Програмний модуль аналізу подій для ELK стеку

Abstract

ІТ-інфраструктура сучасних компаній часом досить різноманітна. При цьому, з розвитком технологій, головною проблемою побудови захисту ІКС стало не відсутність інформації, а її обробка. Число джерел, що забезпечують надходження актуальної інформації щодо поточного стану захищеності ІКС, безперервно зростає. Дійсно, сьогодні навряд чи можна знайти корпоративне програмне забезпечення, яке б не вело запис в журнал подій ІБ і т.п. Але, разом зі збільшенням обсягу інформації, адміністраторам ІБ все складніше відстежувати «загальну картину». Одними з найважливіших характеристик інформаційних систем є їх безперебійне функціонування і захищеність даних користувачів. У зв'язку з цим зростає необхідність в розвитку систем їх захисту від різних загроз, включаючи складні цільові атаки, що виконуються в кілька етапів, часто рознесені в часі. Виявлення таких атак вимагає ретельного аналізу подій ІБ, одержуваних від різних датчиків безпеки і об'єктів хмарної інфраструктури за тривалий період часу. Багато сучасних систем виявлення вторгнень не здатні встановити взаємозв'язки між подіями ІБ у вигляді послідовності етапів виконання атаки, так як не мають інструментів аналізу поточних загроз в часовому контексті. У більшості випадків оцінка достовірності згенерованих подій ІБ не здійснюється, а критичність події ІБ часто не залежить від рівня критичності контрольованих ресурсів. Кореляція цих двох показників дозволила б адміністратору безпеки більш точно розставляти пріоритети подій ІБ для своєчасного реагування на них. Для усунення цих недоліків в системах управління інформаційною безпекою пропонується використовувати в якості складового компонента модуль кореляції подій безпеки.