Логи как источник данных, а не мусор: что можно увидеть ещё до появления SIEM

В большинстве компаний логи существуют, потому что так устроено программное обеспечение: оно пишет их по умолчанию. Они куда-то ротируются, иногда архивируются, и к ним обращаются в двух случаях: когда что-то сломалось или когда пришёл аудитор.

Это упущенная возможность. Логи - это непрерывная запись того, что происходит в системе. Из неё можно извлекать сигналы задолго до того, как компания дорастёт до SIEM или специализированной платформы мониторинга. Тот же принцип работает шире: первый вопрос всегда один - инвентаризация, то есть понимание того, какие данные у вас уже есть, прежде чем тянуться за платформой.

Что на самом деле содержится в логах

Операционные системы, веб-серверы, базы данных и бизнес-приложения фиксируют разные вещи, но в большинстве случаев логи содержат:

• кто и когда совершил действие (идентификатор пользователя, временная метка);
• что именно было сделано (запрос, операция, изменение);
• с какого адреса пришёл запрос;
• успешно ли выполнилось действие и если нет - с каким кодом ошибки;
• сколько времени заняло выполнение.

Это пять измерений, каждое из которых несёт смысл. Вместе они дают возможность отвечать на вопросы, которые иначе не имеют ответа.

Что можно увидеть без специальных инструментов

Даже простой анализ текстовых логов с помощью стандартных инструментов командной строки даёт многое:

• Аномалии активности. Пользователь, который обычно работает в рабочие часы, вдруг генерирует запросы в 3 часа ночи. Или объём запросов к определённому ресурсу вырос в 20 раз за час.
• Ошибки аутентификации. Серия неудачных попыток входа под одним логином - это либо забытый пароль, либо попытка подбора. Разница видна по паттерну.
• Медленные операции. Запросы, которые стали выполняться значительно дольше обычного, часто сигнализируют о деградации производительности или о нагрузке, которую не ожидали.
• Доступ к редко используемым данным. Если вдруг начали запрашиваться данные, к которым обычно никто не обращается - это стоит заметить.

Для этого не нужен SIEM. Нужна привычка смотреть в логи регулярно, а не только после инцидента.

Логи как материал для аудита

В регулируемых отраслях - финансы, медицина, государственный сектор - логи часто являются единственным доказательством того, что произошло. "Кто удалил эту запись?" Если логи не хранятся или хранятся бесконтрольно, ответа нет.

Базовый аудиторский след требует небольшого:

• фиксировать все изменения данных с идентификатором пользователя и временем;
• хранить логи в месте, куда обычный пользователь не имеет прав на запись;
• определить срок хранения, исходя из требований бизнеса или регулятора;
• убедиться, что временны́е метки в разных системах синхронизированы.

Это не SIEM. Это дисциплина.

Логи как аналитический материал

Помимо безопасности и аудита, логи - это источник операционных данных. Веб-сервер знает, какие страницы открываются чаще всего, какие запросы завершаются ошибкой, откуда приходят пользователи. База данных знает, какие запросы занимают больше всего ресурсов.

Эти данные часто ценнее того, что компания собирает специально - потому что они не зависят от JavaScript-трекеров, настроек браузера и готовности пользователя принять cookies.

С чего начать

Если логи сейчас - это просто файлы, которые никто не читает, разумный первый шаг не в покупке платформы:

1. Определить, какие логи существуют и где они хранятся.
2. Проверить, что они содержат достаточно информации - особенно идентификаторы пользователей.
3. Установить политику хранения - сколько и где.
4. Назначить ответственного - кто их читает и когда.
5. Договориться об одном базовом дашборде по аномалиям, который кто-то смотрит раз в день.

Инструмент придёт потом. Привычка и процесс - сначала.