Методика оценки качества событий информационной безопасности для SIEM-систем разрабатывается в НГТУ НЭТИ

В Новосибирском государственном техническом университете НЭТИ ведется разработка методики количественной оценки качества событий информационной безопасности, поступающих в SIEM-системы и центры мониторинга кибербезопасности.

Методика, которую разрабатывает аспирант кафедры защиты информации факультета автоматики и вычислительной техники Максим Киселев под руководством заведующего кафедрой канд. техн. наук, доцента Андрея Иванова позволяет определить, насколько текущий поток событий пригоден для последующей нормализации, корреляции и выявления инцидентов информационной безопасности.

По словам разработчика, проблема имеет важное прикладное значение для центров мониторинга информационной безопасности. «На практике возможна ситуация, когда SIEM-система настроена и получает события из инфраструктуры, однако качество этих данных недостаточно для корректной работы правил корреляции. Например, правило обнаружения перебора паролей по SSH может требовать серию событий неудачной аутентификации с одного IP-адреса в заданном временном окне. Если в событиях отсутствует поле источника или используется некорректная временная метка, правило технически не сможет проверить заданное условие. В результате проблема заключается не только в наличии или отсутствии событий, но и в их пригодности для последующего анализа», — рассказал Максим Киселев.

Методика основана на показателе дефицита логирования DL. Этот показатель позволяет оценивать не только сам факт поступления событий, но и их полноту, корректность, наличие обязательных полей, временную валидность и возможность использования в правилах корреляции. Такой подход помогает формализовать оценку качества событийного потока и выявлять причины, по которым данные могут быть недостаточно пригодны для обнаружения инцидентов.

Для описания сценариев атак в исследовании используются термины международной базы MITRE ATT&CK. Это позволяет связывать оценку качества событий не с абстрактным набором логов, а с конкретными сценариями детектирования, применяемыми в практике мониторинга информационной безопасности.

На текущем этапе разработана базовая модель оценки, включающая матрицу требований к событиям, набор обязательных полей и итерационный цикл улучшения качества логирования. Методика позволяет не только выявлять проблемы в поступающих событиях, но и отслеживать динамику их устранения при последовательной доработке источников, правил нормализации и настроек SIEM.

Существующие подходы к контролю логирования часто ориентированы на проверку охвата источников, факта поступления событий и общего соответствия требованиям мониторинга. Предлагаемая методика решает более узкую и прикладную задачу: количественно оценить, насколько конкретный поток событий пригоден для работы правил корреляции в рамках заданного сценария атаки.

Работа над методикой продолжается. На следующем этапе исследования базовый показатель дефицита логирования расширяется за счет учета сценарной значимости разных классов событий, наличия дублей, временной согласованности и сохранности корреляционно-значимых атрибутов. Также планируется практическая апробация методики на реальной инфраструктуре в условиях действующего центра мониторинга информационной безопасности.

Разработка может быть полезна для SOC-центров, администраторов SIEM-систем и специалистов по защите информации, которым необходимо не только подключать источники событий, но и регулярно оценивать, насколько собранные данные действительно пригодны для выявления кибератак.

Ранее на АВТФ разработали приложение для контроля за паролями.