Как не потерять важное в хаосе: сбор и анализ логов в распределенных системах

В современном мире, где бизнес-процессы все чаще строятся на распределенных системах, эффективный сбор и анализ логов — критически важен для обеспечения безопасности и выявления кибератак. В статье рассказываем, как организовать сбор логов в распределенной среде, предотвращая потерю важной информации, а также какие типы логов наиболее эффективны для обнаружения скрытых атак, использующих легитимные инструменты.

Логи как основа безопасности

Сбор и анализ логов — это основа мониторинга, диагностики и обеспечения безопасности современных распределенных систем. Логи представляют собой записи операций и событий, происходящих в системе, и являются ключевым инструментом для понимания ее состояния, обнаружения аномалий и расследования инцидентов. Без своевременного сбора и анализа логов специалисты не смогут выявлять уязвимости, определять источники проблем или оперативно реагировать на угрозы.

Иван Барановский

Пресейл-инженер «АйТи Бастион»

Чтобы система была надежной, все данные от серверов, приложений и сетевых устройств должны стекаться в централизованное хранилище. Чаще всего для этого используют SIEM-системы, которые не только собирают и хранят логи, но и позволяют их анализировать в режиме реального времени. Это особенно важно для оперативного реагирования на угрозы.

Передача логов требует особого внимания к защите данных. Использование зашифрованных протоколов, таких как TLS или HTTPS, помогает предотвратить перехват информации злоумышленниками. Кроме того, необходимо синхронизировать время на всех устройствах с помощью NTP. Временные метки должны быть точными, иначе восстановление последовательности событий может стать сложной задачей.

Формат данных — еще одна важная деталь. Логи из разных источников могут быть очень разнородными, поэтому их необходимо приводить к единому стандарту. Это облегчит дальнейшую корреляцию событий и автоматизацию анализа. Например, использование форматов JSON или Common Event Format (CEF) упрощает обработку логов как вручную, так и с помощью инструментов анализа.

Однако современные распределенные системы работают на основе большого количества узлов и сервисов, что усложняет задачу сбора и обработки логов.

Основные трудности при сборе логов в распределенных системах

Распределенные системы состоят из множества взаимодействующих компонентов, и каждая часть инфраструктуры может генерировать свои собственные логи. Это делает их сбор сложным и подверженным ошибкам. К числу распространенных трудностей относятся:

1. Масштабируемость и разрозненность узлов. В больших системах множество узлов обрабатывают данные одновременно. Если их логи собираются и обрабатываются неорганизованно, могут возникать потери информации.
2. Проблемы с сетевыми соединениями и сбоями оборудования. Сетевые разрывы или временные отказы узлов могут привести к тому, что некоторые данные не будут переданы в централизованное хранилище.
3. Объем информации. Высокий объем логов, который генерируется распределенной системой, может превысить возможности для их обработки и анализа.
4. Ошибка в настройках фильтрации и агрегации данных. Некорректная фильтрация и неправильная агрегация могут привести к тому, что важные данные теряются, а ненужные данные нагружают инфраструктуру.

Все эти факторы требуют продуманной архитектуры сбора, хранения и анализа логов, чтобы минимизировать риски и обеспечить бесперебойную работу системы.

Эффективная организация сбора логов

Для минимизации потерь данных при логировании в распределенных системах необходимо следовать определенным принципам и использовать проверенные практики.

Геннадий Сазонов

Инженер центра исследования киберугроз Solar 4RAYS ГК «Солар»

Для начала необходимо провести инвентаризацию ИТ-ресурсов и определить общее количество систем в корпоративной инфраструктуре, количество серверов, пользовательских рабочих станций, дополнительных средств защиты и понять, как сегментирована корпоративная сеть.

Затем нужно настроить SIEM-систему, которая позволит собирать необходимый объём событий со всей инфраструктуры. Необходимо правильно настроить аудит на конечных системах, подключить дополнительные средства защиты и использовать для обработки событий в SIEM качественный набор правил корреляции.

Эффективный сбор логов в распределенной системе — сложная задача, требующая взвешенного подхода к архитектуре и технологиям. Выбор между централизованным и децентрализованным подходом зависит от специфики системы. Централизованный подход, хотя и прост в администрировании и предоставляет единую точку доступа для анализа, может перегрузить центральный сервер и стать уязвимым к тотальной потере данных при его сбое. 

Николай Лишке

Директор центра кибербезопасности ГК «Эшелон»

Правильная организация сбора логов в распределенной системе подразумевает централизованный подход к логированию.

Важно внедрить системы агрегации, которые собирают и нормализуют логи с разных источников. Использование таких инструментов, как ELK Stack (Elasticsearch, Logstash, Kibana), или аналогичных решений может способствовать эффективному хранению и анализу информации.

Для обеспечения целостности логов стоит передавать их по защищенному каналу, чтобы предотвратить их модификацию.

Также важно заранее определить, какие события критически важны для мониторинга, и настраивать сбор логов, исходя из этого.

Децентрализованный подход, напротив, более отказоустойчив и масштабируем, но усложняет администрирование и требует сложных механизмов агрегации данных. На практике часто используется гибридный подход, сочетающий преимущества обоих вариантов.

Выбор технологий для сбора и агрегации логов (syslog, ELK stack, Fluentd, Splunk и другие) определяется масштабом системы, требованиями к производительности и бюджетными ограничениями. Для оптимизации процесса необходимо использовать сжатие, фильтрацию данных и асинхронную передачу, а также оптимизировать конфигурацию серверов.

Защита целостности и сохранности логов крайне важна. Это достигается с помощью шифрования, контрольных сумм и регулярного резервного копирования. 

Григорий Базоян

Ведущий пресейл-инженер Cloud Networks

Чтобы не потерять важную информацию, необходимо комплексно подойти к задаче: организовать централизованное хранилище логов, настроить синхронизацию времени между всеми узлами, резервные каналы передачи логов, буферизацию на случай сбоев, фильтрацию на источнике для снижения нагрузки и обеспечение целостности данных при передаче.

Непрерывный мониторинг системы логирования, включающий отслеживание доступности серверов, объемов данных и производительности, гарантирует своевременное выявление и устранение проблем. Только такой комплексный подход обеспечивает надежную и эффективную систему сбора логов в распределенной среде.

Выявление скрытых атак с помощью логов

Обнаружение скрытых атак, использующих легитимные инструменты, требует анализа различных типов логов и поиска аномалий в поведении системы. Ограничиваться только стандартными логами недостаточно. Необходимо сосредоточиться на данных, которые могут указать на нестандартное использование утилит или процессов.

Михаил Пырьев

Product Owner решения UDV NTA

В данном случае, только логами явно не обойтись, так как мы пытаемся понять намерения злоумышленника: горизонтальные перемещения по организации, подозрительное перемещение данных. Хороший пример — деятельность хактивистов Leak Wolf, от которых пострадало более 40 российских компаний. Только проактивный поиск угроз помог выявить данную активность.

Системные логи предоставляют важную информацию о событиях, происходящих в операционной системе. Анализ аудита безопасности, активности процессов и действий пользователей позволяет выявить подозрительные изменения прав доступа, запуск неизвестных или редко используемых программ, а также нестандартное взаимодействие с системными файлами и реестром. Особое внимание следует уделять логам, регистрирующим изменения в конфигурационных файлах системы безопасности, поскольку злоумышленники часто пытаются отключить или модифицировать их.

Сетевые логи содержат информацию о сетевом трафике, соединениях и попытки проникновения. Анализ сетевого трафика может выявить скрытые каналы связи, необычные шаблоны доступа к сети, а также подозрительную активность, замаскированную под легитимный трафик. Анализ логов межсетевых экранов и систем предотвращения вторжений (IPS) позволяет отслеживать блокированные атаки и попытки обхода системы безопасности.

Логи приложений зачастую содержат информацию о нестандартном использовании функционала приложений. Анализ запросов к базе данных, ошибок и других событий в приложениях позволяет выявить необычные действия, например, попытки доступа к конфиденциальным данным или изменение настроек приложения, сделанные с помощью утилит для административного управления.

Иван Трубченко

Аналитик по информационной безопасности NGR Softlab

Эффективное выявление скрытых атак, использующих легитимные инструменты, зависит от тщательного анализа логов. Рассмотрим пару примеров.

Злоумышленники часто начинают атаки со сбора системной информации (T1082 — System Information Discovery), используя стандартные утилиты, такие как systeminfo, hostname, whoami, сканирование сети с помощью arp и ipconfig/all, а также используя WMI-запросы для сбора сведений о программном обеспечении.

Для обнаружения такой активности, необходимо проводить мониторинг логов командной строки: отслеживание выполнения таких команд, как systeminfo, whoami, wmic. Также детектировать подозрительные действия помогут логи PowerShell, отслеживающие выполнение таких командлетов, как Get-ComputerInfo, Get-WmiObject.

PowerShell (T1059.001) — ещё один инструмент для автоматизации каких-либо процессов, используемый как ИТ-сотрудниками, так и злоумышленниками. К нему относятся такие активности, как скачивание вредоносного ПО с использованием Invoke-WebRequest для загрузки файлов или обход защитных механизмов с помощью -NoProfile и -ExecutionPolicy Bypass.

Для обнаружения подобных действий необходим мониторинг выполнения скриптов PowerShell, а также логов создания процессов на уровне Sysmon и Microsoft Windows Audit. При этом надо обращать внимание на подозрительные процессы и используемые параметры командной строки. Анализ этих данных позволяет выявить попытки запуска скриптов, которые могут сигнализировать об аномальном поведении.

В целом, комплексный подход к мониторингу и анализу различных типов событий повышает вероятность обнаружения скрытых действий злоумышленников, даже если они используют легитимные инструменты.

Эффективное выявление скрытых атак требует комплексного подхода, включающего анализ различных типов логов, поиск аномалий и корреляцию событий. Использование систем безопасности, способных к анализу больших объемов данных (SIEM-системы) и применение методов машинного обучения, значительно повышает эффективность обнаружения угроз, даже если злоумышленники используют легитимные инструменты. Ключевым моментом является своевременное реагирование на выявленные аномалии.

Заключение

Логи — это глаза и уши системы. Чем лучше и надежнее их сбор и анализ, тем прозрачнее и безопаснее будет работа распределенной инфраструктуры. Эффективная организация сбора логов в распределенных системах — это не только техническая задача, но и стратегическое требование для обеспечения безопасности и стабильности IT-инфраструктуры.

Правильный выбор технологий, настройка сбора, агрегация, резервирование и мониторинг помогают минимизировать риск потери данных и дают возможность своевременно реагировать на угрозы и сбои.