Автоматизация выявления инцидентов информационной безопасности с использованием кастомных правил корреляции в SIEM-системе

Рассматривается прикладной подход к повышению эффективности выявления инцидентов информационной безопасности в системах управления базами данных на примере PostgreSQL при использовании промышленной системы управления событиями и инцидентами информационной безопасности MaxPatrol SIEM. Обоснована актуальность задачи в условиях роста сложности атак и увеличения объемов журналируемых данных, что усложняет выделение значимых событий и формирование целостного контекста инцидента. В качестве методической основы использована методика оценки угроз безопасности информации ФСТЭК России, позволяющая увязать наблюдаемые журнальные признаки с техниками реализации угроз. В ходе исследования выполнен двухэтапный отбор релевантных техник угроз, анализ соответствия штатных правил корреляции MaxPatrol SIEM выбранным сценариям и выявление пробелов в обнаружении. Показано, что встроенный набор правил обеспечивает ограниченное покрытие техник и преимущественно ориентирован на административные операции и типовые сценарии аутентификации. Для закрытия выявленных пробелов разработан набор пользовательских корреляционных правил, реализующих детекцию на основе характерных SQL-конструкций, последовательностей ошибок и обращений к чувствительным объектам. Разработанные правила прошли валидацию и успешно внедрены, что позволило обеспечить полное покрытие отобранных техник угроз без изменения журналирования и привлечения внешних модулей. Полученные результаты подтверждают практическую применимость подхода для сопровождения SIEM-решений и адаптации под конкретные источники событий.