Автономна оркестрована система реагування на інциденти на основі SIEM

doi:10.26565/2304-6201-2026-69-02

Дмитро Братко Інститут спеціального зв’язку та захисту інформації Національного технічного університету України “Київський політехнічний інститут імені Ігоря Сікорського”, вул. Верхньоключова 4, м. Київ, Україна, 03056 https://orcid.org/0009-0001-0863-9285
Володимир Кубрак PhD, Старший викладач Спеціальної кафедри № 1 https://orcid.org/0000-0001-8877-5289
Александра Матійко Інститут спеціального зв’язку та захисту інформації Національного технічного університету України “Київський політехнічний інститут імені Ігоря Сікорського”, вул. Верхньоключова 4, м. Київ, Україна, 03056 https://orcid.org/0000-0002-6947-5958

DOI: https://doi.org/10.26565/2304-6201-2026-69-02

Ключові слова: Splunk, Ansible, SIEM, оркестроване реагування, автономне реагування, SSH brute-force, SSH Host CA

Анотація

Актуальність. Сучасні інформаційні системи генерують події безпеки з різних джерел, таких як журналів операційних систем і сервісів, мережевих сенсорів, сканерів вразливостей та інших засобів моніторингу. У таких умовах SIEM дає змогу централізовано збирати, індексувати та корелювати телеметрію, однак сам перехід від результату аналітики до практичного реагування часто залишається недостатньо формалізованим. Це призводить до затримок, залежності від ручних дій, складнощів із повторюваністю процедур і відсутності єдиного механізму підтвердження виконаних реакцій. Додатковою проблемою є безпечний автономний доступ до кінцевих вузлів під час інциденту, коли неприпустимими є як ручні підтвердження SSH-з’єднання, так і небезпечна довіра до першого ключа. У зв’язку з цим актуальною є побудова архітектурного моста між SIEM-аналітикою та системою оркестрації, здатного забезпечити кероване, відтворюване й аудитоване реагування на інциденти незалежно від первинного джерела подій.

Метою роботи є обґрунтування та експериментальна перевірка архітектурного підходу до автономного оркестрованого реагування на інциденти, у межах якого результати аналітики SIEM перетворюються на структурований інцидентний запис і далі використовуються для запуску процедур реагування в системі оркестрації. Для досягнення цієї мети передбачено опис детектора у декларативному вигляді, стандартизацію інцидентного запису, керування повторними спрацюваннями через унікальний ключ інциденту та інтервал блокування повторного запуску, узгодження цільових активів із даними inventory, журналювання результатів виконання, а також реалізацію безпечного доступу до кінцевих вузлів на основі SSH Host CA. Демонстраційним прикладом обрано сценарій виявлення та реагування на SSH brute-force.

Результати. У результаті дослідження сформовано й експериментально перевірено архітектурний підхід, який поєднує SIEM-аналітику з автоматизованим виконанням реакційних дій на цільових активах. Показано, що результат аналітичного запиту в SIEM може бути послідовно перетворений на інцидентний запис, використаний для побудови унікального ключа інциденту, перевірки політик повторного запуску, узгодження активу з inventory та передачі параметрів до playbook. Реалізований прототип підтвердив технічну можливість побудови повного циклу від виявлення події в SIEM до виконання реакційної процедури на кінцевому вузлі та фіксації результату у структурованому журналі. Окремо підтверджено, що використання SSH Host CA дає змогу забезпечити безпечний автономний доступ до кінцевих вузлів без ручного підтвердження під час інциденту. Отримані результати також показали, що запропонована архітектура може бути масштабована на інші сценарії реагування за умови зміни правил виявлення та процедур виконання.

Висновки. Отримані результати підтверджують, що поєднання SIEM-аналітики з системою оркестрації дає змогу реалізувати керований контур автономного реагування на інциденти. Результат аналітики в SIEM перетворюється на інцидентний запис, який використовується для контролю повторних запусків, узгодження цільового активу з inventory та запуску сценарію реагування. Практична перевірка на прикладі SSH brute-force підтвердила технічну здійсненність такого підходу: реалізовано повний цикл від виявлення події до виконання реакції та фіксації її результату в журналі. Запропонована архітектура придатна для реагування на інциденти, зафіксовані з використанням різних джерел подій, якщо їх результати агрегуються та корелюються в SIEM. Використання SSH Host CA забезпечує безпечний автономний доступ до кінцевих вузлів без ручного підтвердження під час інциденту. Подальший розвиток роботи доцільно пов’язати з програмною реалізацією модуля-міста, розширенням бібліотеки сценаріїв реагування та передаванням журналу реагування до SIEM для подальшого аналізу.

Завантаження

##plugins.generic.usageStats.noStats##

Біографії авторів

Дмитро Братко, Інститут спеціального зв’язку та захисту інформації Національного технічного університету України “Київський політехнічний інститут імені Ігоря Сікорського”, вул. Верхньоключова 4, м. Київ, Україна, 03056

магістрант, курсант

Володимир Кубрак, PhD, Старший викладач Спеціальної кафедри № 1

Інститут спеціального зв’язку та захисту інформації Національного технічного університету України “Київський політехнічний інститут імені Ігоря Сікорського”, вул. Верхньоключова 4, м. Київ, Україна, 03056

Александра Матійко, Інститут спеціального зв’язку та захисту інформації Національного технічного університету України “Київський політехнічний інститут імені Ігоря Сікорського”, вул. Верхньоключова 4, м. Київ, Україна, 03056

PhD, Доцент Спеціальної кафедри №1

Посилання

C. Pascoe, S. Quinn, K. Scarfone. The NIST Cybersecurity Framework (CSF) 2.0. NIST Cybersecurity White Paper 29. Gaithersburg, MD, USA : National Institute of Standards and Technology, 2024. DOI: 10.6028/NIST.CSWP.29. https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf

K. Rigopoulos, S. Quinn, C. Pascoe, J. Marron, A. Mahn, D. Topper. NIST Cybersecurity Framework 2.0: Resource & Overview Guide. NIST Special Publication 1299. Gaithersburg, MD, USA : National Institute of Standards and Technology, 2024. DOI: 10.6028/NIST.SP.1299. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1299.pdf

A. Nelson, S. Rekhi, M. Souppaya, K. Scarfone. Incident Response Recommendations and Considerations for Cybersecurity Risk Management: A CSF 2.0 Community Profile. NIST Special Publication 800-61 Rev. 3. Gaithersburg, MD, USA : National Institute of Standards and Technology, 2025. DOI: 10.6028/NIST.SP.800-61r3. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r3.pdf

European Union Agency for Cybersecurity (ENISA). ENISA Threat Landscape 2024. 2024. (дата звернення: 23.03.2026) URL: https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024

MITRE ATT&CK. Brute Force, Technique T1110 - Enterprise. (дата звернення: 23.03.2026) URL: https://attack.mitre.org/techniques/T1110/

Splunk. Search | Splunk Enterprise. (дата звернення: 23.03.2026) URL: https://docs.splunk.com/Documentation/Splunk/9.4.2/SearchReference/Search

Splunk. savedsearches.conf | Platform. (дата звернення: 23.03.2026) URL: https://docs.splunk.com/Documentation/Splunk/9.4.2/Admin/Savedsearchesconf

Ansible Project. How to build your inventory. https://docs.ansible.com/projects/ansible/latest/inventory_guide/intro_inventory.html

Ansible Project. ansible-playbook. (дата звернення: 23.03.2026) URL: https://docs.ansible.com/projects/ansible/latest/cli/ansible-playbook.html

OpenBSD. ssh-keygen(1). (дата звернення: 23.03.2026) URL: https://man.openbsd.org/OpenBSD-7.6/ssh-keygen.1

Anderson R. Security Engineering: A Guide to Building Dependable Distributed Systems. 3rd ed. Hoboken, NJ, USA : Wiley, 2020. https://www.wiley.com/en-cn/Security+Engineering%3A+A+Guide+to+Building+Dependable+Distributed+Systems%2C+3rd+Edition-p-9781119642787

Bejtlich R. The Tao of Network Security Monitoring: Beyond Intrusion Detection. Boston, MA, USA : Addison-Wesley, 2004. https://www.informit.com/store/tao-of-network-security-monitoring-beyond-intrusion-9780321246776