Корреляция событий от сенсоров информационной безопасности

Существует множество способов обнаружения событий информационной безопасности: сигнатуры, эвристические правила, поведенческий анализ, машинное обучение. При этом большинство современных компьютерных атак являются сложными и многостадийными, и для их точного обнаружения требуется сопоставление сигналов от различных сенсоров в течение длительного времени. Предлагаемый в докладе метод корреляции базируется на матрице MITRE ATT&CK и позволяет динамически формировать группы взаимодействующих узлов и коррелировать события от любых сенсоров по месту, времени и тактике. В результате выявляются возможные kill chains, количество которых может быть в сотни или тысячи раз меньше количества исходных событий от сенсоров, что значительно облегчает дальнейший экспертный анализ.