Корреляция инцидентов ИБ: почему «единый инцидент» важнее сотни алертов

В кибербезопасности выигрывает не тот, кто генерирует больше уведомлений, а тот, кто первым собирает разнородные события в осмысленный инцидент. В этой колонке — взгляд практика на то, как устроена корреляция в отечественной SC SIEM и что реально получается на «чистом» ELK-стеке без коммерческого модуля Elastic Security.

Ключевые тезисы

• Корреляция ≠ алертинг. Периодические запросы и триггеры — это полезно, но они не заменяют multi-event корреляцию с «памятью» о состоянии.
• Единая сущность «Инцидент». Встроенная агрегация связанных событий экономит время L1-аналитиков и снижает шум.
• Stateful-подход. Механизмы наподобие «флагов контекста» и порогов по окнам времени позволяют детектировать последовательности (kill chain).
• Open-source требует сборки. На базовом ELK сложная корреляция — это набор скриптов, YAML-конфигов и «alert-on-alert», что увеличивает трудозатраты и хрупкость.
• Выбор зависит от целей. Для быстрого SOC-эффекта и регуляторных требований уместна готовая SIEM; для лабораторий и исследований — ELK как конструктор.

Что на самом деле считать корреляцией

В практике SOC «корреляция» — это не «сработал фильтр по запросу», а связывание разных событий по источнику/пользователю/времени и проверка последовательности фаз атаки. Ключевой признак зрелой корреляции — сохранение контекста между срабатываниями (stateful-модель) и выпуск единого инцидента, а не россыпи алертов.

Два подхода: интегрированная SC SIEM и «самосборный» ELK

• SC SIEM. Движок корреляции работает «в потоке», поддерживает пороги по окнам времени, контекстные флаги и правила, которые выражают многошаговые сценарии прямо в теле сигнатур. Из коробки есть сущность «Инцидент», приоритизация и русскоязычный интерфейс/доки.
• ELK (без Elastic Security). Базовый стек обеспечивает сбор/хранилище/визуализацию. Для корреляции применяют Watcher/Alerting, ElastAlert2 или собственную логику в Logstash/скриптах. Это алертинг на результатах запросов, а многошаговые кейсы приходится собирать через «alert-on-alert», отдельные индексы-метки и cron-подобные проверки.

Почему «память о контексте» решает

Атаки разворачиваются по стадиям: подготовка — первичный доступ — закрепление — C2 — действия нарушителя. Система должна помнить: «этот IP уже засветился на подозрительной DLL», «вот его TLS-отпечаток», «а затем пошла нетипичная загрузка». В SC SIEM это реализуется нативно (условно: «установи флаг при событии А, проверь его при событии B/C в течение часа»). В результате команда видит один подтвержденный инцидент по kill chain, а не три разрозненных сигнала.

Наглядность для SOC: единое окно и шумоподавление

При stateful-корреляции мелкие срабатывания «сплавляются» в кейс. Это:

• ускоряет разбор (карточка инцидента содержит хронологию и ключевые сущности);
• снижает нагрузку на L1 (меньше рутинного «сшивания» логов вручную);
• уменьшает «лавины» одинаковых алертов (пороговые/лимитирующие механизмы).

В «чистом» ELK этого поведения нет по умолчанию — его надо конструировать дополнительными компонентами.

Внедрение и сопровождение: стоимость владения

• SC SIEM. Модульная поставка, готовые парсеры и типовые корреляционные сценарии. Обновления правил и документация централизованы, интерфейс — на русском.
• ELK. Придется поддерживать несколько слоев: парсинг (Grok/ingest), алертинг (Watcher/ElastAlert2), собственные скрипты, визуализации. Обновления стеков требуют регрессионных проверок конфигов и зависят от компетенций команды.

Когда выбирать что

• SC SIEM уместна, если цель — быстро получить управляемую корреляцию, единую сущность «Инцидент», русскую локализацию и соответствие отечественным требованиям.
• ELK уместен, если нужна исследовательская среда/песочница, есть ресурсы на разработку и нет требований к готовой stateful-корреляции «из коробки».

Вывод

Корреляция — это про контекст и последовательность, а не про «триггеры по запросам». В архитектуре, где память о событиях встроена в движок, команда получает меньше шума и быстрее приходит к сути инцидента. Для большинства производственных SOC это означает практическое преимущество интегрированной SIEM перед самосборным ELK-стеком без специализированных модулей.