Ретроспективная корреляция (Retrospective Correlation) - это метод анализа данных безопасности, который позволяет выявлять взаимосвязи между событиями задним числом, используя исторические данные из логов и журналов.
Основные принципы
- Анализ уже произошедших событий - в отличие от реального времени (real-time correlation), ретроспективная корреляция изучает данные за прошедший период.
- Обнаружение сложных атак - помогает выявить многоэтапные атаки, которые в момент их совершения могли остаться незамеченными.
- Использование контекста - учитывает временные метки, поведенческие паттерны и связи между событиями.
Пример применения
Атакующий провёл фишинговую атаку, затем использовал украденные учётные данные для доступа к системе и перемещения по сети. В реальном времени SIEM мог не заметить угрозу, но ретроспективный анализ позволяет связать:
- Вход с подозрительного IP,
- Неудачные попытки аутентификации,
- Аномальные действия в учётной записи.
Преимущества:
- Выявление латентных угроз (APT, медленные атаки).
- Повышение точности расследований инцидентов.
- Возможность применения машинного обучения для поиска аномалий в истории.
Технологии, используемые в SIEM
- Хранилища данных (Data Lakes, Elasticsearch)- для долгосрочного хранения логов.
- Сложные запросы (например, на языке KQL, Splunk SPL).
- Графовые анализаторы - для визуализации связей между событиями.
Важно: ретроспективная корреляция требует больших вычислительных ресурсов и грамотной настройки SIEM-системы.
