SIEM вместо IRP: как работает автоматизированное реагирование в SIEM Alertix 3.9

Перед компаниями, которые сталкиваются преимущественно с типовыми инцидентами и не готовы выделять существенные бюджеты на ИБ, часто встаёт вопрос: как обеспечить быстрое и автоматизированное реагирование? В Alertix 3.9 мы сделали серьезный шаг вперед, превратив SIEM из системы мониторинга в платформу, принимающую решения и автоматизирующую реагирование на типовые инциденты. В этой статье расскажем, какие механизмы автоматизированного реагирования доступны в продукте и какой функционал решений класса IRP и SOAR они закрывают.

Начиная с версии 3.9 в Alertix включён механизм, который позволяет реализовывать различные плейбуки реагирования. Это могут быть как простые последовательности («инцидент – блокировка»), так и сложные, многоступенчатые цепочки, где в автоматическом режиме проводится рутинная работа по сбору данных и выполнению типовых команд, но при этом на критических этапах требуется одобрение человека (например, в цепочках «инцидент – блокировка – расследование – изменения – разблокировка»).

Плейбуки в Alertix строятся на правилах корреляции, связанных со скриптами. В системе предусмотрено несколько типов скриптов: реагирование, сбор данных, подключение источников. Запуск скриптов происходит внутри изолированных контейнеров, что делает его безопасным для платформы. А для взаимодействия плейбуков с внешней средой в Alertix реализованы механизмы хеширования чувствительной информации, которые защищают ИТ-инфраструктуру от недобросовестных действий аналитика или от случайной утечки данных. Это актуально в таких ситуациях, как, например, выполнение команд на удалённых узлах, не входящих в Alertix. Для этого плейбуку могут понадобиться данные учётных записей с высокими правами, хранить которые в открытом виде небезопасно, да и вряд ли ИТ-отдел согласится передать пароль, условно, от ядра сети простому аналитику L1 или L2.

В Alertix 3.9 система из многообразия сценариев автоматически предлагает только те, которые соответствуют конкретной угрозе. Плейбуки привязаны к правилам корреляции, поэтому аналитик L1 или L2 не думает о том, что делать с тем или иным алертом. Так, если ему нужно ограничить доступ к сети для узла на период расследования, то он может сделать это одним нажатием кнопки в интерфейсе, экономя драгоценное время. Ещё один пример – ситуация, когда необходимо заблокировать злоумышленника. Для этого часто нужно скопировать IP-адрес из события, открыть консоль управления файрволом и вручную вставить его. В Alertix 3.9 этот процесс автоматизирован: система автоматически подставляет параметры из скоррелированных событий, сработок и инцидентов в поля сценариев. Скрипт сам знает, какой IP заблокировать, поэтому никогда не заблокирует локальный адрес самого компьютера просто потому, что аналитик ошибся с копированием. По результатам расследования можно одним кликом снять блокировку или, наоборот, расширить её. Если же остаются сомнения в принадлежности адреса, то система может проверить его в реальном времени, прямо в интерфейсе, благодаря интеграции с базами угроз. В сумме такой подход сводит к минимуму ошибки, связанные с человеческим фактором, и существенно сокращает среднее время реагирования (MTTR).

Реагирование на инциденты ИБ редко ограничивается действиями только в периметре сети или на конечных точках. Сценарии реагирования могут требовать данных из систем, напрямую не связанных с безопасностью – например, информацию из СКУД или IDM. Для решения таких задач в Alertix предусмотрены скрипты сбора данных и интеграции. Они выступают в роли безопасных коннекторов, позволяя воркспейсам обращаться к API любых внутренних и внешних сервисов для получения необходимого контекста.

При работе с множеством разнородных систем критически важно обеспечить изоляцию учетных данных. В Alertix реализован принцип уникальности переменных для каждого скрипта. Предоставив учетные данные администратора (например, переменные admin и passwd) для скрипта, взаимодействующего с Active Directory, вы можете использовать переменные с теми же именами для подключения к СКУД или IDM. Однако в каждом скрипте они будут содержать свои, уникальные значения. Этот подход гарантирует, что даже при копировании скрипта попытка обратиться к другому сервису приведет к ошибке аутентификации – учетные данные от AD не «переедут» вместе с кодом. Таким образом, обеспечивается сегрегация доступов и предотвращается случайная утечка чувствительной информации между скриптами.

В рамках реагирования (именно событие т.к. мы еще не знаем, фолс ли это, атака или инцидент) система автоматически создает карточку события, которая обогащается информацией из смежных систем. Туда автоматически подгружается вся известная информация – в том числе техника и тактика MITRE, информация о связанных узлах, учетных записях и инвентаризации (включая список ПО на хостах и теги, используемые для изменения критичности и связи активов в логические группы, например ИС). В этой же карточке можно посмотреть список уязвимостей хоста и список связанных скриптов. При анализе аналитик может добавить события-оригинаторы и последствия, что, в свою очередь, может подтянуть информацию по ним из модуля инвентаризации. А интеграция с поставщиками фидов позволит сразу увидеть угрозы в рамках карточки. В комплексе всё это позволяет качественно определить плейбук реагирования для конкретного события.

В Alertix реализована ролевая модель доступа, которая позволяет запретить редактирование скриптов для отдельной учётной записи или группы. Такой подход даёт возможность привлекать к работе сотрудников смежных отделов, при этом предоставляя им ровно тот доступ, который необходим. Например, аналитикам SOC первой и второй линий можно предоставить права только на запуск готовых скриптов через интерфейс, запретив их редактирование. А инженерам ИТ – открыть доступ только к модулю разработки скриптов, не предоставляя доступа к инцидентам и логам безопасности. Не стоит забывать и об изначальных возможностях системы, позволяющих маскировать информацию в определённых полях или вообще ограничивать доступ к различным индексам.

Понимая, что зрелые компании уже перешли на современные практики разработки, в Alertix мы реализовали функцию бесшовной интеграции с системами контроля версий. Вы можете писать и отлаживать скрипты для плейбуков в привычной среде разработки, хранить их в Git-репозиториях (GitHub, GitLab, Bitbucket) и автоматически загружать готовые правила в платформу через пайплайн, сохраняя полную историю изменений.

Это дает вашей команде возможность проводить код-ревью, тестировать скрипты в безопасной среде и только после этого выпускать их в прод. Любое изменение фиксируется, и при необходимости можно выполнить быстрый откат к предыдущей, стабильной версии. Такой подход превращает управление правилами обнаружения угроз в предсказуемый и прозрачный процесс, минимизируя риск ошибок при настройке детектов и ускоряя вывод новых правил в промышленную эксплуатацию. Кроме того, это снимает зависимость от вендора. Вам не надо ждать, пока разработчик SIEM добавит новый тип реакции – ваша команда может самостоятельно, за несколько часов написать скрипт, оперативно реагируя на появление новых векторов атак (zero-day).

Автор: Илья Одинцов, менеджер по продукту, NGR Softlab