Как снизить нагрузку на SIEM и повысить практическую пользу от потоков Threat Intelligence

Как платформа Threat Intelligence помогает работе аналитика SOC.

Как платформа Threat Intelligence помогает работе аналитика SOC.

Изначально SIEM-системы были созданы как инструмент, позволяющий собирать информацию об ИБ-событиях внутри инфраструктуры и анализировать их при помощи внешних данных об известных киберугрозах. И долгое время они прекрасно справлялись со своими задачами. Однако с развитием как угроз, так и отрасли информационной безопасности на рынке появляются все новые потоки Threat Intelligence, да и структурно они значительно изменяются. Многим экспертам стало очевидно, что для эффективной работы SIEM-системы нужен новый инструмент, позволяющий ориентироваться в потоках Threat Intelligence.

Почему SIEM потребовался помощник?

На первый взгляд может казаться, что чем больше внешних данных о киберугрозах вы подключите к своей SIEM-системе, тем эффективнее она будет справляться со своими задачами. Но на самом деле это совсем не так. Во-первых, чем больше индикаторов обрабатывает система, тем больше алертов она генерирует. Даже если предположить, что среди них будет минимум ложноположительных (а от них никто не застрахован), аналитик не сможет оперативно ориентироваться в миллионах дублирующихся нотификаций и приоритизировать важные.

Во-вторых, существующие SIEM-системы просто не предназначены для работы с бесконечным количеством индикаторов — при подключении нескольких фидов значительно возрастает рабочая нагрузка на систему, что может негативно сказаться на уровне выявления инцидентов (Detection Rate). То же самое может случиться, если попробовать реализовать сценарий частых апдейтов потоков TI. Не то чтобы это было невозможно совсем, но производительность и уровень детектирования могут пострадать.

Кроме того, SIEM-система не подходит для тонкой работы с самими потоками Threat Intelligence — например, она не может сравнивать качество и Detection Rate фидов разных поставщиков и обрабатывать различные типы масок из фидов с индикаторами компрометации в виде URL, хостов или доменов. Если аналитику потребуется более глубокий контекст по какому-то индикатору, то ему придется воспользоваться дополнительным инструментом. И это несмотря на то, что требуемый контекст в фидах может и быть. Ну и не стоит забывать об экономическом факторе — у большинства SIEM-систем стоимость лицензии напрямую зависит от нагрузки: чем больше индикаторов она обрабатывает, тем больше нужно платить.

Чем может помочь Threat Intelligence Platform

В целом все вышеописанные недостатки SIEM-систем можно решить при помощи Threat Intelligence Platform. Но для начала это незаменимый инструмент, позволяющий ориентироваться во множестве фидов от разных поставщиков. То есть вы можете подключить несколько фидов (причем даже не обязательно в одном формате) и сравнить их по разным параметрам. Например, выявить пересечения индикаторов в разных фидах — это должно помочь как минимум выявить дублирующие потоки и, возможно, отказаться от некоторых из них. Сравнить фиды можно и по статистическим показателям детектирования. С учетом того что некоторые вендоры предлагают тестовый период пользования фидами, это может быть неплохим способом оценить их эффективность до покупки.

Также Threat Intelligence Platform дает аналитику SOC множество дополнительных возможностей, которые просто не могут быть реализованы в SIEM. Например, ему становится доступна функция ретросканирования, позволяющая перепроверить предварительно сохраненные исторические логи и данные с учетом обновленных фидов. Или функция обогащения индикаторов из разных сторонних источников (таких, например, как VirusTotal). Наконец, хорошая платформа Threat Intelligence позволяет, отталкиваясь от конкретного алерта, найти и скачать APT-отчет, в котором подробно описываются тактики, техники и процедуры связанных с алертом злоумышленников, а также имеются практические советы по применению контрмер.

Платформа Threat Intelligence позволяет фильтровать и выгружать индикаторы, сортировать инциденты, представлять их в графическом интерфейсе для удобства аналитика и многое другое — тут уже нужно смотреть на функции каждой конкретной платформы.

Как Threat Intelligence Platform встраивается в работу аналитика и SIEM

По большому счету платформа Threat Intelligence, которая устанавливается во внутренней сети компании, осуществляет процесс анализа и сопоставления поступающих данных, что значительно снижает рабочую нагрузку на SIEM-систему. Она позволяет генерировать собственные оповещения при обнаружении угроз и через программный интерфейс приложения (API) интегрируется с уже существующими процессами мониторинга и реагирования.

Собственно говоря, платформа Threat Intelligence генерирует свой поток данных с детектами, кастомизированный под потребности конкретно вашей компании. Особенно это удобно, если у вас в инфраструктуре работает несколько параллельных SIEM-систем. Без Threat Intelligence Platform пришлось бы грузить сырые фиды в каждую из них.

Практический пример

Давайте рассмотрим, как платформа Threat Intelligence помогает аналитику на примере достаточно простого инцидента. Представим, что один из корпоративных пользователей зашел на сайт со своей рабочей машины. URL этого сайта в потоке Threat Intelligence значится как вредоносный, поэтому платформа выявит инцидент, обогатит его контекстом из фидов и направит данный детект на регистрацию в SIEM-систему. Далее, этот инцидент попадает в сферу внимания аналитика SOC. Аналитик видит детект по данным из потока вредоносных адресов Malicious URL и решает присмотреться к нему поближе при помощи платформы Threat Intelligence.

Прямо из списка детектов он открывает контекстную информацию, доступную из потока TI: IP-адрес, хеши связанных с этим адресом вредоносных файлов, вердикты защитных решений, данные сервиса whois и так далее. Для наглядности открывает интерфейс графа — так удобнее всего анализировать цепочку атаки.

Пока информации не очень много: он видит сам факт детектирования, выявленный вредоносный URL и внутренний IP-адрес машины, с которой кто-то обратился к этому URL. Кликнув по иконке вредоносного URL, он запрашивает известные индикаторы, связанные с этим адресом: IP-адреса, дополнительные URL и хеши вредоносных файлов, которые когда-либо были скачаны с данного сайта.

Следующий шаг — проверка: были ли в корпоративной инфраструктуре зарегистрированы другие детекты по тем же индикаторам. Аналитик кликает по любому объекту (например, по вредоносному IP-адресу) и выводит на граф дополнительные детекты. То есть в один клик он может узнать, какой пользователь заходил на этот IP-адрес (или на какой машине запрос URL у DNS-сервера вернул этот IP-адрес). Аналогичным образом он проверяет, у каких пользователей скачивался файл, хеш которого отобразился в связанных индикаторах.

В одном инциденте могут быть тысячи детектов, и разбирать их руками, без удобного интерфейса графа платформы TI было бы достаточно сложно. А так к каждой точке графа подтягивается весь доступный контекст из потоков данных о киберугрозах. Аналитик может группировать или скрывать объекты, а также применять автоматическое группирование узлов. Если у аналитика есть какие-то дополнительные источники информации, то он может добавить индикатор вручную и самостоятельно обозначить его взаимосвязи.

Таким образом, расследуя связи индикаторов, эксперт может восстановить полную цепочку атаки и понять, что все началось с того, что пользователь набрал URL вредоносного сайта, DNS-сервер вернул ему IP-адрес, а уже с сайта он скачал файл с известным хешем.

Вывод

Качественная платформа Threat Intelligence служит своего рода промежуточным звеном, позволяющим, с одной стороны, значительно снизить нагрузку на SIEM-систему без ущерба для качества детектирования, а с другой — облегчить жизнь аналитику.

Советы