NGFW + SIEM: как превратить сетевые логи в реальные инциденты
Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС
Сайт: legascom.ru
Email: petukhov@legascom.ru
NGFW - мощный источник данных для SOC, но его реальная ценность раскрывается только в связке с SIEM. Сами по себе логи NGFW не дают понимания угроз: они фиксируют факты, а SIEM превращает их в сценарии и выявляет аномалии.
Почему одних логов NGFW недостаточно
NGFW фиксирует сразу несколько измерений одного события: кто (пользователь), с чего (устройство), каким приложением и куда (ресурс) пытается получить доступ. Это делает его не просто сетевым, а поведенческим сенсором. Однако есть проблемы:
Слишком много данных. В потоке перемешаны технические детали и фрагменты контекста - без обработки они не отвечают на главный вопрос SOC: нужно ли реагировать.
Разные форматы и трактовки. Одно и то же действие выглядит по‑разному в логах разных вендоров и даже в разных политиках одного NGFW. Аналитику приходится вручную переводить события в логику инцидентов - такой подход не масштабируется.
Нет динамики. NGFW фиксирует момент, но не сценарий. Без агрегации и временной корреляции события остаются разрозненными фактами, из которых сложно восстановить цепочку действий.
В результате NGFW часто используют утилитарно - как источник «шумных» логов, к которому обращаются уже после инцидента. Это сильно снижает его ценность.
Роль SIEM: сборка контекста и экспертиза
SIEM собирает данные из разных источников и добавляет смысл к сетевым событиям. Именно так NGFW становится частью модели поведения в сети:
Контекст доступа. Сопоставление событий NGFW с каталогами и системами управления доступом позволяет отличать норму от угрозы. Например, один и тот же сетевой паттерн может быть легитимным для сервисной учётной записи и подозрительным для обычного пользователя.
Корреляция с EDR и защитой конечных точек. Если на устройстве есть признаки компрометации, даже допустимое сетевое соединение становится тревожным сигналом.
События аутентификации и удалённого доступа. NGFW показывает, откуда и как пользователь выходит в сеть, но только вместе с данными аутентификации можно выявить использование скомпрометированных учётных данных.
Поведенческая аналитика и ML. Для NGFW аномалия - это отклонение от заданного правила. Для SIEM - изменение привычного поведения. Так становятся заметны тонкие сигналы: медленный рост исходящего трафика, смещение направлений, редкие приложения у конкретных пользователей.
Ретроспектива. NGFW работает в реальном времени, SIEM хранит историю. Когда становится понятно, что искать, можно восстановить цепочки действий за недели и месяцы и увидеть ранние признаки компрометации.
Таким образом, NGFW отвечает на вопрос «что произошло», а SIEM - «что это значит и насколько это опасно».
Какие инциденты выявляются именно в связке NGFW+SIEM
Некоторые угрозы почти невозможно надёжно детектировать без корреляции:
Внутреннее сканирование и горизонтальное перемещение. Серия разрешённых соединений между сегментами выглядит нормально в NGFW, но в SIEM складывается в паттерн разведки.
C&C‑каналы. На ранних стадиях это редкие домены, нестандартные порты или почти легитимные приложения. Только история и корреляция отличают разовое отклонение от устойчивого канала управления.
Брутфорс на VPN и веб‑порталах. Несколько неудачных попыток сами по себе не опасны, но плотность и распределение по времени и учётным записям выдают автоматизацию.
Обход политик. Отклонения по географии, времени, приложениям фиксируются NGFW постоянно, но в SIEM они формируют картину деградации контроля с учётом роли пользователя и его обычного поведения.
Ранние признаки утечек. Нетипичный объём исходящего трафика, странные направления, непривычные приложения - всё это заметно на сетевом уровне задолго до того, как инцидент становится очевидным.
Практические рекомендации по интеграции
Чтобы NGFW стал опорой для аналитики, а не источником шума, важно:
Собирать не всё подряд, а осмысленные данные. Ценность представляют завершённые действия и принятые решения: «разрешено», «заблокировано», «классифицировано как угроза». Это упрощает работу SOC и снижает нагрузку.
Контролировать качество парсинга. Ошибки в полях (пользователь, приложение, ресурс) могут долго оставаться незамеченными, но разрушают самую ценную связь в событиях. Парсинг нужно воспринимать как живой процесс и регулярно проверять после обновлений NGFW и изменений политик.
Двигаться поэтапно. Начинать с нескольких устойчивых паттернов и расширять аналитику по мере накопления статистики. Так формируется собственная модель нормального поведения сети, и NGFW перестаёт быть «шумным» источником.
Фокусироваться на поведении, а не на отдельных событиях. Цель - не просто видеть трафик, а понимать, где формальные политики расходятся с фактическим поведением и где появляются первые признаки злоупотреблений.
Вывод
Ценность NGFW определяется не пропускной способностью и не количеством сигнатур, а тем, какую модель поведения он помогает построить. Сам по себе межсетевой экран остаётся реактивным инструментом: он фиксирует и контролирует, но почти не объясняет происходящее. Его события приобретают смысл только в более широкой картине, которую собирает и интерпретирует SIEM.
При грамотной интеграции NGFW превращается из сетевого периметра в один из ключевых источников наблюдаемости. SIEM же становится «переводчиком» и аналитиком: он связывает отдельные действия в сценарии, выявляет отклонения ещё до того, как они становятся явными атаками, и даёт SOC возможность действовать на опережение.




