN/firewall/пошта) таңдалады.

Какие поля нужно нормализовать в первую очередь, чтобы SIEM не был «слепым»?

Ең қажетті минималды өрістер, болмаса ережелер мен іздеу жиі «жапырақтайды": - **уақыт** (UTC немесе айқын уақыт белдеуі) - **хост/құрылғы** (анық идентификатор) - **қолданушы** (және домен/логин үшін бөлек өрістер) - **әрекет + нәтиже** (success/fail/error) - **объект** (қандай файл/процесс/аккаунт/параметрге қатысы бар) - **IP қайнар/мақсат** (қажет болғанда) Осы өрістерді бірінші кезекте 3–5 негізгі көзге енгізіңіз — содан кейін ғана масштабтаңыз.

Что сделать перед подключением источников, чтобы не получить бесполезные события?

Алдымен жүйені тұрақтандырыңыз, әйтпесе «шумға» ақша жұмсайсыз: - қажетті аудит категорияларын қосыңыз (әсіресе **табыcсыз кірістер**, рұқсаттарды өзгерту, админ әрекеттер) - негізгі жүйелерде **NTP** пен уақыт белдеулерін тексеріңіз - парсингтің қолданушы/хост/IP/нәтиже алатынына сенімді болыңыз - жоғалтуларды бақылау орнатыңыз: тасымалдаудың үзілуі, кезек/буфер туралы ескерту Осыдан кейін ғана жаңа көздерді қосып, корреляцияларды күрделендіріңіз.

Что важнее для старта: логи рабочих станций или AD/VPN?

Алғашқы жағдайлар үшін көбіне аутентификация журналдары (AD/VPN/Entra ID) пайдалы, себебі олар аккаунттың компрометациясын және қимылды тез көрсетеді. Жұмыс станцияларының журналдары (EDR/Windows audit) маңызды, бірақ: - көлемі көп болады - шуды баптау қиынырақ - нормализацияға көбірек уақыт кетеді Тиімді компромисс — маңызды топтарға (админдар, бухгалтерия, серверлер) EDR енгізіп, қалған жұмыс станцияларын кезең-кезеңімен қамту.

Зачем в SIEM нужны DHCP/NAT, если уже есть firewall и VPN?

Себебі осысыз «сол IP артында кім тұрғанын» нақты анықтай алмайсыз. Тәжірибелік минимум: - **VPN-сессиялары** (кім, қашан, қай ішкі IP берілді) - **DHCP-ареналар** (қандай хост/MAC қандай уақытта IP ұстап тұрғаны) - **NAT журналы** (ішкі адрес қалай сыртқа шыққаны) Осы мәліметтерсіз периметр бойынша детекциялар болады, ал тергеу болжамдарға сүйенеді.

Через сколько времени реально получить пользу от SIEM после старта?

Нәтижеге емес, жүйенің қанша жүйені қосқанына қараңыз: - 3–5 жұмыс істейтін детекция бар (мысалы: brute force, таңсық аймақтан кіріс, күдік туғызатын PowerShell) - ескерту бойынша минуттарда «аккаунт → құрылғы → сервер/желі» тізбегін жинауға болады - есептер анық және қайталанатын болуы керек Көп жағдайда бұл 2–4 аптада қол жеткізіледі, егер көздер тізімі шектеліп, негізгі өрістер біріздендірілсе.

Какие детекции проще всего запустить первыми, чтобы было меньше ложных срабатываний?

Алғашқыда «жалақысы аз» бірақ мәні бар тізбектерді іске қосыңыз: - көп табыcсыз кіріс → кейін табысты кіріс (AD/VPN) - табысты кіріс → PowerShell/cmd/скрипт іске қосу (AD/VPN + EDR) - поштада сілтеме/тіркеме → proxy арқылы өту/жүктеу → процесс іске қосу (пошта + proxy + EDR) - AD-да привилегияға қосу + серверде админ әрекеттер (EDR/аудит) Ережелерді сирек, бірақ дәл етуге тырысыңыз: құрамдас аккаунттарды, сенімді объектілер тізімін және шекті мәндерді қолданыңыз.

Какие источники логов логично добавлять после базового набора?

Әдетте келесі қадам — оқиғаларды байланыстырып, контекст беретін көздер: - **DNS**: сирек домендер, мүмкін C2, сұрқылтайтын сұраныстар жиілігі - **Proxy/SWG**: қандай URL-дар ашылғаны, не жүктелгені, не блокталғаны - **құтқарылақ бұлттық журналдар** (мысалы, пошта және әкімші әрекеттері): кірістер, форвардинг ережелері, баптаулар өзгерістері - **веб-серверлер/қосымшалар**: кіру әрекеттері, қателіктер, күдікті сұраулар Негізгі көздер тұрақты болғанда ғана қосыңыз.

Как организовать работу с алертами, чтобы SIEM не превратился в шумный архив?

Екі қарапайым элемент қажет: **жауапкершілік** және **жұмыс тәртібі**. - кім триаж жасайтынын және әр журнал көзінің иесін анықтаңыз - критичтілік деңгейлері мен жауап беру мерзімдерін белгілеңіз (минимум «тез/күн ішінде») - баптау циклін орнатыңыз: апта сайын топ-алерттерді қарап, ерекшеліктер қосып, парсингті түзетіңіз Осылайша SIEM «шумды архивке» айналмай, нақты әрекетке жетелейді.