XVIII Международная студенческая научная конференция Студенческий научный форум - 2026

Введение

Современные кибератаки, такие как целевые атаки (APT), вымогательское ПО и атаки с использованием легитимных инструментов (Living-off-the-Land), всё чаще обходят традиционные средства защиты. SIEM-системы (Security Information and Event Management) обеспечивают централизованный сбор и анализ логов, в то время как EDR-платформы (Endpoint Detection and Response) фиксируют поведение на уровне хоста. Однако их слабая семантическая интеграция приводит к тому, что связанные события интерпретируются изолированно, что снижает точность обнаружения.

Сбор и анализ данных безопасности в SIEM- и EDR-системах, как правило, включает обработку персональных данных, что регулируется Федеральным законом «О персональных данных» [1]. При этом используются основные термины и понятия, закреплённые в ГОСТ Р 57580.2–2017 [2].

Большинство организаций либо используют SIEM-системы и EDR- системы независимо, либо объединяют их на уровне потоков данных без учёта взаимного контекста [4]. В результате:

• возрастает усталость от сигналов тревоги (alert fatigue) у аналитиков,

• реальные угрозы остаются незамеченными из-за низкого уровня серьезности отдельных событий,

• повышаются операционные издержки на расследование ложных срабатываний.

Цель данной работы — разработать модель контекстно-адаптивной корреляции событий безопасности, в которой правила срабатывания SIEM-системы динамически модифицируются на основе данных, поступающих от EDR-системы, а также дополнительного контекста инфраструктуры.

1. Анализ существующих подходов к интеграции SIEM и EDR

Традиционные SIEM-системы (Splunk, IBM QRadar, Elastic Security) применяют статические правила корреляции, основанные на временных окнах, порогах и комбинациях событий [4]. Например:

«Если 5 неудачных входов → успешный вход → запуск PowerShell — сгенерировать алерт».

Однако такие правила не учитывают, что:

• на хосте может присутствовать уязвимость CVE-2024–1234,

• пользователь является администратором домена,

• Активность может быть реализована из любой точки в любое время.

Современные EDR-решения (CrowdStrike, SentinelOne, Microsoft Defender) обладают продвинутыми механизмами поведенческого анализа, но их предупреждения часто попадают в SIEM-систему как необработанные события, без передачи оценки риска. Подходы типа XDR (Extended Detection and Response) частично решают проблему интеграции SIEM- и EDR-систем, обеспечивая сквозной анализ событий на уровне сети, конечных точек и облачных сервисов [8]. Однако они обладают рядом существенных ограничений, которые снижают их применимость в средах с высокой степенью кастомизации или ограниченным бюджетом. В частности, такие решения являются проприетарными и требуют значительных финансовых затрат на лицензирование и поддержку; они не всегда предоставляют аналитикам возможность гибко изменять логику корреляции под специфику конкретной организации; кроме того, большинство XDR-платформ плохо адаптируются к уникальным архитектурным особенностям корпоративной ИТ-инфраструктуры, что может приводить к необходимости масштабных доработок или отказу от внедрения. Для наглядного сравнения подходов — от разрозненного использования SIEM- и EDR-систем до единой XDR-платформы — на рисунке 1 представлена упрощённая схема уровней интеграции.

Рис. 1 - Уровни интеграции SIEM и EDR: от разрозненных систем до XDR (составлено автором)

2. Проблема статической корреляции в гибридных средах

Традиционные правила корреляции в SIEM- системах построены на логических комбинациях событий, временных окнах и пороговых значениях. Такой подход хорошо работает против известных атак с чёткими паттернами, но терпит неудачу при столкновении с адаптивными угрозами. Например, запуск PowerShell после входа в систему может быть как абсолютно легитимным действием системного администратора, так и начальным этапом выполнения вредоносного скрипта. Без учёта дополнительного контекста — кто пользователь, на каком устройстве он работает, обновлено ли это устройство, в какое время суток произошло событие — невозможно дать адекватную оценку риска.

Более того, даже современные EDR-системы, способные точно идентифицировать подозрительное поведение на хосте, не всегда передают эту информацию в понятной для SIEM-системы форме. Часто они отправляют уведомление «обнаружено подозрительное поведение», не дополняя его метаданными о степени уязвимости системы или значимости актива. В итоге SIEM-система не может связать это событие с другими: например, с недавним входом из географически несвойственного региона или с попыткой доступа к критической базе данных. Подобные сценарии частично пересекаются с рисками, описанными в OWASP Top 10:2021 [5].

Разрыв между данными и их интерпретацией приводит к двум ключевым проблемам: во-первых, к росту числа ложных срабатываний, что вызывает “усталость у аналитиков” (alert fatigue); во-вторых, к пропуску реальных угроз, поскольку каждое отдельное событие в цепочке атаки не достигает порога тревоги.

Таким образом, ключевые ограничения традиционных SIEM/EDR-решений сводятся к отсутствию гибкости и контекстной осведомлённости. Наглядное сравнение существующего подхода на основе статической корреляции и предложенного подхода на основе приведено в таблице 1.

Таблица 1. - Сравнение статической и контекстно-адаптивной корреляции событий (Составлена автором)

Критерий	Статическая корреляция	Контекстно-адаптивная корреляция
Основа правила	Фиксированная логическая комбинация событий (например, «5 неудачных входов + успешный вход»)	Динамическое правило, вес которого зависит от состояния среды (уязвимости, роль, время и др.)
Учёт уязвимостей	Нет	Да — если хост уязвим, вес подозрительных событий возрастает
Учёт роли пользователя	Нет	Да — действия администраторов оцениваются строже
Реакция на поведенческие аномалии	Только если явно прописано в правиле	Автоматически — через профиль пользователя из EDR
Интеграция с EDR	Формальная (логи как данные)	Семантическая (EDR передаёт не событие, а оценку риска)
Количество ложных срабатываний	Высокое (25–30 на 1000 событий)	Снижено на 35–40% (до 15–18 на 1000 событий)
Время обнаружения (MTTD)	Долгое (часто — после завершения атаки)	Сокращено — угроза выявляется на промежуточных этапах
Требования к настройке	Ручное создание правил	Онтологическая модель + автоматический пересчёт весов

Как видно из Таблицы 1, ключевое отличие предложенного подхода заключается в переходе от формального объединения данных к их семантическому обогащению и динамической интерпретации. В то время как статическая корреляция рассматривает события изолированно, контекстно-адаптивная модель учитывает состояние всей ИТ-инфраструктуры, что позволяет не только повысить точность обнаружения, но и снизить операционную нагрузку на аналитиков. Приведённые метрики (снижение ложных срабатываний на 35–40 % и сокращение времени обнаружения) подтверждены в ходе экспериментальной реализации и согласуются с результатами, описанными в работе [8].

3. Гибридная модель на основе контекстно-адаптивной корреляции

Для решения описанной проблемы предложена модель, в которой корреляционные правила являются не статическими, а обеспечивают учет изменений текущего состояния защищаемой среды. В основе модели лежит использование динамического пересчета веса каждого правила на основе внешнего контекста, поступающего из EDR и инфраструктурных систем управления. Структурная схема процесса контекстно-адаптивной корреляции событий безопасности представлена на рисунке 2.

Рис. 2 - Структурная схема корреляции событий безопасности (Составлена автором)

На представленной схеме отражены основные компоненты системы контекстно-адаптивной корреляции. Источником данных выступает EDR-система, генерирующая события и передающая их в SIEM-систему в обогащённом виде — с метаданными о состоянии хоста, роли пользователя и характере активности. В ядре корреляции SIEM-движок взаимодействует с онтологией безопасности, реализованной на языке OWL 2. Онтология содержит формализованные классы и аксиомы, позволяющие динамически оценивать риск события на основе текущего контекста. Результат анализа поступает в блок реакции, где может быть использован как для формирования алерта для SOC-аналитика, так и для запуска автоматизированных действий (изоляции хоста, блокировки сессии, запроса дополнительной аутентификации).

Для построения модели контекстно-адаптивной корреляции в ядре корреляции применяется онтологический подход [7]. В онтологии определены следующие ключевые классы:

Уязвимый Хост — экземпляр конечного устройства, для которого актуальна одна или несколько уязвимостей, описанных в базе CVE;

Критический Пользователь — пользователь с повышенными привилегиями (например, администратор домена);

Подозрительная Активность EDR — событие, зафиксированное EDR-системой и классифицированное как аномальное;

Контекстное Правило — правило корреляции, вес которого вычисляется динамически.

4. Реализация и экспериментальная проверка

Для проверки предложенной модели была построена тестовая среда на базе open-source решений: Wazuh в качестве EDR-агента и компонента сбора событий, Elasticsearch для хранения и обработки данных, Kibana — для визуализации и анализа. Такой стек позволяет реализовать как сбор данных с конечных точек, так и гибкую настройку правил корреляции.

Рис. 3 - Структурная схема экспериментальной среды на базе Wazuh, Elasticsearch и Kibana(Составлена автором)

На рисунке 3 представлена архитектура экспериментальной среды, состоящая из трёх основных компонентов-агентов:

Агент Wazuh выступает в роли EDR-системы и осуществляет сбор событий безопасности с конечных точек. Собранные данные передаются в Elasticsearch в формате JSON.

Агент Elasticsearch обеспечивает хранение, индексацию и обработку поступающих данных, а также выполняет функции движка корреляции. В систему загружаются правила обнаружения угроз, реализованные в виде логических условий и запросов к индексированным событиям.

Агент Kibana предоставляет веб-интерфейс для визуализации данных, мониторинга событий безопасности и построения аналитических дашбордов. Через этот интерфейс аналитик получает доступ к предупреждениям и может проводить детальное расследование цепочек инцидентов. Связи между компонентами односторонние: от Wazuh → Elasticsearch → Kibana. Это соответствует типовой архитектуре ELK-стека и позволяет легко масштабировать среду при необходимости.

В рамках эксперимента была смоделирована типовая цепочка атаки APT соответствующая типовым угрозам, описанным в Методике оценки угроз безопасности информации [3]: на первом этапе атакующий получил учётные данные сотрудника через фишинг, затем выполнил вход в корпоративную сеть, запустил утилиту Mimikatz для извлечения хэшей из памяти, и, наконец, осуществил латеральное перемещение от точки входа на сервер баз данных с помощью утилиты удалённого выполнения команд PsExec .Используемые техники (Credential Dumping, Remote Services) соответствуют тактикам MITRE ATT&CK Framework [6]. Каждый этап атаки был зафиксирован в EDR- и SIEM - системах.

При использовании стандартного набора статических правил ни один из этапов не вызвал предупреждения высокого уровня: вход был успешным, однако утилита Mimikatz не имела цифровой подписи и не была включена в списки известных вредоносных программ, а утилита PsExec является легитимным инструментом администрирования, входящим в состав системного программного обеспечения Microsoft. В рамках контекстно-адаптивной модели система среагировала на комбинацию факторов: нестандартное время активности, уязвимость целевого сервера, отсутствие у пользователя истории использования подобных инструментов. В результате предупреждение было сгенерировано на этапе латерального перемещения, что позволило предотвратить дальнейшее развитие атаки.

Эксперимент показал, что предложенный подход не только повышает точность обнаружения угроз, но и снижает операционную нагрузку на аналитиков за счёт фильтрации фонового шума. На выборке из 1000 обработанных событий количество ложных срабатываний сократилось с 28 до 17 (на 39 %), а среднее время обнаружения угрозы (MTTD) уменьшилось с 42 до 18 секунд — более чем в два раза. Динамика этих изменений наглядно представлена на рисунках 4.5. Рисунок 4 отражает снижение количества ложных срабатываний. Рисунок 5 — сокращение времени обнаружения угрозы при переходе от статической к контекстно-адаптивной корреляции.

Рис. 4 - Сравнение количества ложных срабатываний при использовании статической и контекстно-адаптивной корреляции

Рис. 5 - Сравнение среднего времени обнаружения угрозы (MTTD) при использовании статической и контекстно-адаптивной корреляции

Заключение

Представленная модель демонстрирует, что эффективность систем обнаружения угроз может быть значительно повышена не за счёт увеличения объёма данных, а за счёт более глубокого их понимания. Обоснована и экспериментально подтверждена целесообразность перехода от статических правил к контекстно-адаптивной корреляции, где каждое предупреждение оценивается не изолированно, а с учетом текущего состояния всей ИТ-инфраструктуры.

Онтологический подход обеспечивает семантическую связность между событиями, поступающими из разных источников, и позволяет системе принимать более обоснованные решения. При этом модель остаётся гибкой и может быть реализована как в open-source, так и в коммерческих решениях.

В ходе следующих исследований планируется расширить контекст за счёт интеграции данных из облачных платформ и внедрить механизмы автоматического обучения для динамической настройки весов. Это позволит системе не только адаптироваться к текущей ситуации, но и эволюционировать со временем, постепенно повышая свою эффективность.

ЛИТЕРАТУРА

1. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (в ред. от 08.08.2024) [Электр онный ресурс] // КонсультантПлюс. URL: https://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 19.10.2025).

2. ГОСТ Р 57580.2–2017. Защита информации. Обеспечение информационной безопасности организаций. Часть 2. Основные термины и определения. – Введ. 2017-07-01. – М.: Стандартинформ, 2017. – 24 с.

3. Методика оценки угроз безопасности информации: утв. Федеральной службой по техническому и экспортному контролю 5 февраля 2021 г. – М., 2021. – 83 с.

4. ГОСТ Р 59547–2021. Защита информации. Мониторинг информационной безопасности. Общие требования. – Введ. 2022-07-01. – М.: Стандартинформ, 2021. – 24 с.

5. OWASP Foundation. OWASP Top 10:2021. The Ten Most Critical Web Application Security Risks [Электронныйресурс]. URL: https://owasp.org/www-project-top-ten/ (дата обращения: 25.12.2025).

6. MITRE Corporation. MITRE ATT&CK® Framework. Enterprise Matrix [Электронный ресурс]. URL: https://attack.mitre.org/ (дата обращения: 22.12.2025).

7. Ворожцова Т. Н. Онтология как основа для разработки интеллектуальной системы обеспечения кибербезопасности // Онтология проектирования. – 2014. – № 4. – С. 55–63.

8. Куприянов А. И., Куприянова Е. А. Онтологическая модель угроз информационной безопасности веб-приложений // Известия Южного федерального университета. Технические науки. — 2020. — № 4 (205). — С. 112–121. — ISSN 1995-5461. — URL: https://izv.etu.ru/assets/files/4.pdf (дата обращения: 24.12.2025).

Код для цитирования: Скопировать