🖥️ SIEM Architecture & Components

Security Information and Event Management System

📊 Типовая архитектура SIEM

Data Sources
(Источники)
🖥️
Servers
Windows, Linux, Unix logs
🔒
Security Devices
Firewall, IDS/IPS, WAF
🌐
Network Devices
Routers, Switches, VPN
📱
Applications
Web apps, Databases, Email
☁️
Cloud Services
AWS, Azure, GCP logs
🛡️
Endpoints
EDR, Antivirus, DLP
⬇️
Collection
(Сбор)
📡
Agents
Установленные на хостах
🔌
Syslog
UDP/TCP 514
🔗
API Integration
REST API, Webhooks
📂
File Monitoring
Log file readers
⬇️
Processing
(Обработка)
🔄
Normalization
Приведение к единому формату
🏷️
Enrichment
GeoIP, Threat Intel, LDAP
Correlation
Правила корреляции событий
🧮
Aggregation
Группировка похожих событий
⬇️
Storage & Output
(Хранение)
💾
Database
Elasticsearch, PostgreSQL
📊
Dashboards
Kibana, Grafana
🚨
Alerting
Email, SMS, Slack, SOAR
📈
Reporting
Compliance, Executive reports

⚙️ Основные функции SIEM

  • Централизованный сбор логов
  • Корреляция событий в реальном времени
  • Обнаружение аномалий и угроз
  • Форензика и расследования
  • Compliance мониторинг (PCI DSS, GDPR)
  • Автоматизация реагирования

🔍 Методы детектирования

  • Rule-based detection (правила)
  • Statistical analysis (статистика)
  • Machine Learning (ML/AI)
  • Behavioral analysis (поведение)
  • Threat Intelligence feeds
  • User Behavior Analytics (UBA)

📋 Типы корреляций

  • Временная корреляция (time-based)
  • Пороговая (threshold)
  • Паттерн-based (шаблоны)
  • Статистическая
  • Cross-correlation (между источниками)
  • Risk-based (на основе рисков)
📝 Пример правила корреляции: Brute Force Detection
rule "SSH_Brute_Force_Attack" { events: $failed = count( Event( event_id == 4625 OR event_id == 5156, service == "ssh", action == "failed" ) ) >= 5 within: 5 minutes group by: source_ip, destination_ip condition: $failed AND NOT source_ip in whitelist_ips action: alert( severity: "HIGH", category: "Brute Force", description: "Multiple failed SSH attempts detected" ) block_ip(source_ip, duration: 1h) }

🎯 Use Cases SIEM

🔐
Account Compromise
Множественные входы с разных GEO
🦠
Malware Detection
Подозрительные процессы и сетевая активность
📤
Data Exfiltration
Большие объемы исходящего трафика
🔑
Privilege Escalation
Изменение прав, добавление в группы
🎣
Phishing Detection
Анализ email и web-активности
💻
Insider Threat
Аномальное поведение пользователей

🛡️ Wazuh SIEM - Особенности

📊 Архитектура Wazuh

  • Wazuh Manager - центральный сервер
  • Wazuh Agents - на endpoints
  • Elasticsearch - хранение данных
  • Kibana + Wazuh App - визуализация
  • Filebeat - пересылка логов

🔧 Возможности

  • File Integrity Monitoring (FIM)
  • Vulnerability Detection
  • Configuration Assessment
  • Threat Intelligence
  • Regulatory Compliance
  • Cloud Security Monitoring

📋 Decoders & Rules

  • Более 3000 встроенных правил
  • Декодеры для парсинга логов
  • CDB списки для обогащения
  • Active Response для автоматизации
  • Интеграция с VirusTotal, MISP