SIEM قواعد الربط: تحسين اكتشاف التهديدات
تمثل السجلات الأنشطة التي تتم في الوقت الفعلي في كل ركن من أركان مؤسستك. ويحتوي كل سجل تدقيق على معلومات حول نشاط المستخدم والمعلمات والموارد والتوقيت، مما يجعلها منجمًا ذهبيًا حقيقيًا للبيانات. ومع ذلك، فإن استخدام هذه السجلات لحماية المؤسسات يتطلب أكثر من مجرد بيانات: إذ يجب ربط السجلات معًا وتحديدها على أنها آمنة أو ضارة - كل هذا قبل أن يتمكن المهاجم من نشر حمولة أو سرقة البيانات. وهنا تبرز قواعد الارتباط.
في مجال التحليلات، يُعرَّف الارتباط بأنه أي علاقة أو صلة بين عنصرين - وذلك من خلال رسم خريطة للعلاقة بين كل جزء من بيانات السجل وإنشاء SIEM قواعد الارتباط، خاصتك SIEM يستطيع النظام مراقبة كل نقطة بيانات بشكل متكامل وعلاقتها بالنقاط الأخرى. وفي النهاية، تُصنّف هذه التسلسلات إلى آمنة أو ضارة محتملة بإضافة قواعد إلى هذه البيانات. يُسمح بمرور البيانات الجيدة، بينما تُصنّف البيانات الضارة أو المشبوهة على هذا النحو، ويتم حظرها.
الجيل التالي SIEM
الجيل القادم من التكنولوجيا السيبرانية النجمية SIEM، كمكون أساسي ضمن الأمن السيبراني النجمي Open XDR منصة...
تجربة الأمن المدعوم بالذكاء الاصطناعي في العمل!
اكتشف الذكاء الاصطناعي المتطور من Stellar Cyber للكشف الفوري عن التهديدات والاستجابة لها. جدولة العرض التوضيحي الخاص بك اليوم!
كيفية SIEM قواعد الارتباط تعمل
الخطوة 1: مركزية السجل
يتم جمع سجلات جميع أنظمتك وإرسالها إلى SIEMيُصبح هذا ممكنًا بفضل أجهزة الاستشعار والوكلاء - وهي برامج صغيرة تُثبّت على أجهزة المستخدمين النهائيين والشبكات والخوادم، والتي تراقب بشكل سلبي حزم البيانات المنقولة عبر الشبكة والإجراءات التي تُنفّذ على الأجهزة. في هذه الخطوة، SIEM تبدأ الأداة عملية سحب هذه السجلات إلى محرك تحليل مركزي.
الخطوة 2: تطبيع البيانات
على الرغم من أن سجلات الأحداث تغطي جميع جوانب بنيتك التحتية، إلا أنها لا تزال تتكون من تطبيقات وخوادم وأجهزة مختلفة تمامًا، ولكل منها تنسيقها الخاص لعرض إدخالات السجلات. قد تحتوي سجلات الأحداث من مصادر مختلفة على حقول معلومات وهياكل بيانات متباينة بشكل كبير. الخطوة الثانية هي SIEM تتمثل عملية الارتباط في توحيد هذه البيانات، والتي تتم عن طريق تحليل السجلات المختلفة إلى تنسيق متسق وموحد.
كلما كانت عملية توحيد بيانات السجل هذه أكثر كفاءة، كلما كانت العملية أسرع SIEM يمكن البدء في تحليل وتطبيق تقنيات الكشف عن التهديدات.
الخطوة 3: ربط البيانات
بعد استيعاب جميع بيانات السجلات، أصبح محرك الربط قادراً على رؤية مدى توافقها مع الأنماط الشائعة. بعض SIEM تقتصر الأدوات على تحديد السلاسل النصية الفردية فقط، لكن الحلول الأكثر تطوراً مثل حلول Stellar تضيف طبقة ثانية من الربط تُعنى بسمات أخرى، مثل معلمات الطلب والاستجابة. وهذا يُساعد على ترسيخ العلاقة بين السلوك والكيان المعني.
إن هذا الأمر على مستوى عالٍ إلى حد ما، لذا فلنتأمل ارتباط البيانات في سياق هجوم فعلي: فلنتأمل محاولات المهاجم لفرض الوصول بالقوة إلى مؤسسة ما عبر مزود إدارة الهوية والوصول (IAM). وقد تتضمن السلوكيات المعنية حملة من محاولات تسجيل الدخول المستمرة للحصول على الوصول (الإجراء أ)، ثم يتبع ذلك تسجيل دخول ناجح (الإجراء ب). بعد ذلك، قد يشرع المهاجم في الوصول إلى وحدة التحكم الإدارية وإنشاء مستخدم جديد يتمتع بامتيازات مرتفعة - أو بدء سلسلة من عمليات فحص المنافذ لتحديد المناطق الضعيفة والموارد الحساسة. ولنسمي هذا الإجراء ج.
يُتيح الربط القائم على القواعد وضع كل تقنية وتكتيك وإجراء (TTP) في تسلسل: يمكن لهذه الروابط التسلسلية أن تُفعّل إجراءً قائمًا على القاعدة، والذي يُرسل إلى المحلل عبر تنبيه. إن طريقة ربط هذه السمات هي التي تُحدد قدرة التحديد لـ SIEM الأداة.
الارتباط القائم على القواعد مقابل الارتباط السلوكي
يمكن اكتشاف الإجراءات التي تنطوي عليها الهجمة التي تحدثنا عنها للتو بطريقتين: الأولى عبر قاعدة تنص صراحةً على "إذا تبع الإجراء A الإجراء B ثم C، فينبغي إطلاق تنبيه". وهذا يعمل بشكل جيد للغاية إذا كان المحللون على دراية بإمكانية وقوع هذا الهجوم مسبقًا، ولديهم فكرة تقريبية عن الإجراءات والتكتيكات التي قد يتخذها المهاجم.
مع ذلك، ليس هذا هو الأسلوب الوحيد: إذ يمكن أيضًا اكتشاف هجوم القوة الغاشمة من خلال قاعدة أكثر عمومية، وهي: "إذا انحرفت مجموعة من الإجراءات عن سلوك المصادقة الطبيعي للمستخدم النهائي، فأطلق تنبيهًا". وتعتمد هذه القاعدة على SIEM أصبح من الممكن الآن فهم السلوكيات التاريخية للمستخدمين النهائيين بشكل أفضل بفضل تحليل سجلات البيانات المركزية باستخدام خوارزمية التعلم الآلي. وبذلك، يصبح من السهل جدًا تحديد الأنماط اليومية لسلوك المستخدمين والأجهزة وحركة البيانات، وبالتالي استخدام الارتباط السلوكي كأساس لـ SIEM القواعد. غالبًا ما يتم استخدام الارتباط السلوكي لإنتاج "درجة المخاطر"، والتي يحدد المحللون عتبة مقبولة لها.
بما أننا ضاعفنا عدد الأساليب المختلفة التي يمكننا اتباعها لتحديد التهديدات، فمن الأهمية بمكان أكثر من أي وقت مضى أن تحافظ بنشاط على SIEM القواعد المختصرة وعالية الأداء - سنناقش أفضل السبل لتحقيق ذلك أدناه.
فوائد SIEM قواعد الربط للكشف عن التهديدات
اكتشاف التهديدات بناءً على التوقيع
إن الغالبية العظمى من الهجمات ليست فريدة من نوعها: فعملية نسخ ولصق الشيفرة الخبيثة من قبل المهاجمين الانتهازيين شائعة لدرجة أنهم اكتسبوا لقب "مبتدئي البرمجة". ولهذا السبب فإن الغالبية العظمى من SIEM تتم حماية سطح الهجوم من خلال الكشف القائم على التوقيعات.
تتوسع مستودعات مواقع توقيعات البرامج الضارة باستمرار، ومن أشهرها قاعدة بيانات M&TRE ATTACK. تحدد هذه القاعدة الأساليب المحددة التي يتبعها المهاجمون، وبالتالي توفر لمتخصصي الأمن قاعدة بيانات مفتوحة المصدر. SIEM القواعد. تعتمد مجموعات القواعد هذه على تحديد أنماط السلوك الخبيث المعروف.
لكن كلما زاد انتشار SIEM القاعدة هي أنه كلما زاد تركيز المهاجمين على التحايل عليها، زاد احتمال تعرضهم للهجوم. وهذا يضع قواعد الربط في سباق مستمر بين المهاجم ومحلل الأمن. وإذا بدأ فريق الأمن في وضع عدد كبير جدًا من القواعد، فإنه يخاطر بالتعرض للغرق فيها. SIEM ايجابيات كاذبة.
يزيل Stellar Cyber الصعوبات القديمة التي تواجهها النماذج القائمة على الارتباط البحت SIEMوذلك بإضافة طبقة أخرى من تحليل التعلم الآلي. يستطيع المحللون تغطية أكبر عدد ممكن من الجوانب باستخدام قواعد الارتباط، ثم تقوم الطبقة الثانية من التحليل بتقييم السياق الأوسع لكل تنبيه لتحديد مدى صحته.
قواعد مملوءة مسبقًا للتهديدات في العالم الحقيقي
إن قواعد الارتباط مصممة خصيصًا لتحديد التهديدات الشائعة التي يستخدمها المتسللون مرارًا وتكرارًا لمحاولة الوصول إلى الموارد. ومع ذلك، قد لا يتمتع فريق تكنولوجيا المعلومات في مؤسسة واحدة بأحدث فهم لأساليب وتقنيات وأساليب الاختراق في العالم الحقيقي. ففي نهاية المطاف، تتطلب معلومات التهديدات جمع البيانات ومعالجتها وتطبيقها بشكل مستمر حول الجهات الفاعلة الخبيثة والتقنيات ومؤشرات الاختراق.
هذا هو السبب وراء كون قواعد الارتباط المعبأة مسبقًا مفيدة للغاية: حيث يتم بناء هذه الأساليب المعبأة مسبقًا من منظور شامل لصناعتك ومساحة التهديد الأوسع. يمكن تسمية كل اختلاف في السلوك وربطه بنوع التنبيه الخاص به، وبالتالي تقليل الطبيعة المتقطعة لتنبيهات السجل إلى كل مبسط.
الامتثال للبيانات والوصول إليها
يتعين على المؤسسات في جميع القطاعات تقريبًا إثبات التزامها بقوانين وقواعد ولوائح محددة، وتتغير هذه القوانين والقواعد واللوائح باختلاف القطاع الذي تعمل فيه. يتعين على الفروع الأوروبية مراقبة اللائحة العامة لحماية البيانات (GDPR)، بينما يتعين على أي شركة تُعنى بالدفع الالتزام بمعايير PCI DSS.
يُعدّ قانون حماية البيانات العامة (GDPR) أحد أكثر القوانين صرامةً وشموليةً، إذ يُلزم بتأمين البيانات في جميع العمليات التقنية للمؤسسة. SIEM بما أن السجلات تمثل كامل أصول المؤسسة وحسابات المستخدمين، فإنها تتمتع بموقع فريد لتحقيق ذلك.
هذه ميزة حقيقية لقواعد الربط: قابليتها للتطبيق على نطاق واسع. فمن خلال إرسال تنبيه عند اكتشاف مجموعة من السجلات غير الطبيعية، تُمنح المحللين إنذارًا مبكرًا بشأن مشكلات الامتثال المحتملة. كما تتيح لك القدرة على وضع قواعدك الخاصة تضمين لوائح الامتثال في هيكل الأمان الخاص بك منذ البداية. إذا كان معيار PCI DSS يتطلب منك تحديث جميع برامج مكافحة البرامج الضارة على نقاط النهاية، فقم بتنفيذ SIEM قاعدة تنبهك عندما لا يتم تحديث برنامج مكافحة البرامج الضارة. أكثر تقدماً SIEM تتيح لك الأدوات أتمتة هذه العملية بأكملها، مع الاحتفاظ بملف جنائي يوثق جميع إجراءاتها. ويساهم التسريع الذي توفره هذه الأدوات في... SIEMيُعد هذا الأمر بالغ الأهمية في سياق اللوائح مثل اللائحة العامة لحماية البيانات (GDPR)، حيث يمنح نافذة زمنية قصيرة مدتها 72 ساعة للإبلاغ عن الحوادث الأمنية ومعالجتها.
اكتشاف الهجمات متعددة المراحل والتهديدات المستمرة المتقدمة (APTs)
إن قواعد الارتباط الفردية بسيطة بما فيه الكفاية، ولكن التفاصيل الدقيقة للسجلات تسمح بحل وتخفيف أكثر حدة. وهنا يمكن أن تكون القواعد المركبة ممتازة في تحديد التهديدات الأكثر تقدمًا: فهي تتداخل مع قواعد متعددة للتركيز على سلوك معين ضمن سياق معين. على سبيل المثال، إذا فشلت محاولات تسجيل الدخول X على نفس محطة العمل (ونفس عنوان IP) في غضون X دقيقة واستخدمت أسماء مستخدمين مختلفة - وإذا حدث تسجيل دخول ناجح على أي جهاز كمبيوتر داخل الشبكة وكان من نفس عنوان IP - فسيؤدي هذا إلى تشغيل تنبيه.
يمكن أن تكون القواعد المركبة حيوية لقطع نقاط دخول التهديدات المتقدمة المستمرة. في هذه الحالة، يحصل المتسلل على وصول أولي إلى شبكة المؤسسة، ويجد نقطة وصول آمنة، ثم لا يفعل أي شيء بها. وفي حين قد يبدو التهديد كامنًا، فمن المرجح أنه ينتظر الوقت المناسب - أو حتى مشتريًا للاستغلال المستمر. عندما يختار، يمكن للمتسلل ببساطة تجاوز جدار الحماية وسرقة البيانات أو نشر البرامج الضارة، حيث يُفترض أن حسابه أو أفعاله آمنة.
كانت قواعد الارتباط البسيطة غير موثوقة تقليديًا في اكتشاف التهديدات المتقدمة المستمرة (APTs)؛ إذا لم يكن المحللون على دراية بـ TTP المحتملة، فمن غير المرجح أن يكتشفوا التهديد.
لذا، فإن النهج الأكثر موثوقية هو خطوة واحدة تتجاوز القواعد المركبة: تسمح نماذج السلوك الحديثة باستخراج الأفعال السابقة إلى محرك التحليل. ثم يسمح التحليل المستمر لحركة المرور الواردة والصادرة على الشبكة بتمييز أي انحراف عن الإجراءات المتوقعة للمستخدم باعتباره محفوفًا بالمخاطر.
أفضل الممارسات للبناء SIEM قواعد الارتباط
تحديد أولويات حالات الاستخدام
عند التكيف لأول مرة SIEM لمؤسستكم، SIEM تُملي أفضل الممارسات أن يكون لديك فكرة واضحة عن حالات الاستخدام الدقيقة الخاصة بك SIEM سيتم حل المشكلة. يجب التركيز على حالات الاستخدام هذه، مرتبة حسب الأولوية، وتقييم القواعد الجاهزة من حيث مدى ملاءمتها لمؤسستك. بعد ذلك، يمكنك البدء بتعديل أو إضافة قواعد جديدة إلى كل قسم من أقسام قواعد الربط.
إذا كنت لا تعرف ما هي تقنيات الهجوم المحددة التي يمكن استخدامها ضدك، تحقق من MITER ATT & CK or سلسلة القتل السيبراني لشركة لوكهيديقوم كلاهما بعمل هائل في تصنيف الأساليب والثغرات المحددة التي يتبعها المهاجمون بعمق غير عادي.
استخدم جدار الحماية الخاص بك
-
- A "خادم الأسماء المارق" يجب أن تراقب القاعدة أي جهاز يحاول الوصول إلى تطبيق DNS من وجهة أخرى غير خوادم DNS الداخلية للشركة. يجب تكوين الأجهزة الداخلية لاستخدام خوادم DNS الخاصة بالشركة فقط، والتي تصل بعد ذلك إلى الإنترنت حسب الحاجة لحل المجالات غير المعروفة.
- A "خادم الوكيل المارق" يجب أن تراعي القواعد جدران الحماية المحيطة لأي حركة مرور من شبكة فرعية LAN متجهة إلى الإنترنت عبر منافذ TCP 80/443 أو لتصفح الويب وتطبيقات SSL. من الناحية المثالية، يجب السماح فقط بحركة المرور من خادم الوكيل المعين؛ أي مصدر IP آخر يحاول هذا النوع من الاتصال قد يشير إلى محاولة تجاوز الأمان، سواء من قبل مستخدم أو برنامج ضار.
- A "حركة مرور BOTNET" يمكن للقاعدة تحديد برامج التحكم والقيادة القديمة (C2) التي تستخدم الدردشة عبر الإنترنت (IRC) للإدارة. ورغم أن IRC ليس ضارًا بطبيعته، فإن وجوده في شبكة الشركة غالبًا ما يكون مشبوهًا. يجب أن تؤدي هذه القاعدة إلى تنبيه إذا كان أي مضيف مصدر أو وجهة يستخدم IRC، على الرغم من أن بعض أجهزة الكمبيوتر لإدارة الشبكة قد تحتاج إلى استثناءات.
تقليل المنافذ المفتوحة
بشكل افتراضي، تقوم أجهزة الاستشعار التي تستمع على المنفذ 514 بتحليل السجلات الواردة؛ وهذا يساعد في تحديد الجهاز المصدر. إن تحديد منفذ أكثر استهدافًا لنوع السجل الخاص بك بدلاً من استخدام المنفذ 514 يوفر العديد من المزايا. فهو يسرع من استيعاب البيانات وتحليل السجل، مما يحسن أداء المستشعر نظرًا لأنه يمكنه التعرف على الجهاز المصدر على الفور. وأخيرًا وليس آخرًا، فإن وضع قاعدة ارتباط بناءً على المنفذ الصحيح أمر مهم للغاية للحفاظ على معلومات السجل.
بدلاً من ذلك، حدد المنفذ المناسب وفقًا لتنسيقه:
- تنسيق الحدث المشترك (CEF)، أو تنسيق سجل الحدث الموسع (LEEF)، أو JSON: بالنسبة لهذه الأنواع من السجلات، قم بإعادة توجيه البيانات إلى المنفذ المخصص لهذا المعيار.
- سجلات تنسيق Syslog القياسية: استخدم المنفذ المخصص للبائع المحدد.
- بالنسبة للتنسيقات المتخصصة مثل Syslog المدمجة مع التعبيرات العادية، أو أزواج القيمة الرئيسية، أو CSV، استخدم المنافذ الخاصة بالبائع.
مطاردة التهديد
تطبيق البحث الاستباقي عن التهديدات جنبًا إلى جنب مع نظام مُهيأ بشكل جيد SIEM يعزز النظام بشكل كبير قدراته على اكتشاف التهديدات، مما يضيف وزناً كبيراً إلى القوة التحليلية لتحليل السجلات الآلي. بينما يتم ضبطه بشكل صحيح SIEM يمكن مراقبة العديد من التهديدات المعروفة والتنبيه بشأنها بشكل فعال، كما أن إضافة البحث الآلي عن التهديدات يُمكّن من اكتشاف الهجمات المتطورة أو المتطورة أو الخفية التي قد تتجاوز قواعد الارتباط القياسية.
مطاردة التهديدات SIEM على غرار برنامج Stellar Cyber، يحاكي البرنامج احتمالية الهجوم الواقعي للتنبيهات أو الحالات الشاذة بعد إنشائها. تضمن عملية التحقق المستمرة هذه دقة قواعد الربط وقابليتها للتكيف وفعاليتها في مواجهة أساليب الهجوم المستجدة. كما تُسهم في تحديد أولويات التنبيهات، وتوفر أساسًا للمحللين للبحث اليدوي عن التهديدات. يستطيع المحللون البحث في سجلات بيئة اختبار البرمجيات الخبيثة لتحديد محاولات الهجوم، مما يمنحهم رؤية أوضح للهجوم المُشنّ ضدهم.
التكامل للاستجابة السريعة
دمج أ SIEM يعزز هذا التكامل ضمن البنية التقنية الأوسع نطاقًا قدرة النظام على اكتشاف التهديدات وتحليلها والاستجابة لها بفعالية. وقد يشمل ذلك ربط SIEM باستخدام أدوات مثل الكشف عن التهديدات والاستجابة لها على مستوى نقاط النهاية (EDR)، ومنصات استخبارات التهديدات، وأنظمة الاستجابة للحوادث، وحلول تنسيق الأمن وأتمتته والاستجابة له (SOAR). والأفضل من ذلك، أن التكامل مع أدوات الأمن يمهد الطريق للاستجابات الآلية للتهديدات، وهو ما يمثل محور تركيز شركة ستيلار سايبر.
تجاوز القواعد الأساسية مع حالات Stellar Cyber
تتبنى Stellar Cyber نهجًا متعدد الوسائط لإنشاء القواعد: فهي تقدم مجموعة مكدسة من قواعد الارتباط وتحليل سلوكي مدفوع بالتعلم الآلي، وتستفيد بشكل كامل من جميع السجلات التي تم إنشاؤها عبر مؤسستك. يتم إنشاء التنبيهات عندما تقوم بيانات السجل بتشغيل قواعد فردية، ولكن Stellar تربط هذه القواعد في حالات موحدة، حيث تمثل كل منها مجموعة من التنبيهات المرتبطة المحتملة ضمن بنية بيانات واحدة. ومن هناك، يتم منح المحللين مجموعة من كتيبات التشغيل وخيارات الإصلاح المصممة لتقليل متوسط وقت الإصلاح.
تمنح ميزة التحقق المتبادل من التنبيهات التي تقدمها Stellar Cyber سياقًا أعمق، مما يتيح للمحللين تحديد ما إذا كانوا يتعاملون مع هجوم حقيقي أو سلوك عالي الخطورة أو مجرد أحداث عرضية. تعرف على كيفية إعداد الاستجابات الآلية وحظر حركة المرور الضارة على الفور مع عرض توضيحي اليوم.
