Специфика разработки и применения правил корреляции для событий информационной безопасности в современных SIEM-системах (на примере Microsoft Windows)

Abstract

В статье представлены разработанные авторами правила корреляции, которые базируются на анализе реально проведенных компьютерных атак и соответствующих журналов событий и направлены на эффективное выявление угроз в среде Microsoft Windows, а также позволяют обеспечить более точное и оперативное обнаружение аномальных активностей для повышения эффективности SIEM-систем.

The paper presents the correlation rules developed by the authors, which are based on the analysis of real computer attacks and the corresponding event logs and are aimed at effective detection of threats in Microsoft Windows environment, as well as provide more accurate and rapid detection of anomalous activities to improve the efficiency of SIEM systems.