NGFW – один из самых важных источников контекстных данных для SOC, но его ценность раскрывается только при глубокой и корректной интеграции с SIEM: когда события не просто собираются, а нормализуются, обогащаются и анализируются в связке с другими источниками.
В нормальной, взрослой инфраструктуре NGFW – уже не просто стена на периметре. Его главная ценность не столько в том, что он что-то блокирует (хотя без этого тоже никуда), а в том, что через него проходит почти вся осмысленная сетевая активность. По сути, это точка, где видно не пакеты, а намерения – кто, каким приложением и зачем пытается получить доступ к тому или иному ресурсу. По плотности контекста эти данные часто богаче, чем телеметрия с хостов или серверов.
NGFW фиксирует сразу несколько измерений в одном событии: пользователя, устройство, приложение и направление доступа. Поэтому он работает не просто как сетевой, а как поведенческий сенсор. Через него проходят и нормальные бизнес-сценарии, и первые, еще неоформленные признаки проблем – обход политик, странные приложения, нетипичные направления трафика. Нередко именно здесь атака начинает быть заметной раньше, чем ее подхватывают EDR или антивирус.
При этом NGFW часто воспринимают утилитарно – как шумный источник сетевых логов, к которому обращаются уже после инцидента. Такой подход сильно обесценивает его роль. На самом деле NGFW – один из немногих источников, который позволяет связать сетевую активность с бизнес-контекстом: кто и каким способом делает что-то нетипичное и почему это выбивается из ожидаемого сценария.
NGFW фиксирует сразу несколько измерений в одном событии: пользователя, устройство, приложение и направление доступа. Поэтому он работает не просто как сетевой, а как поведенческий сенсор. Через него проходят и нормальные бизнес-сценарии, и первые, еще неоформленные признаки проблем – обход политик, странные приложения, нетипичные направления трафика. Нередко именно здесь атака начинает быть заметной раньше, чем ее подхватывают EDR или антивирус.
При этом NGFW часто воспринимают утилитарно – как шумный источник сетевых логов, к которому обращаются уже после инцидента. Такой подход сильно обесценивает его роль. На самом деле NGFW – один из немногих источников, который позволяет связать сетевую активность с бизнес-контекстом: кто и каким способом делает что-то нетипичное и почему это выбивается из ожидаемого сценария.
Сырые логи NGFW бесполезны для SOC
Проблема NGFW как источника данных не в том, что он дает плохие логи. Наоборот – он дает их слишком много. В одном потоке перемешаны технические детали и куски контекста, которые сами по себе ничего не значат. В отрыве от остальной инфраструктуры эти события просто фиксируют факт сетевой активности, но не отвечают на главный вопрос SOC – есть ли здесь что-то, на что стоит реагировать.
Одно и то же действие может выглядеть по-разному в логах разных производителей и даже внутри одной платформы – в зависимости от профиля или политики. В итоге аналитик каждый раз вручную переводит сетевые события в логику инцидентов, а такой подход плохо масштабируется и быстро упирается в ограниченность людского ресурса.
Есть и другая ловушка – иллюзия наблюдаемости. Когда событий много, кажется, что SOC все видит. Но на практике он видит лишь фрагменты. Отдельное соединение, блокировка или сигнатура почти никогда не имеют смысла без контекста пользователя, его предыдущих действий и событий в других системах.
Плюс ко всему сырые логи плохо работают с динамикой. NGFW фиксирует момент, но не сценарий. Без агрегации и временной корреляции события остаются набором разрозненных фактов, из которых сложно восстановить цепочку действий. В таком виде NGFW помогает разбирать инциденты лишь постфактум и почти не дает ранних сигналов.
Одно и то же действие может выглядеть по-разному в логах разных производителей и даже внутри одной платформы – в зависимости от профиля или политики. В итоге аналитик каждый раз вручную переводит сетевые события в логику инцидентов, а такой подход плохо масштабируется и быстро упирается в ограниченность людского ресурса.
Есть и другая ловушка – иллюзия наблюдаемости. Когда событий много, кажется, что SOC все видит. Но на практике он видит лишь фрагменты. Отдельное соединение, блокировка или сигнатура почти никогда не имеют смысла без контекста пользователя, его предыдущих действий и событий в других системах.
Плюс ко всему сырые логи плохо работают с динамикой. NGFW фиксирует момент, но не сценарий. Без агрегации и временной корреляции события остаются набором разрозненных фактов, из которых сложно восстановить цепочку действий. В таком виде NGFW помогает разбирать инциденты лишь постфактум и почти не дает ранних сигналов.
Контекст решает
Сбор и хранение логов не являются проблемой сами по себе – с этим NGFW и сам справляется отлично. Потребность в SIEM появляется, когда возникает необходимость понять, что сетевые события означают в динамике и в контексте всей инфраструктуры. NGFW отлично фиксирует факт взаимодействия, но почти ничего не знает о намерениях субъекта и ценности ресурса, к которому осуществляется доступ. Без этого контекста сетевое событие остается техническим артефактом, а не элементом инцидента.
Когда события NGFW сопоставляются с информацией из каталогов и систем управления доступом, меняется сама логика интерпретации. Один и тот же сетевой паттерн может быть нормой для сервисной учетной записи и тревожным сигналом для обычного пользователя. Без знания ролей, принадлежности к группам и истории активности SIEM не способен корректно оценить значимость события. NGFW видит действие, но только контекст объясняет, допустимо ли оно.
Похожая ситуация возникает при корреляции с EDR и средствами защиты конечных точек. Сетевое соединение, которое выглядит как редкое, но допустимое, приобретает иной смысл, если на устройстве зафиксированы признаки компрометации или отклонения в поведении процессов.
Не менее важна корреляция с событиями аутентификации и удаленного доступа. NGFW фиксирует, откуда и каким способом пользователь выходит в сеть, но без сопоставления с результатами аутентификации невозможно отличить легитимную активность от использования скомпрометированных учетных данных. Связка сетевых и учетных событий позволяет увидеть сценарии, где формально все шаги разрешены, но их последовательность противоречит нормальной модели работы.
Другими словами, SIEM выступает пространством сборки контекста, в котором NGFW занимает одну из ключевых ролей. Он дает телеметрию о фактических действиях, а другие источники добавляют смысл – кто этот пользователь, в каком состоянии устройство, насколько ценен ресурс и какие действия ему обычно свойственны. На этом уровне появляется возможность говорить не о событиях, а о поведении.
Когда события NGFW сопоставляются с информацией из каталогов и систем управления доступом, меняется сама логика интерпретации. Один и тот же сетевой паттерн может быть нормой для сервисной учетной записи и тревожным сигналом для обычного пользователя. Без знания ролей, принадлежности к группам и истории активности SIEM не способен корректно оценить значимость события. NGFW видит действие, но только контекст объясняет, допустимо ли оно.
Похожая ситуация возникает при корреляции с EDR и средствами защиты конечных точек. Сетевое соединение, которое выглядит как редкое, но допустимое, приобретает иной смысл, если на устройстве зафиксированы признаки компрометации или отклонения в поведении процессов.
Не менее важна корреляция с событиями аутентификации и удаленного доступа. NGFW фиксирует, откуда и каким способом пользователь выходит в сеть, но без сопоставления с результатами аутентификации невозможно отличить легитимную активность от использования скомпрометированных учетных данных. Связка сетевых и учетных событий позволяет увидеть сценарии, где формально все шаги разрешены, но их последовательность противоречит нормальной модели работы.
Другими словами, SIEM выступает пространством сборки контекста, в котором NGFW занимает одну из ключевых ролей. Он дает телеметрию о фактических действиях, а другие источники добавляют смысл – кто этот пользователь, в каком состоянии устройство, насколько ценен ресурс и какие действия ему обычно свойственны. На этом уровне появляется возможность говорить не о событиях, а о поведении.
Экспертиза – то, чего нет в NGFW, но есть в SIEM
Даже самый продвинутый NGFW остается системой с жестко заданной логикой. Он хорошо применяет политики, ловит по сигнатурам, учитывает репутацию и реагирует на явные нарушения. Но как только поведение выходит в серую зону – формально допустимую, но нетипичную, – возможности NGFW быстро заканчиваются. Он фиксирует события, но не умеет интерпретировать их развитие во времени.
SIEM же добавляет к сетевой телеметрии слой накопленной экспертизы. Это не только правила корреляции, но и встроенные знания о типовых сценариях атак, ошибках конфигурации и злоупотреблениях доступом. Эта экспертиза постоянно обновляется и живет отдельно от конкретного NGFW, в то время как сам экран всегда остается привязанным к своим механизмам контроля. В итоге SIEM способен смотреть на события NGFW шире, чем сам источник.
Отдельного внимания заслуживает машинное обучение. Для NGFW аномалия – это, как правило, отклонение от явно заданного правила. Для SIEM аномалия – это изменение привычного поведения. История сетевой активности позволяет увидеть вещи, которые невозможно заметить в моменте: медленный рост исходящего трафика, смещение направлений, появление редких приложений у конкретных пользователей. Такие сигналы слишком тонки для реактивной логики NGFW, но именно они часто предшествуют серьезным инцидентам.
Еще одно принципиальное отличие – работа с ретроспективой. NGFW живет в настоящем и реагирует на события по мере их возникновения. SIEM же хранит историю и позволяет вернуться к ней, когда становится понятно, что именно искать. После выявления компрометации можно восстановить цепочку сетевых действий за недели и месяцы и увидеть ранние признаки, которые на тот момент не выглядели подозрительными.
В итоге NGFW и SIEM решают разные задачи. Первый фиксирует и контролирует, второй – интерпретирует и учится. Вместе они позволяют перейти от реакции на отдельные события к работе с поведением и трендами, что и лежит в основе зрелого обнаружения угроз.
SIEM же добавляет к сетевой телеметрии слой накопленной экспертизы. Это не только правила корреляции, но и встроенные знания о типовых сценариях атак, ошибках конфигурации и злоупотреблениях доступом. Эта экспертиза постоянно обновляется и живет отдельно от конкретного NGFW, в то время как сам экран всегда остается привязанным к своим механизмам контроля. В итоге SIEM способен смотреть на события NGFW шире, чем сам источник.
Отдельного внимания заслуживает машинное обучение. Для NGFW аномалия – это, как правило, отклонение от явно заданного правила. Для SIEM аномалия – это изменение привычного поведения. История сетевой активности позволяет увидеть вещи, которые невозможно заметить в моменте: медленный рост исходящего трафика, смещение направлений, появление редких приложений у конкретных пользователей. Такие сигналы слишком тонки для реактивной логики NGFW, но именно они часто предшествуют серьезным инцидентам.
Еще одно принципиальное отличие – работа с ретроспективой. NGFW живет в настоящем и реагирует на события по мере их возникновения. SIEM же хранит историю и позволяет вернуться к ней, когда становится понятно, что именно искать. После выявления компрометации можно восстановить цепочку сетевых действий за недели и месяцы и увидеть ранние признаки, которые на тот момент не выглядели подозрительными.
В итоге NGFW и SIEM решают разные задачи. Первый фиксирует и контролирует, второй – интерпретирует и учится. Вместе они позволяют перейти от реакции на отдельные события к работе с поведением и трендами, что и лежит в основе зрелого обнаружения угроз.
Какие инциденты рождаются в SIEM из событий NGFW
При нормальной корреляции из событий NGFW начинают появляться инциденты, которые сложно выявить другими средствами. Речь не столько о лобовых атаках, сколько о ситуациях, где поведение формально допустимо, но уже начинает расходиться с нормальной моделью работы сети.
Хороший пример – внутреннее сканирование и ранние стадии горизонтального перемещения. Для NGFW это всего лишь серия разрешенных соединений между сегментами. Каждое из них выглядит нормально, но их сочетание по портам, направлениям и времени быстро складывается в характерный паттерн разведки. В связке с SIEM такие события перестают быть сетевым фоном и начинают читаться как осмысленное движение внутри инфраструктуры.
Похожая история с исходящими соединениями. На ранних этапах C&C редко выглядит как что-то явно вредоносное. Чаще это редкие домены, нестандартные порты или почти легитимные приложения. NGFW все это видит, но только накопленная история и корреляция позволяют отличить разовое отклонение от устойчивого канала управления.
Брутфорс на VPN и веб-порталы в моменте тоже редко выглядит угрожающе. Пара неудачных попыток аутентификации не вызывает тревоги, но их плотность и распределение по времени и учетным записям быстро выдают автоматизацию. Здесь NGFW работает не как средство защиты доступа, а как сенсор давления на периметр – того самого давления, которое сами системы аутентификации могут не заметить.
То же касается и нарушений политик. География, время, приложения – NGFW фиксирует такие отклонения постоянно, но без аналитики они выглядят как частные случаи. В SIEM эти события начинают складываться в более широкую картину обхода правил или постепенной деградации контроля, особенно если учитывать роль пользователя и его обычное поведение.
Наконец, NGFW часто первым дает сигналы о возможной утечке данных. Нетипичный объем исходящего трафика, странные направления, непривычные приложения – все это заметно на сетевом уровне задолго до того, как инцидент становится очевидным. Важно, что SIEM в этом случае позволяет увидеть не просто факт передачи данных, а изменение поведения, которое к ней привело.
Хороший пример – внутреннее сканирование и ранние стадии горизонтального перемещения. Для NGFW это всего лишь серия разрешенных соединений между сегментами. Каждое из них выглядит нормально, но их сочетание по портам, направлениям и времени быстро складывается в характерный паттерн разведки. В связке с SIEM такие события перестают быть сетевым фоном и начинают читаться как осмысленное движение внутри инфраструктуры.
Похожая история с исходящими соединениями. На ранних этапах C&C редко выглядит как что-то явно вредоносное. Чаще это редкие домены, нестандартные порты или почти легитимные приложения. NGFW все это видит, но только накопленная история и корреляция позволяют отличить разовое отклонение от устойчивого канала управления.
Брутфорс на VPN и веб-порталы в моменте тоже редко выглядит угрожающе. Пара неудачных попыток аутентификации не вызывает тревоги, но их плотность и распределение по времени и учетным записям быстро выдают автоматизацию. Здесь NGFW работает не как средство защиты доступа, а как сенсор давления на периметр – того самого давления, которое сами системы аутентификации могут не заметить.
То же касается и нарушений политик. География, время, приложения – NGFW фиксирует такие отклонения постоянно, но без аналитики они выглядят как частные случаи. В SIEM эти события начинают складываться в более широкую картину обхода правил или постепенной деградации контроля, особенно если учитывать роль пользователя и его обычное поведение.
Наконец, NGFW часто первым дает сигналы о возможной утечке данных. Нетипичный объем исходящего трафика, странные направления, непривычные приложения – все это заметно на сетевом уровне задолго до того, как инцидент становится очевидным. Важно, что SIEM в этом случае позволяет увидеть не просто факт передачи данных, а изменение поведения, которое к ней привело.
Практика интеграции
На практике интеграция NGFW в SIEM почти никогда не ломается исключительно на техническом уровне: форматы поддерживаются, коннекторы есть, события летят. Проблемы начинаются, когда NGFW подключают как еще один лог-источник, но не меняется подход к работе с сетевыми данными. В итоге в SIEM либо заливается весь поток без разбора, либо, наоборот, собирается слишком усеченный набор событий, из которого невозможно восстановить поведение.
Самый важный момент – осознанно решить, что именно имеет смысл собирать. NGFW умеет писать много и подробно, но для аналитики ценнее не промежуточные технические детали, а завершенные действия и их результат. Когда SOC начинает опираться на события уровня "разрешено", "заблокировано", "классифицировано как угроза", фокус смещается на принятые решения, а с такими данными работать гораздо проще.
Не менее критично качество парсинга. Ошибки в полях могут долго не бросаться в глаза и создавать иллюзию, что все работает. На деле в этот момент теряется самое ценная связка в событиях – пользователя, приложения и ресурса. Поэтому опытные команды относятся к парсингу как к живому процессу, а не разовой настройке, и регулярно проверяют данные после обновлений NGFW и изменений политик.
Еще один момент, который часто недооценивают, – постепенность. Попытка сразу покрыть все возможные сценарии почти всегда заканчивается либо лавиной алертов, либо полным недоверием к ним. Куда эффективнее начинать с нескольких устойчивых паттернов и расширять аналитику по мере накопления статистики и понимания того, как сеть ведет себя в норме. При таком подходе NGFW перестает быть шумным источником и становится опорой для собственной модели поведения сети.
Грамотная интеграция NGFW – это не столько проект по подключению логов, сколько изменение отношения к сетевым данным. Когда SOC начинает воспринимать NGFW как сенсор поведения, а SIEM – как инструмент интерпретации, сетевой уровень из вспомогательного превращается в один из ключевых элементов обнаружения инцидентов.
Самый важный момент – осознанно решить, что именно имеет смысл собирать. NGFW умеет писать много и подробно, но для аналитики ценнее не промежуточные технические детали, а завершенные действия и их результат. Когда SOC начинает опираться на события уровня "разрешено", "заблокировано", "классифицировано как угроза", фокус смещается на принятые решения, а с такими данными работать гораздо проще.
Не менее критично качество парсинга. Ошибки в полях могут долго не бросаться в глаза и создавать иллюзию, что все работает. На деле в этот момент теряется самое ценная связка в событиях – пользователя, приложения и ресурса. Поэтому опытные команды относятся к парсингу как к живому процессу, а не разовой настройке, и регулярно проверяют данные после обновлений NGFW и изменений политик.
Еще один момент, который часто недооценивают, – постепенность. Попытка сразу покрыть все возможные сценарии почти всегда заканчивается либо лавиной алертов, либо полным недоверием к ним. Куда эффективнее начинать с нескольких устойчивых паттернов и расширять аналитику по мере накопления статистики и понимания того, как сеть ведет себя в норме. При таком подходе NGFW перестает быть шумным источником и становится опорой для собственной модели поведения сети.
Грамотная интеграция NGFW – это не столько проект по подключению логов, сколько изменение отношения к сетевым данным. Когда SOC начинает воспринимать NGFW как сенсор поведения, а SIEM – как инструмент интерпретации, сетевой уровень из вспомогательного превращается в один из ключевых элементов обнаружения инцидентов.
Выводы
Ценность NGFW определяется не тем, сколько трафика он способен обработать и сколько сигнатур поддерживает, а тем, какую модель поведения он помогает построить. Сам по себе межсетевой экран остается реактивным инструментом – он фиксирует и контролирует, но почти не объясняет происходящее. Его события приобретают смысл только тогда, когда становятся частью более широкой картины, собираемой и интерпретируемой SIEM.
В этом контексте NGFW перестает быть сетевым уровнем безопасности и превращается в один из ключевых источников наблюдаемости. Через него SOC видит, как пользователи, сервисы и приложения реально взаимодействуют с инфраструктурой, где формальные политики начинают расходиться с фактическим поведением и в каких точках появляются первые, еще неочевидные признаки злоупотреблений.
SIEM в этой связке выполняет роль переводчика и аналитика. Он превращает насыщенную, но фрагментированную сетевую телеметрию в осмысленные инциденты, связывает отдельные действия в сценарии и позволяет работать с отклонениями еще до того, как они оформляются в явные атаки.
В этом контексте NGFW перестает быть сетевым уровнем безопасности и превращается в один из ключевых источников наблюдаемости. Через него SOC видит, как пользователи, сервисы и приложения реально взаимодействуют с инфраструктурой, где формальные политики начинают расходиться с фактическим поведением и в каких точках появляются первые, еще неочевидные признаки злоупотреблений.
SIEM в этой связке выполняет роль переводчика и аналитика. Он превращает насыщенную, но фрагментированную сетевую телеметрию в осмысленные инциденты, связывает отдельные действия в сценарии и позволяет работать с отклонениями еще до того, как они оформляются в явные атаки.
