Доброго времени суток, уважаемые форумчане!
Сегодня поговорим об инструменте, который делает жизнь безопасника, системного администратора и даже DevOps'а немного проще (ну или сложнее, смотря как настроить). Листая ленту новостей на хабре, securitylab или даже в телеграм-каналах по ИБ, вы наверняка натыкались на загадочную аббревиатуру SIEM. Что это за зверь и почему он стал must-have в 2025 году? Давайте разбираться!
Security Information and Event Management – если по-простому, это система с модульной архитектурой, которая собирает, анализирует и коррелирует данные со всей вашей инфраструктуры. Источником данных может быть что угодно: от роутера в серверной до смарт-кофеварки в офисе (да-да, IoT тоже мониторим). Важный момент: SIEM сам по себе ничего не блокирует и не предотвращает – он как опытный детектив, который находит улики и кричит: "Эй, тут что-то подозрительное происходит!"
Фундаментом любой SIEM является математика, статистика и, в 2025 году, немного машинного обучения.
Дополнительные материалы по SIEM
Если вы все еще читаете, значит погружение прошло успешно! Переходим к практике.
Давайте посмотрим, как выглядит боевой дашборд в продакшене:
Красиво, правда? Такие дашборды не только впечатляют руководство, но и реально помогают выявлять аномалии. Приступим к настройке!
Наблюдаем, как оживает наш SIEM: открываются порты, подгружаются модули, индексаторы готовятся к работе.
По умолчанию веб-интерфейс доступен по адресу localhost:8000. Заходим, вводим созданные креды.
Кликаем "Add data" → "upload" → выбираем файл с логами.
(Специально для вас подготовил актуальные логи с признаками различных атак:
Splunk автоматически определил формат как access_combined – отлично, значит парсинг пройдет корректно.
Далее настраиваем хост и индекс. Лайфхак: всегда создавайте отдельные индексы для разных источников данных – потом проще будет искать и не засорите основной индекс.
Индекс в Splunk – это по сути отдельное хранилище для определенного типа данных, как папка на диске, только умная.
Проверяем настройки и завершаем загрузку. Жмем Start Searching – пора искать аномалии!
Команда timechart строит временной график, где X – время, Y – количество событий. Параметр span задает временное окно группировки.
Видим, что более 60% запросов возвращают коды ошибок (4xx, 5xx). Это явный признак сканирования или попытки брутфорса.
Если статья зашла, в следующий раз разберем:
Сегодня поговорим об инструменте, который делает жизнь безопасника, системного администратора и даже DevOps'а немного проще (ну или сложнее, смотря как настроить). Листая ленту новостей на хабре, securitylab или даже в телеграм-каналах по ИБ, вы наверняка натыкались на загадочную аббревиатуру SIEM. Что это за зверь и почему он стал must-have в 2025 году? Давайте разбираться!
Security Information and Event Management – если по-простому, это система с модульной архитектурой, которая собирает, анализирует и коррелирует данные со всей вашей инфраструктуры. Источником данных может быть что угодно: от роутера в серверной до смарт-кофеварки в офисе (да-да, IoT тоже мониторим). Важный момент: SIEM сам по себе ничего не блокирует и не предотвращает – он как опытный детектив, который находит улики и кричит: "Эй, тут что-то подозрительное происходит!"
Фундаментом любой SIEM является математика, статистика и, в 2025 году, немного машинного обучения.
Основные задачи SIEM-систем:
- Централизованный сбор и долгосрочное хранение логов от всех источников;
- Нормализация и обогащение событий дополнительным контекстом;
- Корреляция событий и выявление сложных паттернов атак;
- Визуализация данных через дашборды и отчеты;
- Автоматическое оповещение о подозрительной активности;
- Помощь в расследовании инцидентов и форензике.
Дополнительные материалы по SIEM
Ссылка скрыта от гостей
- Анализ лог-файлов Apache – основа работы с SIEMЕсли вы все еще читаете, значит погружение прошло успешно! Переходим к практике.
Знакомство со Splunk
Разберем одну из самых популярных SIEM-систем – SPLUNK. Да, она платная. Да, она требовательная к ресурсам. Но для обучения есть бесплатная версия с лимитом 500МБ логов в день – более чем достаточно для домашней лаборатории.
Давайте посмотрим, как выглядит боевой дашборд в продакшене:
Красиво, правда? Такие дашборды не только впечатляют руководство, но и реально помогают выявлять аномалии. Приступим к настройке!
Установка и первый запуск
- Регистрируемся и скачиваем
Ссылка скрыта от гостей(выбираем Free Trial или Free версию).
- В процессе установки создаем admin-аккаунт. Совет: используйте надежный пароль и сохраните его в менеджере паролей – потеряете доступ, придется переустанавливать.
- После установки запускаем сервис.
Код:
splunk startПо умолчанию веб-интерфейс доступен по адресу localhost:8000. Заходим, вводим созданные креды.
Загружаем данные для анализа
Чтобы не скучать с пустым Splunk'ом, загрузим тестовые данные.Кликаем "Add data" → "upload" → выбираем файл с логами.
(Специально для вас подготовил актуальные логи с признаками различных атак:
Ссылка скрыта от гостей
)
Splunk автоматически определил формат как access_combined – отлично, значит парсинг пройдет корректно.
Далее настраиваем хост и индекс. Лайфхак: всегда создавайте отдельные индексы для разных источников данных – потом проще будет искать и не засорите основной индекс.
Индекс в Splunk – это по сути отдельное хранилище для определенного типа данных, как папка на диске, только умная.
Проверяем настройки и завершаем загрузку. Жмем Start Searching – пора искать аномалии!
SPL – язык запросов Splunk
Открывается поисковая строка. Знакомьтесь – SPL (Search Processing Language):- Более 150 команд для анализа данных
- Поддержка UNIX pipeline (| для передачи результатов между командами)
- Возможности от простого поиска до машинного обучения
- В 2025 году добавили поддержку Python-скриптов прямо в запросах
Практические примеры
Пример 1: Ищем успешные запросы
Начнем с простого – найдем все успешные HTTP-запросы:
Код:
index=apache_logs status=200Пример 2: Визуализация по времени
Сырые логи никому не интересны, давайте построим график:
Код:
index=apache_logs status=200 | timechart span=8h countКоманда timechart строит временной график, где X – время, Y – количество событий. Параметр span задает временное окно группировки.
Пример 3: Анализ кодов ответа
Теперь посмотрим на общую картину с кодами ответа:
Код:
index=apache_logs | stats count by status | sort -countВидим, что более 60% запросов возвращают коды ошибок (4xx, 5xx). Это явный признак сканирования или попытки брутфорса.
Пример 4: Охота на злоумышленника
Большое количество 404 ошибок наводит на мысль о сканировании директорий. Найдем источник:
Код:
index=apache_logs status=404
| stats count by clientip
| where count > 100
| sort -countВот и нашли нашего сканера! IP-адрес можно добавить в черный список или передать информацию в SOC для дальнейшего расследования.
Что дальше?
Это только верхушка айсберга. В продакшн-среде вы столкнетесь с:- Настройкой форвардеров для сбора логов в реальном времени
- Созданием корреляционных правил для выявления APT-атак
- Интеграцией с системами Threat Intelligence
- Автоматизацией реагирования через SOAR
- Машинным обучением для выявления аномалий
Полезные ресурсы для дальнейшего изучения:
-
Ссылка скрыта от гостей- CTF-платформа HackerLab – прокачка навыков анализа логов через практику
-
Ссылка скрыта от гостей- Bootcamp по кибербезопасности – включает модуль по работе с SIEM
-
Ссылка скрыта от гостей- Подробный гайд по анализу лог-файлов Apache
Заключение
SIEM-системы в 2025 году – это уже не роскошь, а необходимость. Даже небольшие компании понимают важность централизованного мониторинга и анализа событий безопасности. Splunk – отличная точка входа в мир SIEM, хоть и не единственная (посматривайте в сторону Elastic Stack, Wazuh, QRadar).Если статья зашла, в следующий раз разберем:
- Создание продвинутых дашбордов с прогнозированием
- Интеграцию с системами оркестрации
- Написание собственных приложений для Splunk
- Альтернативные Open Source SIEM-решения
Последнее редактирование модератором:
