Моніторинг безпеки
SIEM з Microsoft Sentinel, управління логами, anomaly detection та моніторинг поведінки AI-систем
SIEMSentinelмоніторинглогиanomaly-detectionSOC
📎ОФІЦІЙНА ДОКУМЕНТАЦІЯ
Моніторинг безпеки
Ефективний моніторинг -- ключ до раннього виявлення загроз. AI-системи потребують спеціалізованого моніторингу для виявлення аномальної поведінки моделей та зловживань.
SIEM (Security Information and Event Management)
Microsoft Sentinel
Microsoft Sentinel -- cloud-native SIEM з AI-powered analytics:
Інші SIEM-рішення
| SIEM | Тип | Ціна |
|---|---|---|
| Microsoft Sentinel | Cloud-native | Pay-per-GB |
| Splunk | On-prem / Cloud | Enterprise |
| Elastic SIEM | On-prem / Cloud | Free tier / Enterprise |
| Wazuh | On-prem | Free (OSS) |
| CrowdStrike LogScale | Cloud | Enterprise |
Управління логами
Що логувати
| Джерело | Типи подій |
|---|---|
| AI-інструменти | Промпти, відповіді, використання токенів, помилки |
| Entra ID | Автентифікація, зміни ролей, conditional access |
| Додатки | HTTP-запити, помилки, бізнес-логіка |
| Інфраструктура | Мережевий трафік, DNS, firewall |
| Ендпоінти | Процеси, файлові операції, мережеві з'єднання |
| CI/CD | Builds, deployments, config changes |
Структура логів
Використовуйте структуровані логи (JSON):
json
{
"timestamp": "2026-04-02T10:30:00Z",
"level": "WARNING",
"source": "ai-gateway",
"event": "suspicious_prompt",
"user": "user@company.com",
"ai_model": "gpt-4",
"tokens_used": 1500,
"risk_score": 0.85,
"details": "Prompt contains potential injection patterns"
}
Retention Policy
| Тип логів | Retention | Причина |
|---|---|---|
| Security events | 1-3 роки | Compliance, forensics |
| AI usage logs | 6-12 місяців | Audit, optimization |
| Application logs | 3-6 місяців | Debugging |
| Infrastructure | 1-3 місяці | Troubleshooting |
ℹ️Інформація
Retention period визначається вимогами compliance (GDPR, SOC 2, ISO 27001) та business needs. Перевірте вимоги вашої організації.
Anomaly Detection
AI Behavior Monitoring
Моніторинг поведінки AI-систем:
- Response quality drift -- зміна якості відповідей моделі
- Token usage anomalies -- різкий зріст споживання токенів
- Error rate spikes -- збільшення кількості помилок
- Latency changes -- зміни в часі відповіді
- Content anomalies -- незвичайний контент у відповідях
Правила виявлення
kusto
// KQL запит для Microsoft Sentinel
// Виявлення аномального використання AI
AIUsageLogs
| where TimeGenerated > ago(1h)
| summarize TotalTokens = sum(TokensUsed),
RequestCount = count()
by UserPrincipalName
| where TotalTokens > 100000
or RequestCount > 500
| project UserPrincipalName, TotalTokens, RequestCount
kusto
// Виявлення підозрілих промптів
AIPromptLogs
| where TimeGenerated > ago(24h)
| where Prompt contains "ignore previous"
or Prompt contains "system prompt"
or Prompt contains "forget instructions"
| project TimeGenerated, User, Prompt, AIModel
Дашборди та алертинг
Ключові метрики для дашбордів
| Метрика | Threshold для алерту |
|---|---|
| Failed login attempts | > 10 за 5 хвилин |
| AI API errors | > 5% error rate |
| Token consumption | > 200% від середнього |
| Suspicious prompts | Будь-яке виявлення |
| New admin permissions | Будь-яка зміна |
| After-hours access | Доступ поза робочими годинами |
Severity алертів
| Severity | Приклад | Дія |
|---|---|---|
| Critical | Active breach, data exfiltration | Негайне сповіщення CSIRT |
| High | Brute force, suspicious admin activity | Сповіщення SOC |
| Medium | Failed MFA, anomalous AI usage | Review протягом робочого дня |
| Low | Informational events | Periodic review |
Threat Hunting
Проактивний пошук загроз, які не були виявлені автоматичними правилами:
- Hypothesis-driven -- формування гіпотези на основі threat intelligence
- Data collection -- збір та аналіз релевантних логів
- Investigation -- перевірка гіпотези
- Response -- реагування при виявленні загрози
- Automation -- перетворення знахідки на detection rule
Див. також
Реагування на інциденти
Playbooks та процес реагування
Комплаєнс
Вимоги до логування та звітності
Контроль доступу
Моніторинг доступу через Entra ID