2025 ж. 25 жел.·7 мин

UEFI оқиғаларын журналдау: тергеулерге арналған минималды тізім

UEFI оқиғаларын журналдау жүктеу инциденттерін зерттеуге көмектеседі: Secure Boot, жүктеу тәртібінің өзгерісі, USB‑тен жүктеу әрекеттері және орталықтандырылған жинау.

UEFI оқиғаларын журналдау: тергеулерге арналған минималды тізім

Неліктен UEFI оқиғаларын журналдау керек

Компьютердің жүктелуі — операциялық жүйенің көптеген қорғанысын айналып өтуге пайдаланылуы мүмкін сәт. Қайбіреулер UEFI параметрлерін өзгертіп немесе сыртқы құрылғыдан жүктеуге тырысса, Windows-та әдеттегі журналдар мен ізі қалмауы мүмкін. Сондықтан UEFI деңгейіндегі оқиғалар қауіпсіздік пен тергеулер үшін маңызды: жүйе жүктелмей тұрып не болғанын хронология түрінде көрсетуге көмереді.

Прошивка деңгейінде көбінесе сенімді жүктеу тізбегін немесе жүктеу әдісін өзгертуге байланысты әрекеттер көрінеді: Secure Boot-ты қосу немесе өшіру, кілттерді өзгерту, Boot Order-ды өзгерту, USB немесе сыртқы диск арқылы жүктеу әрекеттері, желі арқылы (PXE) жүктеу, UEFI баптауларын қалпына келтіру, прошивканы жаңарту мен қолтаңба тексеру қателері.

Бұл жазбалар қауіпсіздік және аудит үшін маңызды сұрақтарға жауап береді: не өзгерді, қашан және қай құрылғыларда. Тікелей пайдаланушы аты болмаса да, оқиға нақты ПК-мен, уақытпен және физикалық қолжетімділікпен (өту/видеоқадағалау/ITSM өтініштері) байланыстырылуы мүмкін.

Практикалық мысал: бухгалтериядағы жұмыс орнында флешкадан утилитаны іске қосуға әрекет жасалды. Журналда бірнеше USB-тен жүктеу әрекеттері және Boot Order‑дың съемный құралға ауыстырылғаны көрінді. Бұл қай ПК-лар зақымданғанын, қашан басталғанын және жүктеу табысты болған ба — тексеруге жақсы старт береді.

Шектеулер де бар. Барлық платформалар журналды тікелей прошивкада сақтамайды және мұндай журналдар көлемі аз болып, тез қайта жазылуы мүмкін. Сондықтан UEFI оқиғаларын әдетте ОЖ‑нан (мысалы, Secure Boot оқиғалары) келетін деректермен және SIEM‑ге орталықтандырылған жіберумен толықтырады.

Оқиғалар қайдан келеді: UEFI және байланысты инфрақұрылым не бере алады

UEFI әдеттегі «оқиғалар журналы» сияқты барлық қолданушы әрекеттерін сақтамайды. Кейбір деректер прошивка баптауларында тұрады, белгілі бөліктері TPM‑де, ал кейбірі — жүктелгеннен кейін ОЖ журналдарында. Практикада бақылау бірнеше қайнар көзді жинаумен құрылады, олар бір-бірін толықтырады.

UEFI баптаулары құрылғының негізгі күйін көрсетеді: жүктеу тәртібі, USB және басқа сыртқы жүргізумен жүктеуге рұқсат, желілік жүктеудің қосылуы, Setup‑қа кіру және параметрлерді өзгертуге арналған парольдің бар-жоғы, прошивканы жаңарту фактілері. Дәл «кім және қашан» тарихы болмауы мүмкін, бірақ ағымдағы мәндерді ұдайы жазып отыру және өзгерістерді бақылау өзі-ақ көмектеседі.

Secure Boot жиі формальданған сигналдар береді: қосылған ба, қай кілттер мен сенім базасы қолданылады (PK/KEK және db/dbx), саясат бұзылған ба (мысалы, қолтаңбасы жоқ жүктеушіні іске қосуға әрекет). dbx (қара тізім) өзгерістерін бөлек бақылау пайдалы: олар жиі жаңартулармен келеді және үйлесімділікті бұзуы мүмкін.

TPM «өлшеулерді» (Measured Boot) қосады. Бұл жай жүктеу фактісі емес, компоненттер ауысқан кезде өзгеретін бақылау мәндерінің тізбегі. Егер модель мен ОЖ образына күтілетін мәндерден кенет айырмашылық болса, жүктеушіні, ранние жүктеу драйверлерін немесе прошивка баптауларын ауыстырмаған ба — соны тексеруге себеп бар.

Серверлерде бөлек қайнар көз — BMC. Ол пернетақтада отырған адамның әрекетінен тыс қашықтан жасалған басқару әрекеттерін тіркейді: виртуалды носительді қосу, Boot Order‑ды өзгерту, қашықтан қайта жүктеу, прошивканы жаңарту бастамалары.

Көбінесе көздер келесідей көрінеді:

  • UEFI/BIOS Setup: ағымдағы параметрлер мен критикалық баптаулардың өзгерістері
  • Secure Boot: күйі, кілттер мен db/dbx базалары, саясат бұзылуы
  • TPM: өлшеулер (Measured Boot) және күтілген мәндерден ауытқу
  • BMC (серверлер үшін): қашықтан әрекеттер, виртуалды носительдер, қуатты басқару

Мысал: ОЖ‑да көрінетін айқын із жоқ, бірақ BMC виртуалды ISO‑ны қосқанын және TPM жаңа өлшеу тізбегін көрсеткенін тіркеді. Бұлар бірге «кім басқарған», «не өзгерген» және «қашан құрылғы өзгерген» деген сұрақтарға жауап береді.

Минималды жиынтық: Secure Boot оқиғалары

Secure Boot көбіне жүктеуге әрекет болғанының ең ерте және пайдалы сигналын береді. Тергеп-тексеру үшін оның жай қосылғанын білу ғана емес, күй мен сенім деректеріндегі кез келген өзгерістерді көру маңызды. Бастау үшін үш сұраққа жауап беретін оқиғаларды жазып алыңыз: режим белсенді ме, сенім өзгертілді ме, жүктеу блокталды ма.

Төмендегі минимумды сақтау керек (уақытпен, құрылғымен және әкімші тіркелгісімен, егер ОЖ немесе басқару құралы арқылы көрініп тұрса):

  • Secure Boot статусының өзгерісі: қосылды, өшірілді, тексеру режимі өзгерді
  • Setup Mode‑қа өту және одан шығу, кілттердің зауыттық күйге қалпына келтірілуі
  • сенім базаларымен операциялар: PK, KEK, db, dbx‑тің қосылуы, жойылуы, жаңартылуы немесе оралуы
  • қолтаңба тексеруінің іске қосылуы: қолтаңбасы жоқ немесе өзгертілген жүктеушіні іске қосуға әрекет
  • dbx бойынша блоктаулар: компонент тыйым салынған тізімге түсті

Практикалық мысал: қызмет көрсету жұмыстарынан кейін қызметкердің жүйесі «кездейсоқ» жүктелмей қалса — оқиғаларда dbx жаңартылып, содан кейін қолтаңба бойынша блоктаулар басталғаны көрінсе, бұл штаттық қауіпсіздік қатары болуы мүмкін. Ал алдын ала Setup Mode‑қа өтіп, кілттерді тазалау байқалса — бұл сенім бақылауын жоюға бағытталған араласу болуы ықтимал.

Формат туралы келісіп алыңыз. «Бұрын/кейін» мәнін (мысалы, Secure Boot On → Off), оқиға идентификаторын, прошивка нұсқасын және дереккөзін (UEFI/ОЖ/басқару консольі) тіркеу пайдалы. Мұндай біртектілік хосттарды салыстыру мен жаппай өзгерістерді табуды жеңілдетеді.

Минималды жиынтық: жүктеу тәртібі және оның өзгерістері

Тергеп-тексерулер үшін жүктеу жолын өзгертуге талпыну туралы кез келген із маңызды. Алаяқ орнатқан болса да, приоритеттің өзгеруі немесе жаңа Boot Entry пайда болуы жүйенің неге оғаш әрекет еткені туралы түсінік береді.

Минимумға келесі оқиғаларды жинау кіруі тиіс:

  • BootOrder өзгерістері (бұрын қандай болды және қандай болды) және жаңа Boot Entry қосылғаны
  • ішкі диск, желі (PXE) және сыртқы құрылғылар арасындағы приоритеттің ауысуы
  • жүктеу көздерін қосу/өшірілуі (Network Boot/PXE, USB boot, оптикалық диск, Thunderbolt — платформаға байланысты)
  • Boot Override арқылы бір реттік жүктеу (уақытша басқа құрылғы таңдалды, бірақ тәртіп сақталмады)
  • UEFI/BIOS баптауларына кіру фактісі және параметрлерді өзгерту әрекеттері (егер платформа мұны жазса)

Неліктен бұл маңызды: алдау жасаушы көбіне бірден ОЖ‑ны бұзбай, алдымен басқа носительден жүктеуге тырысады. Әдеттегі сценарий — USB‑ке приоритет беру, флешкадан жүктеу, Secure Boot кедергісімен сәтсіздік, содан кейін қайта бұрынғы тәртіпке қайту. BootOrder өзгерісінің қысқа уақыт аралығы осындай әрекеттің бар екенін көрсетеді және физикалық қолжетімділік пен бейне/өту жазбаларын тексеруге себеп болады.

Қайдан іздеу: кейбір платформалар бұл өзгерістерді прошивка журналында жазады, кейбірі — келесі жүктеу кезінде ОЖ журналдарына тіркейді. Идеалды жағдайда өзгеріс фактісі мен «дұрыс/қате» мәндері орталықтан жиналуы тиіс, сонда оқиға диск қайта орнатылса немесе зақымдалса да жоғалмайды.

Минималды жиынтық: USB және сыртқы құрылғылардан жүктеу әрекеттері

USB және басқа сыртқы құрылғылардан жүктеу әрекеттері шынайы инциденттерде жиі кездеседі: қорғанысты айналып өту, деректерді рұқсатсыз көшіру немесе басқа ОЖ‑ны іске қосу мақсатында. Мұнда маңызды — тек табыс емес, әрекет фактісін тіркеу.

Жинайтын оқиғалардан анық болу керек: кім жүктеуді бастаған, қай құрылғыдан, және егер сәтсіз болса — неге сәтсіздікке ұшырағаны. Әдеттегі минимум:

  • сыртқы носительден (USB флеш, сыртқы SSD/HDD, USB-CD/DVD, SD) жүктеу әрекеті, құрылғы түрі және мүмкін болса идентификаторлары
  • әрекеттің нәтижесі: жүктеу басталды, тоқтатылды, құрылғы табылмады, таңдалған жүктеуші жоқ
  • Boot Menu арқылы бір реттік таңдау (boot override): мәзір шақырылды және қандай пункт таңдалды
  • бұғаттау себебі: Secure Boot тоқтатқан, қолтаңба жарамсыз, сыртқы жүктеуге тыйым саясаты
  • қайталанатын әрекеттер немесе қайта жүктеу циклдары, егер олар сыртқы жүктеуді іздеумен байланысты болса

Екі ұқсас жағдайды ажырату маңызды: (1) адам шынайы флешкадан жүктеуге тырысқан, немесе (2) жүйе орнатылған BootOrder бойынша сыртқы құрылғыларды біртіндеп тексерген. Егер журнал бұл сценарийлерді бөлмесе, Boot Menu шақыру және бір реттік таңдау оқиғалары жанында болу керек — онда картинка нақтырақ болады.

Мысал: түнде жұмыс ПК‑да Boot Menu шақырылып, USB таңдалып, кейін Secure Boot себепті бас тартып қойғаны тіркеленсе — сәтсіз жүктеу де физикалық қолжетімділікті тексеруге себеп болады.

Қосу қажет: прошивка, қалпына келтірулер және критикалық баптаулар

UEFI журналдарын дұрыс жинаңыз
Не журналдауды қажет ететінін айтыңыз — біз іске асыру жоспарын ұсынамыз.
Жоба туралы талқылау

Егер сіз Secure Boot пен жүктеу тәртібін жинай бастаған болсаңыз, келесі қадам — қорғауды айналып өтуге жиі қатысы бар және тергеуге маңызды оқиғалар. Олар сирек болады, бірақ маңызды.

Прошивка (BIOS/UEFI): жаңарту және оралу

Прошивканы жаңарту заңды болуы мүмкін (көрсетілген қызмет), бірақ бұл құрылғыға орнықтыру тәсілі де болуы ықтимал. Сондықтан фактіні ғана емес, контекстті де тіркеу керек.

Жазуға тұрарлық минимум:

  • жаңарту фактісі: сәтті / қате
  • қайдан келді: ОЖ арқылы, орнатқыш арқылы, қашықтан басқару арқылы (серверлер үшін)
  • бұрынғы және кейінгі нұсқа, құрылғы моделі
  • кім бастады (тіркелгі, оператор, басқару жүйесі) — егер қолжетімді болса
  • уақыт және себебі (тикет немесе жұмыстың терезесі — жүйеде мәтіндік өріс ретінде)

Қалпына келтірулер, паролдер және TPM

UEFI баптауларын зауыттық күйге қайтару және параметрлерді тазалау жиі бұрынғы шектеулерді жояды. Бұл әсіресе жұмыс станциялары мен критикалық сегменттерде ескертуге тұрарлық.

UEFI әкімші паролінің өзгеруі мен өзгерістерден қорғаныстың өшірілуін бақылаңыз. Егер пароль алынған немесе қорғаныс өшірілген болса, әдетте одан кейін BootOrder‑ды ауыстыру немесе сыртқы жүктеуді қосу орын алады.

TPM‑ге қатысты байқалатын оқиғаларды тіркеу пайдалы: тазалау, ажырату, жұмыс режимінің өзгеруі (егер платформа мұны журналда көрсетсе). TPM тазаланғаннан кейін BitLocker немесе корпоративті сертификаттармен проблемалар пайда болуы жиі кездеседі — бұл әрекеттер кездейсоқ емес екенін көрсететін дәлел бола алады.

Бұл оқиғаларды «прошивкадағы критикалық өзгерістер» бөлігі ретінде бөлек белгілеп, оларға жоғары басымдық беру ыңғайлы.

Қалай біртіндеп енгізуге болады, артық жүктемей

Практикалық ереже: тек үш сұраққа жауап беруге көмектесетін нәрселерді тіркеңіз — не өзгерді, кім орындады және қандай құрылғыда. Мұндай жиынтығын бірнеше жыл бойы қолдау үлкен, бірақ тұрақты емес жинаққа қарағанда оңайырақ.

Содан кейін қысқа итерациялармен қимылдаңыз:

  1. Минималды оқиғаларды таңдаңыз және олар сіздің паркде қай жерде бар екенін тексеріңіз. Кейбір модельдерде бұл прошивка жазбалары болады, кейбірінде — ОЖ оқиғалары (мысалы, Secure Boot туралы), тағы бірінде — тек басқару (BMC/IPMI) деректері бар.
  2. Негізгі қорғанысты бекітіңіз, әйтпесе журналдар тек мәселені растаудан басқа ештеңе бермейді. Көптеген жағдайда бұл UEFI‑ға кіру паролі, сыртқы жүктеуді болдырмау және Secure Boot саясатымен қамтамасыз ету жеткілікті.
  3. Жинауды қолмен тәуелді етпеңіз. Серверлер үшін BMC арқылы оқиғаларды алу ыңғайлы, жұмыс орындары үшін — корпоративтік басқару құралдары арқылы ОЖ оқиғаларын және конфигурация өзгерістерінің есептерін жинау.
  4. SIEM‑де қалай көрінетінін анықтаңыз: бірдей өріс атаулары (құрылғы, қолданушы/тіркелгі, уақыт, өзгеріс түрі) және қарапайым корреляциялар. Минимум — кім BootOrder‑ды өзгерткен, кім Secure Boot‑ты өшірген және USB‑тен жүктеу әрекеттері ОС‑қа кірер алдында болды ма.
  5. Оқиғалардың келуін үнемі тексеріп отырыңыз. Прошивканың жаңартылуы, аналық платаның алмасуы немесе жаңа ПК партиясы журналдардың мінезін өзгерте алады — бұл инцидент кезінде емес, алдын ала байқауды талап етеді.

Егер парк аралас болса (ПК, моноблок және серверлер), 1–2 типтік модельден бастап, жинауды тұрақтандыру және содан кейін қамтуды кеңейту оңайырақ.

Орталықтандырылған жинаудың нұсқалары және не таңдау керек

Критикалық узелдерге арналған инфрақұрылым
Сынған сегменттер мен дата-орталықтар үшін критикалық инфрақұрылымды жобалаймыз.
Архитектураны талқылау

Орталықтандырылған жинау оқиғалардың қайта орнатуға немесе дискінің бұзылуына қарамастан сақталуын және әртүрлі көздерді тез салыстыруды қамтамасыз етеді. UEFI оқиғаларын журналдау әдетте прошивкадан, жабдықтан және ОЖ‑дан «бөлшектерді» жинауды талап етеді.

Серверлерде ең ыңғайлы көз көбіне ОЖ‑дан тыс табылады: егер BMC немесе баламалы қашықтан басқару болса, оның оқиға журналы мен қашықтан әрекеттер тарихын пайдаланыңыз. Бұл қайта жүктеу уақытында не болғанын, кім қашықтан консольға кіргенін немесе орнатылған бейнені өзгерткенін көрсетеді.

Жұмыс орындарында және тікелей UEFI журналдары аз болса, прошивка конфигурациясының тұрақты инвентаризациясы жақсы жұмыс істейді. Белгілі бір кестемен параметрлердің (Secure Boot, Boot Order, сыртқы құрылғыларға тыйым) суреттерін жасап, солар арасындағы өзгерістерді іздеңіз. Осылай «тыныш» өзгерістерді де табуға болады.

Қайда мүмкін болса, TPM өлшеулерін қосыңыз: олар жүктеу тізбегінің тұтастығын растайды және нақты ауыстыруды жалған оятулардан ажыратуға көмектеседі — критикалық жүйелер үшін бұл өте пайдалы.

Артық жүктемей таңдау жасау үшін актив түрі мен тәуекел деңгейін қараңыз:

  • Серверлер: BMC журналы + UEFI суреттері, қажет болса TPM
  • Жұмыс орындары: ОЖ оқиғалары (жүктеу/қайта жүктеу, Secure Boot тексерістері) + UEFI суреттері
  • Критикалық сегменттер: жоғарыда көрсетілгендердің бәрі және жиі бақылау

SIEM‑ге деректер жіберерде біртектi өрiстер туралы келісіңіз, әйтпесе тергеулер әртүрлі журналдарда қалып қоюы мүмкін:

  • түйін (сериялық нөмір/инвентарлық ID/hostname)
  • дереккөз (UEFI/BMC/TPM/ОЖ)
  • кім бастады (пайдаланушы/әкімші/қашықтан сессия/белгісіз)
  • әрекет (өзгеріс, жүктеу әрекеті, қосу/өшiру)
  • нәтиже (сәтті/сәтсіз/саясатпен блокталған)

Егер бір «алғашқы қадамды» таңдау керек болса, көпте бұл ОЖ жағынан жинауды бастау болады (уақыт бойынша корреляция үшін) және UEFI‑нің негізгі параметрлерінің тұрақты суреттерін алу. Бұл жылдам нәтиже береді және тергеуде айқын дәлел жинауға мүмкіндік туғызады.

UEFI журналдау кезінде жиі кездесетін қателіктер

Негізгі қате — прошивкадан толық әрі ыңғайлы журнал күту. Көп платформада UEFI аз ақпарат жазады, жазбалар қысқа мерзімде қайта жазылады немесе бірнеше қайта жүктелуден кейін жоғалып кетеді. Нәтижесінде тергеу бос орынға ұшырайды, ал инцидент болғаны анықталмай қалуы мүмкін.

Көбінесе тек Secure Boot күйін тіркеп, сонымен шектеледі. Бірақ тергеуде динамика маңызды: инцидентке дейін не өзгерді, не жүктеуге тырысты — бұл үлкен рөл атқарады. BootOrder‑дың өзгерісі мен сыртқы құрылғылардан жүктеу әрекеттері болмаса, ең айқын белгілер жоғалады.

Не әдетте картинаны бұзады:

  • «күйді» жинау («Secure Boot қосылған») оқиғалар орнына: қашан және кім өзгертті — жоқ
  • BootOrder және бір реттік BootOverride, сондай-ақ USB‑тен жүктеу әрекеттері бақыланбайды
  • прошивка нұсқасы мен жаңарту тарихы сақталмайды — жаңа мінез-құлық жаңартудан кейін ме, әлде басқа әсерден бе — анық емес
  • құрылғылардағы уақыт айырмашылығы, жазбаларды жалғайтын ортақ таймлайн құру қиын
  • журналдар қысқа уақыт сақталады, және салыстыруға арналған базалық сызық жоқ

Жай мысал: офиске біреу USB‑тен жүктеп көріп, кейін BootOrder‑ды қайтарып қойған. Егер сіз тек «Secure Boot: enabled» статусың ғана жинасаңыз, бәрі таза көрінеді. Ал егер сізде күтілетін BootOrder, сыртқы жүктеу әрекеттері мен синхрондалған уақыттары болса, сіз ауытқуды анықтап, толық таймлайн жасай аласыз.

Қателіктер қайталанбауы үшін модельдер бойынша қысқаша базалық сызық пен минималды сақтау мерзімін бекітіп алыңыз — бұл сіздің типтік тергеулеріңізді жабатындай болсын.

Қысқа чек‑тізім ИБ және әкімшілерге

Бұл тізім UEFI деңгейіндегі негізгі тәуекелдердің жабық па және тергеулерге іздер қалдырылады ма — соны тез тексеруге көмектеседі. Егер бір пункт бойынша «сенімсіз» деп жауап берсеңіз, баптауларды және оларды растайтын журналдарды тексеріңіз.

  • Secure Boot қосулы және кілт базасы «қалпына келтірілген/Setup Mode» күйінде емес. Кілттермен жасалатын кез келген операция (тазалау, қосу, Setup режиміне көшіру) журналдарда көрінуі керек.
  • USB және басқа сыртқы құрылғылардан жүктеу әдепкі бойынша тыйым салынған. Егер ерекшеліктер болса (қызмет көрсету бригадалары үшін), олар рәсімделіп, әр әрекет тіркеледі.
  • BootOrder саясатқа сай: күтпеген жазбалар, қажетсіз желілік жүктеу және «уақытша» жүктеушілер болмауы керек. BootOrder өзгерістері аудитке түседі.
  • Прошивка нұсқасы (UEFI/BIOS) және соңғы жаңарту күні белгілі болуы тиіс. Кім және қашан жаңартқанын, оралу немесе баптаулардың қалпына келтіруі болған ба — түсінікті болуы керек.
  • Аудит бір ПК‑да ғана емес: прошивка және ОЖ‑дағы байланысты оқиғалар орталықтан (SIEM немесе журнал қоймасы) жиналуы және құрылғы/пайдаланушы бойынша іздеуге қолайлы болуы керек.

Практикалық тест: бір жұмыс ПК‑да жүктеу тәртібін өзгертіп, USB‑тен жүктеп көру арқылы «қызыл сценарийді» жасаңыз. Кейін орталықтан оқиға жазылғанын және тергеуге жарамды екенін тексеріңіз.

Тергеп-тексеру мысалы: жұмыс орнында USB‑тен жүктеу әрекеті

Парктің дайындық аудиті сұрау
Паркте Secure Boot, TPM және BootOrder өзгерістерінің қай жерде бар-жоғын тексереміз.
Аудит сұрастыру

Сценарий: жұмыс ПК‑да пайдаланушы жүктеу кезінде Boot Menu (мысалы, F12) батырмасын басып, USB‑ны таңдайды. Компьютер флешкадан Secure Boot себепті жүктелмейді немесе сыртқы жүктеу тыйым салынған. Қайта жүктеу сәтсіз болса да, әрекет із қалдыруы керек — әйтпесе қалыпты қателік пен дайындық арасын ажырату мүмкін емес.

Тергеп-тексеру әдетте уақыт сызығын құрудан басталады: әрекет қашан, қандай құрылғыда, Secure Boot қосулы ма және BootOrder өзгерді ме. Кейін бірнеше көзді салыстырады: ОЖ‑ның старт оқиғалары, прошивка өзгерістері, USB қосылу жазбалары және сервер ортасында — BMC оқиғалары.

Қателік пе, ниет пе — қалай анықтау

«Пайдаланушы қателігі» көбіне бір рет Boot Menu‑ны ашып, флешканы таңдап, жүйе қалыпты жүктеліп, баптаулар өзгермеген кезде көрінеді. Дайындыққа тән әрекет көбіне цикл тәрізді және қайталанатын қадамдардан тұрады.

Күтпеген белгілер:

  • әртүрлі сыртқы құрылғылардан бірнеше қатарлы жүктеу әрекеті
  • BootOrder‑дың өзгеруі немесе баптауда USB‑жүктеуді қосу
  • Secure Boot‑ты өшіру немесе Setup/Custom режиміне көшіру
  • қысқа аралықпен қайта жүктеп, UEFI/BIOS баптауларына кіру
  • жұмыс уақытынан тыс немесе бірнеше ПК‑да бір уақытта әрекет

Қандай деректерді жедел жинау және масштабты қалай бағалау

Дәлел базасы үшін ең аз жинау: нақты уақыт (синхрондалған), ПК идентификаторы (сериялық нөмір, инвентарлық ID, hostname), пайдаланушы немесе консольдық кіру, Secure Boot күйі, BootOrder өзгеріс фактісі және қосылған USB‑тың мүмкін идентификаторлары (VID/PID, сериялық нөмір — егер қолжетімді болса).

Масштабты бағалау үшін «біроқ па әлде үлгі ме?» деген сұрақтан бастаңыз. Соңғы 24–72 сағаттағы ұқсас оқиғаларды салыстырыңыз: алдымен бір ПК‑да, содан кейін бөлім бойынша және соңында бүкіл ғимарат бойымен. Егер бірнеше құрылғыда бірдей әрекеттер көрінсе, ортақ факторды іздеңіз: бір кабинет, бір жауапты тұлға, бір модель ПК немесе бір UEFI саясаты. Жұмыс орындарында SIEM‑де сыртқы жүктеу әрекеттері мен BootOrder өзгерістері бойынша сүзгі қою ыңғайлы.

Келесі қадамдар: саясатқа бекіту және жинауды ұйымдастыру

UEFI оқиғаларын журналдау тергеулерге нақты көмектесуі үшін екі нәрсені айқындау керек: тексерілетін саясат (қайсысы ауытқу саналады) және оқиғалардың тұрақты жинағы (қайда барып, кім қарайды). Бұларсыз дұрыс бапталған жүйе де біртекті ізге айналмауы мүмкін.

Алғашқыда минималды саясатты келісіңіз: Secure Boot қосулы болуы керек және ерекшеліктерсіз; USB‑тен жүктеу тыйым салынсын (немесе тек өтініш бойынша уақытша рұқсат); BootOrder өзгерістері мен бір реттік жүктеу әрекеттері тіркелсін және маңызды топтар үшін инцидент ретінде қаралсын. Бастапқыда кім өзгерте алатындығын және қалай рәсімделетінін анықтап алыңыз.

Содан кейін паркты типтер мен тәуекел бойынша бөліңіз. Жұмыс орындарында сыртқы жүктеуді және BootOrder өзгерістерін бақылау маңыздырақ. Серверлер мен критикалық жүйелерде жүктеу параметрлеріндегі кез келген өзгеріске қатаң реакция және целосттық тексерістері қосылады.

Практикалық енгізу жоспары:

  • негізгі талаптарды бекіту: Secure Boot, USB boot‑қа тыйым, BootOrder бақылауы
  • жұмыс орындары, серверлер және критикалық сегменттер үшін оқиға көздерін сипаттау
  • бірдей өрістер форматын (құрылғы, пайдаланушы, уақыт, нәтиже, тоқтатудың себебі) анықтау
  • шағын топта пилот жүргізіп, оқиғалардың келіп жатқанын және уақыт сызығын оңай жинауға болатынын тексеру
  • реакцияны бекіту: кім хабарлама алады, қандай мерзімде тексереді, қандай жағдай жалған сигнал саналады

Пилоттан кейін тұтастықты тексеріңіз: тесттік құрылғыда USB‑тен жүктеу, BootOrder‑ды өзгерту және Secure Boot‑ты өшіру арқылы сценари жасаңдар да, орталықта оқиғалардың толық жолын көріңіз.

Егер инфрақұрылым мемлекеттік секторға, қаржыға, медицинаға немесе білім беру саласына қатыст болса, аппараттық деңгейде және мониторинг интеграциясында қосымша талаптар болуы мүмкін. Мұндай жобаларда GSE.kz (gse.kz) жұмыс станциялары мен серверлерді ұсынып, біртекті бақылау мен оқиғаларды жинауды ұйымдастыра алады.