BIS Journal №1(48)2023

7 апреля, 2023

Что в имени тебе моём?

Мне всегда очень импонировал армейский способ организации порядка, когда всё одинаковое, зелёное и квадратное — как говорится, «пострижено, покрашено и засеяно песком». При многих своих очевидных недостатках такой подход имеет и плюсы, особенно хорошо заметные в большой корпоративной среде. В этой статье хотелось бы остановиться на вопросе выбора имён/идентификаторов для различных сущностей. 

Практически в любом крупном SOC’е есть набор однотипных объектов, счёт которым идёт на сотни, если не на тысячи. Самый яркий пример — правила корреляции в SIEM, хотя то же самое справедливо и для её коннекторов/агентов, отчётов и так далее. И довольно часто (по крайней мере, в моей практике) приходится отвечать на типовые вопросы, как то:

— а сколько у нас всего правил корреляции?

— сколько из них работают (или, по крайней мере, должны работать), а сколько — тестируются или выведены из эксплуатации?

— сколько из них непосредственно генерируют алерты, а сколько выполняют вспомогательные функции?

— на каких источниках событий (логах) основаны эти правила?

— какой тактике/технике MITRE соответствуют эти правила?

— к какому типу (по различным классификациям) относятся эти правила?

— и так далее и тому подобное...

Ваш покорный слуга регулярно получал большинство из перечисленных выше вопросов либо от руководства, либо от аудиторов. Первоначально для поиска ответа приходилось каждый раз искать/придумывать ключевые слова для фильтрации этого списка в «Экселе», а затем сводить результат в единый отчёт. Очень быстро проявились побочные эффекты такого способа: покраснение глаз, боль в голове, долгое время выполнения запроса, ненависть к аудиторам. Спустя некоторое время нашлось простое, но оказавшееся очень эффективным решение: выработать единую конвенцию именования правил и воплотить её в жизнь.

Затраты на мероприятие: два совещания для брейншторминга, пара дней на составление списка «старое имя — новое имя», а также несколько недель на собственно переименование правил в SIEM (как выяснилось, массовое переименование правил может сносить ей крышу, так что пришлось это делать небольшими пачечками).

Для примера приведу вариант схемы имени правила (разумеется, список полей будет уникальным для каждого SOC’а — их надо подбирать под себя):

PRD-client_1-0123-042-P1-AD-TA0006-T1056,T1556-Login Page Code Changed

DEV-client_2-0124-000-P2-Windows,Unix---High CPU Utilization Detected.

 

Как видно, схема очень проста:

— между различными полями используем одинаковый разделитель (в нашем случае это дефис);

— если поле пустое, то этот разделитель всё равно сохраняем на месте;

— если в поле нужно дописать более одного значения, то используем внутрипольный разделитель (в примере это запятая);

— вводимые в поле данные не должны содержать приведённые выше разделители.

 

Некоторые примеры полей:

— тип правила (генерирует алерты / вспомогательное / в разработке / выведено из эксплуатации);

— клиент / подразделение, в интересах которого работает правило (либо же «глобальное», если работает для всех);

— уникальный числовой идентификатор правила;

— версия правила (счётчик, увеличивается на 1 после каждого изменения);

— приоритет (удобно для построения квадратно-гнездового SOC’а на раннем этапе зрелости, когда приоритет алерта ещё не получилось сделать динамическим);

— источник(и) событий для правила;

— тактика(и) и техника(и) MITRE;

— имя правила.

 

После того как все правила переименованы, экспортируем полный список в «Эксель», разбиваем на колонки, используя выбранный разделитель, исправляем обнаруженные ошибки. Когда все ошибки исправлены, у нас получается несколько громоздкие, но удивительно удобные для построения разнообразнейших отчётов имена. Если вы такое ещё не внедрили, задумайтесь!

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.12.2024
Банки оставили позади маркетплейсы в рейтинге «техноработодателей»
04.12.2024
«Т-Банк» предлагает защитить «близких»
04.12.2024
Минцифры раздаст золотые медали своим «выпускникам»
04.12.2024
«Позитив» — об итогах Standoff 14
04.12.2024
«Матрица» вынудила киберполицейских стать полиглотами
03.12.2024
Аналитический Центр «БизнесДром» выступит партнёром XIX премии «Финансовая элита России»
03.12.2024
РСХБ рассказал, на что его клиенты тратят цифровые рубли
03.12.2024
«Яблочники» идут за вашими слепками
03.12.2024
«Также возможно введение квот на импортные печатные платы…»
03.12.2024
Хакеры готовы подарить свой авторский рецепт активации Windows

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных