Блог

Что такое корреляция без нормализации в Alertix и как она работает?

Классические правила корреляции работают с конкретными значениями в определенных полях событий. Например, чтобы обнаружить запуск нежелательной программы удаленного управления, нужно искать ее имя в специальном поле с именами запускаемых программ. При этом сложность заключается в том, что у разных источников эти поля могут называться по-разному и содержать различные данные: полный путь к программе и имя, только имя, имя и ключи запуска. Поэтому требуется нормализация — приведение информации к единому стандарту, к определенной схеме данных. Это позволяет искать нужные значения только в конкретных полях, а не во всем содержимом.

Исторически работа с нормализацией определялась возможностями СУБД. Они были исключительно реляционными и поддерживали только жесткие структуры хранения и поиска в данных. Поиск по всем полям требовал огромных вычислительных ресурсов.
С развитием технологий появились NoSQL (нереляционные) СУБД. Они не привязаны к схеме данных и дают возможность поиска в любом поле без предварительной нормализации.
Наша SIEM-платформа Alertix построена именно на такой СУБД и использует ее возможности в полном объеме. Это позволяет анализировать разносторонние данные из различных источников без приведения их к схеме данных.

В правиле корреляции можно задавать условия поиска очень широко, например: «Найди значение Х во всех данных».
Благодаря поиску без приведения информации к определенной схеме данных и возможности подключения для корреляции внешнего кластера, пользователю не приходится тратить время на создание правил нормализации и дублировать уже имеющиеся данные. Достаточно немного адаптировать поисковый запрос в правилах.

Такой функционал также позволяет использовать SIEM в качестве «озера данных» для хранения логов. Пользователями SIEM в этом случае становятся как ИТ- так и ИБ-специалисты, получающие доступ к данным в удобном формате.