Подготовка к инцидентам: логирование, инструменты, плейбуки и форензик-гигиена
Зачем готовиться заранее
В предыдущей статье мы разобрали, что DFIR объединяет скорость реагирования (IR) и доказуемость выводов (форензика), а также почему важны волатильность данных, целостность и chain of custody. Подготовка к инцидентам — это практическая реализация этих принципов до того, как случится атака.
Если подготовки нет, то в момент инцидента обычно происходит следующее:
Логов не хватает или они разрознены.
Нет доступа к нужной телеметрии и инструментам.
Неясно, кто принимает решения и что делать первым.
Действия “для лечения” случайно уничтожают следы.Цель этой статьи — дать вам базовый, но рабочий каркас forensic readiness (форензической готовности): что логировать, какими инструментами пользоваться, как описывать действия плейбуками и как соблюдать форензик-гигиену.
Логирование как фундамент DFIR
Что такое логирование в контексте расследований
Логи — это записи о событиях в системах и приложениях. Для DFIR важны не любые логи, а те, которые помогают ответить на вопросы:
Что произошло (какое событие и на каком активе).
Когда (время и часовой пояс).
Кто инициировал (учетная запись, токен, ключ API).
Каким способом (процесс, команда, сетевое соединение, запрос к API).
Каков масштаб (одиночная активность или массовая).Практическое правило: если событие нельзя надежно восстановить из данных, то его нельзя уверенно доказать.
Минимальный набор источников логов
Ниже — “скелет” телеметрии, без которой расследования почти всегда превращаются в догадки.
| Область | Примеры источников | Что дает в расследовании |
|---|---|---|
| Идентификация и доступ | AD/Azure AD sign-in, VPN, RADIUS, IAM audit | Входы, MFA, подозрительные попытки, эскалации прав |
| Хост (Windows/Linux/macOS) | Журналы ОС, аудит процессов, EDR телеметрия | Запуски процессов, persistence, локальные изменения |
| Сеть | DNS, proxy, firewall, NetFlow, VPN | C2-коммуникации, эксфильтрация, lateral movement |
| Почта и коллаборация | Email audit, антифишинг, журналы доступа | Первичная компрометация через фишинг |
| Облако | CloudTrail, Azure Activity Logs, GCP Audit Logs | Действия через API, изменения политик, ключей |
| Критичные приложения | Web/WAF, DB audit, приложения бизнеса | Атаки на веб, утечки из БД, злоупотребления |
Если вы выбираете, с чего начать, то чаще всего максимальную ценность дают:
Логи аутентификации и изменения прав.
DNS и прокси.
Хостовая телеметрия (через EDR и/или расширенный аудит).Качество логов: полнота, точность, сопоставимость
Чтобы логи работали в DFIR, важно управлять их качеством.
Единое время: договоритесь, что храните время в UTC или всегда явно фиксируете часовой пояс.
Синхронизация времени: на серверах и рабочих станциях должен быть корректный NTP.
Единые идентификаторы: хостнеймы, уникальные IDs устройств, user principal name, идентификаторы облачных аккаунтов.
Контекст: событие без полей “кто” и “откуда” часто бесполезно.!Поток логов от источников до SIEM и использования в мониторинге и расследовании
Централизация и неизменяемость
При подготовке важно решить две задачи:
Централизация: логи должны собираться в место, где их не “потеряет” компрометация одной машины.
Устойчивость к подделке: атакующий часто чистит локальные журналы, поэтому критичные логи лучше хранить отдельно и ограничивать доступ.На практике используют SIEM или централизованное хранилище логов. Для повышения надежности часто добавляют:
Раздельные роли доступа (просмотр, администрирование, экспорт).
Отдельный аккаунт для DFIR-доступа.
Дополнительную копию (архив) на период ретенции.Ретенция: сколько хранить
Ретенция — срок хранения логов. Универсального числа нет, но есть ориентиры.
Для “быстрого реагирования” часто достаточно 30–90 дней.
Для расследований сложных атак полезно 180–365 дней, потому что злоумышленники могут находиться в сети месяцами.Ретенцию выбирают исходя из:
Типичных сценариев угроз.
Требований регуляторов и контрактов.
Стоимости хранения.
Способности команды реально анализировать эти данные.Инструменты готовности: что должно быть под рукой
Инструменты в DFIR — это не “список модных утилит”, а заранее проверенный набор для:
Сбора данных.
Быстрого triage (первичной диагностики).
Глубокого анализа.
Документирования.Категории инструментов
| Категория | Зачем нужна | Примеры |
|---|---|---|
| SIEM/Log management | Корреляция, поиск, хранение | Splunk, Microsoft Sentinel, Elastic |
| EDR | Телеметрия хоста, изоляция, response actions | Microsoft Defender for Endpoint, CrowdStrike, SentinelOne |
| Сбор артефактов (endpoint) | Быстрый сбор файлов, логов, реестра, triage | Velociraptor, osquery |
| Сбор памяти | Поиск инъекций, ключей, сетевых артефактов | WinPMEM, Volatility |
| Анализ дисков/образов | Файловая система, таймлайны, артефакты | Autopsy/Sleuth Kit, FTK Imager |
| Пакетный анализ логов/IOC | Массовый поиск по среде | KQL/SQL, Sigma правила |
| Кейсы и документация | Chain of custody, заметки, задачник | TheHive, Jira/ServiceNow |
Смысл категории важнее бренда: если у вас нет EDR, но есть расширенный аудит ОС и централизованные логи, вы все равно можете построить работающий минимум.
“Боевой доступ” и безопасное администрирование
Частая проблема: инструмент есть, но в момент инцидента нет доступа.
Рекомендуемые практики:
Отдельные учетные записи для администрирования и для повседневной работы.
MFA на доступ к SIEM/EDR/облаку.
Break-glass аккаунт (аварийный доступ) с жестким контролем использования и журналированием.
Jump host (выделенный хост) для админ-доступа, на котором есть нужные утилиты и ограничен выход в интернет.Проверка инструментов до инцидента
Инструменты нужно “обкатать”, иначе в кризис выяснится, что:
Агент не развернут на части серверов.
EDR не собирает нужные события.
Экспорт логов не работает или занимает дни.
Нет шаблонов отчетов и форм chain of custody.Полезная практика — короткие учения, где команда проверяет:
Сбор ключевых логов.
Изоляцию хоста через EDR.
Экспорт артефактов.
Сбор дампа памяти на тестовой машине.Плейбуки реагирования: как действовать одинаково хорошо
Плейбук — это пошаговая инструкция для типового сценария, где заранее определены роли, входные данные, решения и выходные артефакты.
Плейбуки нужны, чтобы:
Не терять время на “а что делаем?”.
Снижать риск ошибок и уничтожения следов.
Делать действия воспроизводимыми.Из чего состоит хороший плейбук
Ниже — структура, которая обычно работает.
Триггеры: какие сигналы запускают плейбук (алерт SIEM, письмо от пользователя, уведомление EDR).
Scope: какие системы входят в периметр, какие исключения.
Роли и контакты: кто IR lead, кто админы, кто юристы, кто владелец сервиса.
Первые 15–30 минут: быстрый triage и сбор волатильных данных там, где это безопасно.
Сдерживание: варианты изоляции с учетом риска потери доказательств.
Сбор данных: конкретный список источников и способ выгрузки.
Анализ: какие гипотезы проверяем и по каким артефактам.
Устранение и восстановление: какие изменения считаются “чистыми”, критерии возврата в прод.
Коммуникации: кто и что сообщает руководству, пользователям, регуляторам.
Выходные артефакты: IOC, таймлайн, отчет, lessons learned.!Как плейбук превращает хаотичные действия в управляемый процесс
Плейбук и доказательность
Плейбук должен помогать не только “лечить”, но и сохранять доказательства. Поэтому в нем полезно явно фиксировать:
Какие действия запрещены до сбора данных (например, переустановка ОС, чистка диска, “антивирусом удалить все”).
Когда допустима перезагрузка и кто это утверждает.
Где и как фиксируются хеши, имена файлов, время сборов.Примеры плейбуков, с которых обычно начинают
Фишинг с компрометацией учетной записи.
Срабатывание EDR на вредоносный процесс.
Подозрение на утечку данных.
Подозрительная активность в облаке (создание ключей, отключение логов, изменения IAM).Форензик-гигиена: как не испортить расследование
Форензик-гигиена — это набор привычек и технических правил, которые снижают риск:
Потерять данные.
Изменить артефакты так, что им нельзя доверять.
Не суметь объяснить, откуда взялись выводы.Главные риски “вредных” действий
На практике чаще всего ломают расследование так:
Перезагружают систему до сбора RAM (теряются процессы, сетевые соединения, ключи).
Запускают “лечилки”, которые удаляют файлы и перетирают артефакты.
Собирают данные без фиксации времени, источника и параметров.
Смешивают оригиналы и рабочие копии.Минимальные правила форензик-гигиены
Документируйте все: кто сделал, что сделал, когда сделал, на каком хосте, из какого источника получили данные.
Разделяйте оригиналы и копии: анализ делайте на копиях.
Фиксируйте целостность: вычисляйте и сохраняйте хеши (например, SHA-256) для образов и крупных артефактов.
Управляйте доступом: минимальный круг лиц, отдельные учетные записи, журналирование доступа.
Соблюдайте порядок волатильности: по возможности сначала собирайте то, что исчезает быстрее.
Не “чините” до сбора: любые remediation-действия должны быть осознанным решением, а не рефлексом.Chain of custody в “корпоративном” DFIR
Даже если вы не готовите материалы в суд, chain of custody полезен для качества работы и внутренней проверки.
Обычно достаточно, чтобы на каждый существенный набор данных было:
Уникальное имя/идентификатор (например, INC-2026-001_HOST123_RAM).
Дата и время сбора.
Кто собрал.
Инструмент и версия.
Хеш.
Где хранится оригинал и кто имеет доступ.Подготовка хранилища доказательств
Чтобы не импровизировать, заранее продумайте:
Где хранить собранные образы, дампы памяти, экспорты логов.
Как разделять “сырые” данные и результаты анализа.
Как обеспечивать резервное копирование и контроль доступа.Практичный минимум — отдельное защищенное хранилище с:
Ограничением записи.
Раздельными правами на чтение и администрирование.
Регулярной проверкой доступности.Как связать все вместе: чеклист готовности
Ниже — компактный чеклист, который можно использовать как план работ.
Логирование
Есть централизованный сбор логов с критичных систем.
Есть логи аутентификации и изменения прав.
Есть DNS и прокси (или эквивалент сетевого следа).
Время синхронизировано, часовые пояса понятны.
Ретенция соответствует рискам.Инструменты
EDR покрывает рабочие станции и серверы (или есть альтернативный сбор артефактов).
Есть инструмент быстрого endpoint triage.
Есть возможность собрать дамп памяти на тестовом стенде.
Есть процесс экспорта данных из SIEM/EDR/облака.Плейбуки и процесс
Определены роли и контакты (включая владельцев систем).
Есть минимум 2–4 плейбука под типовые сценарии.
Есть форма/шаблон для chain of custody и отчета.
Проводятся учения и проверка доступа.Что дальше
Следующие практические темы курса обычно строятся на этой подготовке: конкретные техники сбора артефактов с хоста, построение таймлайна, работа с памятью и логами, а также оформление результатов расследования.
Рекомендуемые источники
NIST SP 800-61 Rev. 2: Computer Security Incident Handling Guide
NIST SP 800-86: Guide to Integrating Forensic Techniques into Incident Response
RFC 3227: Guidelines for Evidence Collection and Archiving
Sysmon (Sysinternals) documentation
Velociraptor (GitHub)
osquery documentation
Volatility 3 documentation (GitHub)
MITRE ATT&CK