АРПП "Отечественный софт"Центр Компетенций по импортозамещению в сфере ИКТ
О проекте Вход

Внедрение SIEM-системы в железнодорожной компании

21.04.2025
Задача и причина

Причина:

ИТ-инфраструктура крупной железнодорожной компании включала сотни узлов на Windows и Linux. Однако стандартный уровень журналирования ОС был недостаточен для эффективного мониторинга информационной безопасности. Многие потенциально опасные действия — запуск вредоносных процессов, скрытые изменения в файлах, аномальные сетевые соединения — могли оставаться незамеченными. В результате точность обнаружения угроз в разнородной среде оставалась невысокой, и контроль над событиями был затруднен.

Задача:

Повысить прозрачность событий информационной безопасности и добиться более точного выявления киберугроз и инцидентов. Необходимо было обеспечить сбор подробных данных о происходящем в системах Windows и Linux и интегрировать их в существующую централизованную автоматизированную систему мониторинга событий и выявления инцидентов ИБ Security Capsule SIEM (SC SIEM), чтобы аналитики ИБ оперативно получали всю необходимую информацию для реагирования.

Для решения поставленной задачи ИТ-служба реализовала комплекс мер:

Анализ текущего логирования

Специалисты компании оценили состояние существующих логов и источников событий. Анализ показал, что журналы Windows и Linux не содержат достаточно детальной информации: например, стандартные логи фиксируют факт запуска процесса, но не дают контекста о родительском процессе или параметрах запуска. Без углубленного аудита часть подозрительных активностей могла ускользать от внимания системы мониторинга.

Выбор утилиты Sysmon

Команда приняла решение внедрить специализированное средство расширенного аудита. Из доступных вариантов выбрали Sysmon (System Monitor) — утилиту из набора Sysinternals от Microsoft. Sysmon способен отслеживать низкоуровневую активность ОС (создание процессов, изменения файлов, сетевые соединения и т.п.) и записывать подробные события в журнал. Важным фактором стало наличие версии Sysmon для Linux, что позволило использовать единый подход на обеих платформах.

Настройка и развертывание Sysmon

После выбора инструмента были подготовлены конфигурационные файлы Sysmon в соответствии с политиками безопасности компании — определены типы событий для мониторинга и уровни детализации. Затем Sysmon развернули на всех целевых узлах Windows (например, с помощью групповых политик для рабочих станций) и установили Sysmon for Linux на ключевые серверы под управлением Linux. Это обеспечило охват всего ландшафта ИТ при минимальном вмешательстве в работу систем.

Интеграция событий в SC SIEM

Для централизации анализа все собранные Sysmon-события направили в существующую платформу Security Capsule SIEM. Настроена корректная категоризация: каждому типу события Sysmon присвоены соответствующие категории и метки в SIEM, чтобы движок корреляции распознавал их должным образом. Были задействованы встроенные механизмы SC SIEM для разбора (парсинга) новых событий, что позволило органично встроить дополнительный поток данных в текущие процессы мониторинга.

Тестирование правил и фильтров

На этапе тестирования специалисты ИБ разработали и адаптировали набор сигнатур и правил корреляции под новые типы событий. Проведено испытание этих правил на различных сценариях: имитировались как типичные легитимные действия, так и подозрительные (например, запуск неизвестного исполняемого файла или изменение критического системного реестра). Это позволило убедиться, что SC SIEM корректно выявляет угрозы на основе данных Sysmon и при этом фильтрует лишний шум. Настройка фильтров помогла отсечь невредоносные технические события, чтобы операторы получали только значимые оповещения.

Настройка оповещений

Финальным шагом стало совершенствование реагирования. В SC SIEM настроены оповещения: при срабатывании определенных правил (например, появлении признаков атаки) система автоматически отправляет уведомления команде безопасности по заданным каналам.

Результат

После внедрения SC SIEM с модулем Sysmon организация зафиксировала следующие изменения:

  • На 42% увеличилось количество обнаруживаемых инцидентов, ранее остававшихся незамеченными из-за недостаточной детализации журналов.
  • Время реагирования на инциденты сократилось в среднем на 35%, благодаря более полному контексту и автоматизированному сопоставлению событий.
  • Снизилось количество повторных инцидентов, связанных с нарушением корпоративных политик: за счет повышения прозрачности процессов администраторы смогли оперативнее выявлять и устранять отклонения.
  • Обеспечено единое хранилище событий Windows и Linux, что позволило унифицировать процедуры анализа и сократить время на рутинные операции при расследованиях.
  • В рамках внутреннего аудита были успешно раскрыты 2 случая несанкционированного доступа, подтвержденные данными из расширенных журналов Sysmon.
Источник: РБК