SIEM
Если несколько упростить, то классическая логика SIEM-системы работает следующим образом: если произошло событие A, а затем событие B, то это может быть признаком атаки, и следует оповестить ИБ-специалиста. Но в современных условиях этот простой сценарий все чаще дает сбои. Только за последнее время наши эксперты анализировали несколько громких инцидентов: в одном случае злоумышленники скомпрометировали инфраструктуру обновлений популярного редактора Notepad++ и распространяли вредоносное ПО через механизм обновлений. В другом — использовался похожий подход: в атаках на серверы TrueConf бэкдор устанавливался пользователям через зараженные дистрибутивы клиентского приложения. Заранее иметь правила, заточенные против таких сценариев, просто невозможно.
Сами атаки стали сложнее: злоумышленники используют легитимные инструменты, атакуют через цепочку поставок, компрометируя ПО за пределами корпоративного периметра, растягивают сценарии во времени и маскируются под нормальную активность. Иными словами, они не вторгаются в инфраструктуру. Чаще они логинятся и используют легитимное ПО. В результате классические фиксированные правила прошлого либо не срабатывают, либо создают слишком много ложных алертов. Это и стало причиной перехода к более гибким сценариям корреляции.
Динамически обновляемый контент
Корреляционный контент сегодня — это не статичный набор правил, а процесс: он постоянно развивается и адаптируется под актуальные угрозы. Только за 2025 год мы выпустили 55 обновлений пакетов правил для разных версий и разных языков нашей SIEM-системы KUMA. Всего за год добавилось 10 новых пакетов, а также 250 правил обнаружения и множество улучшений существующего контента. В этом году мы уже добавили 43 новых правила и доработали еще 63. В сумме это более 850 правил, покрывающих значительную часть матрицы MITRE ATT&CK.
Правила для KUMA пишутся по вводным от наших экспертов, анализирующих реальные свежие атаки: в первую очередь используются результаты работы сервиса managed detection and response MDR и исследований угроз. Благодаря этому правила покрывают сценарии — от разведки до повышения привилегий — в которых используются свежие инструменты злоумышленников. Например, мы выявляем использование новых техник атак вроде ToolShell.
Помимо плановых обновлений команда регулярно выпускает так называемый Emergency Content — пакеты правил для быстрого реагирования на новые и неожиданные техники атак. В феврале, например, появились сценарии для обнаружения обхода аутентификации в продуктах Fortinet через механизм SSO: злоумышленники использовали специально сформированные SAML-запросы, чтобы без учетных данных получить доступ к системам.
От событий к цепочкам атак
Да и сами современные SIEM-правила описывают уже не отдельные события, а последовательности действий. Сценарии строятся вокруг этапов атаки: от первоначального доступа до повышения привилегий и закрепления. Эффективность работы KUMA повышается за счет интеграции с Kaspersky EDR и отдельными наборами правил для Active Directory, в которых реализованы десятки сценариев обнаружения атак на разных стадиях. Такой подход позволяет видеть не отдельные сигналы, а целостную картину.
Интеграция и внутренняя видимость
Еще один способ повысить эффективность SIEM-системы — расширение списка источников данных. Классическая SIEM объединяет события с разных уровней инфраструктуры: от логов до телеметрии с конечных устройств и внутренних систем. В нашей системе KUMA в добавок к этому имеются специализированные пакеты правил для собственных решений (KSC, KSMG, KATA), которые позволяют отслеживать действия администраторов, аутентификацию и состояние сервисов. В результате система становится инструментом не только обнаружения атак, но и контроля внутренней активности.
Кроме того, наша SIEM-система полностью отвечает требованием отраслевых и регуляторных стандартов (PCI DSS, НКЦКИ, ФСТЭК). Причем речь идет не о формальном соответствии «для галочки»: готовые дашборды и отчеты помогают не только пройти аудит, но и понимать реальные риски в инфраструктуре.
В целом SIEM перестает быть набором правил и превращается в постоянно обновляемую систему обнаружения. Ее эффективность определяется не количеством детектов, а их актуальностью, связностью и тем, насколько точно они отражают реальные действия злоумышленников. Следите за обновлениями нашей SIEM-системы Kaspersky Unified Monitoring and Analysis Platform на официальной странице продукта.
Советы