Корреляция логов
Что такое Корреляция логов?
Корреляция логовСвязывание событий из нескольких источников по общим полям, временным окнам или последовательности, чтобы выявить многошаговую активность, скрытую в отдельных логах.
Корреляция логов выполняется правилами SIEM и конвейерами обнаружения, которые объединяют связанные события между хостами, пользователями и сетевыми сенсорами. Правила обычно соединяют события по идентификаторам — имени пользователя, исходному IP, имени хоста или хешу процесса — и применяют временные ограничения (например, пять неудачных входов и затем успешный за десять минут). Stateful-движки отслеживают сессии, считают вхождения и поднимают тревогу при совпадении шаблона. Хорошая корреляция снижает шум по сравнению с одиночными сигнатурами и показывает развитие kill chain. Задачи — нормализация схемы, расхождения часов, высокая кардинальность ключей и правила, которые обобщают без избытка ложных срабатываний.
● Примеры
- 01
Связать клик по фишинговому письму с аномалией дочернего процесса на той же рабочей станции в течение 15 минут.
- 02
Сопоставить вход по VPN из новой страны с назначением привилегированной роли в облачной control plane.
● Частые вопросы
Что такое Корреляция логов?
Связывание событий из нескольких источников по общим полям, временным окнам или последовательности, чтобы выявить многошаговую активность, скрытую в отдельных логах. Относится к категории Защита и операции в кибербезопасности.
Что означает Корреляция логов?
Связывание событий из нескольких источников по общим полям, временным окнам или последовательности, чтобы выявить многошаговую активность, скрытую в отдельных логах.
Как работает Корреляция логов?
Корреляция логов выполняется правилами SIEM и конвейерами обнаружения, которые объединяют связанные события между хостами, пользователями и сетевыми сенсорами. Правила обычно соединяют события по идентификаторам — имени пользователя, исходному IP, имени хоста или хешу процесса — и применяют временные ограничения (например, пять неудачных входов и затем успешный за десять минут). Stateful-движки отслеживают сессии, считают вхождения и поднимают тревогу при совпадении шаблона. Хорошая корреляция снижает шум по сравнению с одиночными сигнатурами и показывает развитие kill chain. Задачи — нормализация схемы, расхождения часов, высокая кардинальность ключей и правила, которые обобщают без избытка ложных срабатываний.
Как защититься от Корреляция логов?
Защита от Корреляция логов обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Корреляция логов?
Распространённые альтернативные названия: Корреляция событий, Правило корреляции.
● Связанные термины
- defense-ops№ 1039
SIEM
Платформа, которая агрегирует, нормализует и коррелирует данные безопасности со всей организации для обнаружения угроз, расследований, соответствия требованиям и отчётности.
- defense-ops№ 626
Агрегация логов
Сбор, нормализация и централизованное хранение журналов событий со множества систем в единой платформе для поиска, анализа и хранения.
- defense-ops№ 307
Detection engineering
Дисциплина проектирования, тестирования, развертывания и поддержки правил обнаружения как кода с измеримым покрытием техник противника.
- defense-ops№ 1147
Охота за угрозами
Проактивный поиск по телеметрии на основе гипотез, направленный на обнаружение угроз, проскочивших мимо имеющихся детектов.
- defense-ops№ 1062
SOAR
Платформа, автоматизирующая и оркеструющая процессы SOC за счёт сценариев (playbooks), объединяющих обнаружения, обогащение данных и действия по реагированию во множестве инструментов безопасности.