SIEM Korrelationsregeln: Verbesserung Ihrer Bedrohungserkennung

Protokolle stellen die Echtzeitaktivitäten jeder einzelnen Ecke Ihres Unternehmens dar. Jedes Prüfprotokoll enthält Informationen zu Aktivitäten, Parametern, Ressourcen und Zeitabläufen eines Benutzers und ist damit eine wahre Goldgrube an Daten. Um diese Protokolle zum Schutz von Unternehmen zu verwenden, sind allerdings mehr als nur Daten erforderlich: Protokolle müssen aneinandergereiht und als sicher oder bösartig identifiziert werden – und zwar bevor der Angreifer eine Nutzlast bereitstellen oder Daten stehlen kann. Hier kommen Korrelationsregeln ins Spiel.

In der Datenanalyse bezeichnet man als Korrelation jede Beziehung oder Verbindung zwischen zwei Elementen – indem man die Beziehung zwischen jedem einzelnen Logdatenelement abbildet und eine Korrelation erstellt. SIEM Korrelationsregeln, Ihre SIEM Das System ist in der Lage, jeden Datenpunkt im Zusammenhang mit den anderen zu überwachen. Abschließend werden diese Sequenzen durch das Hinzufügen von Regeln zu diesen Daten als sicher oder potenziell schädlich eingestuft. Guter Datenverkehr wird zugelassen, während schädlicher oder verdächtiger Datenverkehr entsprechend gekennzeichnet und blockiert wird.

Next-Gen-Datenblatt-pdf.webp

Next-Generation SIEM

Stellar Cyber ​​Next-Generation SIEMals kritische Komponente innerhalb des Stellar Cyber Open XDR Plattform...

Datenblatt herunterladen
demo-bild.webp

Erleben Sie KI-gestützte Sicherheit in Aktion!

Entdecken Sie Stellar Cybers hochmoderne KI zur sofortigen Erkennung und Reaktion auf Bedrohungen. Planen Sie noch heute Ihre Demo!

Sehen Sie sich eine Demo an

Wie SIEM Korrelationsregeln funktionieren

Wenn Holz als Brennstoff dient, dann SIEM Korrelationsregeln sind die Räder Ihres SIEM – Sie sind die treibende Kraft. Aber als Fahrer müssen Sie genau wissen, wie SIEM Log-Korrelation funktioniert, und es stehen verschiedene Stile zur Auswahl.

Schritt 1: Protokollzentralisierung

Die Protokolle all Ihrer Systeme werden gesammelt und weitergeleitet an den SIEMDies wird durch Sensoren und Agenten ermöglicht – kleine Softwarekomponenten, die auf Endgeräten, Netzwerken und Servern installiert werden und passiv die über ein Netzwerk übertragenen Datenpakete sowie die auf den Geräten ausgeführten Aktionen überwachen. In diesem Schritt SIEM Das Tool beginnt den Prozess, diese Protokolle in eine zentrale Analyse-Engine einzulesen.

Schritt 2: Datennormalisierung

Obwohl die Protokolle jeden einzelnen Aspekt Ihrer Infrastruktur abdecken, besteht diese dennoch aus sehr unterschiedlichen Anwendungen, Servern und Hardwarekomponenten, von denen jede ihr eigenes Format für die Auflistung von Protokolleinträgen verwendet. Ereignisprotokolle aus verschiedenen Quellen können stark voneinander abweichende Informationsfelder und Datenstrukturen aufweisen. Der zweite Schritt zu SIEM Die Korrelation normalisiert diese Daten, indem sie die verschiedenen Protokolle in ein einheitliches, standardisiertes Format überführt.

Je effizienter die Normalisierung dieser Protokolldaten ist, desto schneller SIEM können mit der Analyse und Anwendung von Techniken zur Bedrohungserkennung beginnen.

Schritt 3: Datenkorrelation

Nachdem nun alle Protokolldaten erfasst wurden, kann die Korrelations-Engine erkennen, inwieweit sie gängigen Mustern entsprechen. SIEM Tools können lediglich einzelne Zeichenketten identifizieren, aber fortschrittlichere Lösungen wie Stellar fügen eine zweite Korrelationsebene hinzu, die weitere Attribute wie Anfrage- und Antwortparameter berücksichtigt. Dies trägt dazu bei, den Zusammenhang zwischen dem Verhalten und der beteiligten Entität zu festigen.

Dies ist ein ziemlich hochrangiges Thema, also betrachten wir die Datenkorrelation im Kontext eines tatsächlichen Angriffs: Stellen wir uns die Versuche eines Angreifers vor, sich mit roher Gewalt über den Identity and Access Management (IAM)-Anbieter Zugriff auf ein Unternehmen zu verschaffen. Die dabei eingesetzten Verhaltensweisen können eine Kampagne kontinuierlicher Anmeldeversuche zum Erlangen von Zugriff (Aktion A) umfassen, auf die dann eine erfolgreiche Anmeldung (Aktion B) folgt. Als Nächstes greift der Angreifer möglicherweise auf die Administratorkonsole zu und erstellt einen neuen Benutzer mit erhöhten Berechtigungen – oder initiiert eine Reihe von Port-Scans, um Schwachstellen und sensible Ressourcen aufzuspüren. Nennen wir diese Aktion C.

Die regelbasierte Korrelation ermöglicht es, jede Technik, Taktik und jedes Verfahren (TTP) in eine Sequenz einzuordnen: Diese sequenziellen Korrelationen können dann eine Regelaktion auslösen, die dem Analysten per Warnmeldung übermittelt wird. Die Art und Weise, wie diese Attribute verknüpft werden, definiert die Identifizierungsfähigkeit eines SIEM Werkzeug.

Regelbasierte vs. verhaltensbasierte Korrelation

Die Aktionen, die mit dem Angriff verbunden sind, den wir gerade besprochen haben, können auf zwei Arten entdeckt werden: Die erste ist über eine Regel, die explizit besagt: „Wenn auf Aktion A B und dann C folgen, löse einen Alarm aus.“ Dies funktioniert sehr gut, wenn die Analysten sich der Möglichkeit dieses Angriffs im Voraus bewusst sind und eine ungefähre Vorstellung davon haben, welchen TTP ein Angreifer verwenden könnte.

Dies ist jedoch nicht der einzige Ansatz: Ein Brute-Force-Angriff könnte auch durch eine allgemeinere Regel erkannt werden: „Wenn eine Reihe von Aktionen vom normalen Authentifizierungsverhalten eines Endbenutzers abweicht, wird eine Warnung ausgelöst.“ Diese Regel basiert auf der SIEM Ein historisches Verständnis des typischen Verhaltens von Endnutzern ist nun möglich, da zentralisierte Protokolle mithilfe eines Algorithmus für maschinelles Lernen analysiert werden. Dadurch lassen sich leicht tägliche Muster im Nutzer-, Geräte- und Datenverkehrsverhalten erkennen – und somit Verhaltenskorrelationen als Grundlage nutzen für SIEM Regeln. Verhaltenskorrelationen werden häufig verwendet, um einen „Risikoscore“ zu erstellen, für den die Analysten einen akzeptablen Schwellenwert festlegen.

Da wir die Anzahl der verschiedenen Ansätze zur Bedrohungserkennung verdoppelt haben, ist es wichtiger denn je, Ihre … SIEM Regelwerke schlank und leistungsstark – wie dies am besten erreicht werden kann, besprechen wir weiter unten.

Vorteile der SIEM Korrelationsregeln zur Bedrohungserkennung

bSIEM Korrelationsregeln ermöglichen die Aufdeckung praktisch aller TTPs (Taktiken, Techniken und Verfahren) – allerdings ist es wichtig, dass man im Vorfeld eine grobe Vorstellung davon hat. Betrachten wir einige davon genauer und identifizieren wir die Vorteile von Korrelationsregeln sowie die Bereiche, in denen die Verhaltensmodelle von Stellar Cyber ​​diese weiter verfeinern können. SIEM Bedrohungserkennung.

Signaturbasierte Bedrohungserkennung

Die überwiegende Mehrheit der Angriffe ist nicht besonders einzigartig: Das Kopieren und Einfügen von Schadcode durch opportunistische Angreifer ist so verbreitet, dass sie den Spitznamen „Script-Kiddies“ erhalten haben. Deshalb ist die überwiegende Mehrheit der Angriffe... SIEM Der Schutz der Angriffsfläche erfolgt durch signaturbasierte Erkennung.

Die Sammlungen von Malware-Signatur-Websites wachsen stetig: Eine der bekanntesten ist die M&TRE ATTACK-Datenbank. Sie identifiziert die spezifischen Vorgehensweisen von Angreifern und bietet Sicherheitsexperten somit eine Open-Source-Datenbank. SIEM Regeln. Diese Regelsätze basieren auf der Definition von Mustern bekannten bösartigen Verhaltens.

Je weiter verbreitet die SIEM Die Regel lautet: Je mehr Wert Angreifer auf die Umgehung legen, desto mehr werden sie versuchen, sie zu umgehen. Dadurch entsteht ein ständiges Wettrennen zwischen Angreifer und Sicherheitsanalyst. Und wenn das Sicherheitsteam zu viele Regeln aufstellt, riskiert es, von der Informationsflut überwältigt zu werden. SIEM falsch positive.
Stellar Cyber ​​beseitigt die alten Schwierigkeiten, mit denen rein korrelationsbasierte Systeme konfrontiert sind. SIEMDies geschieht durch Hinzufügen einer weiteren Ebene der ML-Analyse. Analysten können mithilfe von Korrelationsregeln so viele Aspekte wie möglich abdecken, und die zweite Analyseebene bewertet dann den breiteren Kontext jeder Warnung, um deren Berechtigung zu bestimmen.

Vordefinierte Regeln für reale Bedrohungen

Korrelationsregeln sind speziell dafür konzipiert, gängige Bedrohungen zu identifizieren, die Hacker immer wieder verwenden, um Zugriff auf Ressourcen zu erlangen. Das IT-Team eines einzelnen Unternehmens verfügt jedoch möglicherweise nicht über das aktuellste Wissen über reale TTPs. Schließlich erfordert die Bedrohungsaufklärung die kontinuierliche Erfassung, Verarbeitung und Anwendung von Daten über böswillige Akteure, Techniken und Indikatoren für Kompromittierungen.

Deshalb sind vorgefertigte Korrelationsregeln so vorteilhaft: Diese vorgefertigten Ansätze basieren auf einer Makroansicht Ihrer Branche und des breiteren Bedrohungsraums. Jede Verhaltensvariation kann gekennzeichnet und ihrem Alarmtyp zugeordnet werden, wodurch die sporadische Natur von Protokollalarmen zu einem rationaleren Ganzen reduziert wird.

Daten- und Zugriffscompliance

Unternehmen in nahezu jeder Branche müssen nachweisen, dass sie bestimmte Gesetze, Regeln und Vorschriften einhalten – und diese variieren je nach Branche. Europäische Niederlassungen müssen die DSGVO im Auge behalten, während jedes zahlungsorientierte Unternehmen den PCI DSS einhalten muss.
Die DSGVO ist eine der strengsten und weitreichendsten Verordnungen und fordert Datensicherheit in allen technischen Prozessen einer Organisation. SIEM Da Protokolle die Gesamtheit der Vermögenswerte und Benutzerkonten einer Organisation erfassen, ist es dafür in einzigartiger Weise bestens geeignet.

Ein echter Vorteil von Korrelationsregeln liegt in ihrer universellen Anwendbarkeit. Durch das Versenden einer Warnung bei jedem Auftreten ungewöhnlicher Protokolleinträge erhalten Analysten frühzeitig Hinweise auf potenzielle Compliance-Probleme. Die Möglichkeit, eigene Regeln zu erstellen, erlaubt es zudem, Compliance-Vorgaben von Anfang an in die Sicherheitsarchitektur zu integrieren. Wenn PCI DSS beispielsweise die Aktualisierung aller Endpoint-Antimalware-Software vorschreibt, sollte eine solche Regel implementiert werden. SIEM Eine Regel, die Sie benachrichtigt, wenn eine Anti-Malware-Lösung nicht aktualisiert wurde. Erweiterte Funktionen SIEM Mithilfe dieser Tools lässt sich der gesamte Prozess automatisieren, wobei gleichzeitig eine forensische Protokolldatei über die einzelnen Aktionen geführt wird. Die dadurch ermöglichte Beschleunigung SIEMDies ist insbesondere im Kontext von Vorschriften wie der DSGVO von entscheidender Bedeutung, da sie ein kleines Zeitfenster von 72 Stunden vorsehen, um Sicherheitsvorfälle zu melden und darauf zu reagieren.

Erkennung mehrstufiger Angriffe und Advanced Persistent Threats (APTs)

Einzelne Korrelationsregeln sind einfach genug, aber die schiere Granularität der Protokolle ermöglicht eine weitaus präzisere Auflösung und Minderung. Hier können zusammengesetzte Regeln hervorragend dazu beitragen, komplexere Bedrohungen zu identifizieren: Sie verschachteln mehrere Regeln, um ein bestimmtes Verhalten in einem bestimmten Kontext zu erkennen. Wenn beispielsweise X Anmeldeversuche an derselben Arbeitsstation (und derselben IP-Adresse) innerhalb von X Minuten fehlschlagen und unterschiedliche Benutzernamen verwenden – und wenn eine erfolgreiche Anmeldung auf einem beliebigen Computer im Netzwerk erfolgt und von derselben IP-Adresse stammt – wird eine Warnung ausgelöst.

Zusammengesetzte Regeln können entscheidend sein, um APT-Einstiegspunkte zu unterbinden. Das ist der Fall, wenn ein Eindringling sich zunächst Zugang zum Netzwerk einer Organisation verschafft, einen sicheren Zugangspunkt findet und dann einfach nichts damit macht. Auch wenn die Bedrohung latent erscheint, wartet sie wahrscheinlich nur auf einen günstigen Zeitpunkt – oder sogar auf einen Käufer für den laufenden Exploit. Wenn er will, kann der Eindringling einfach an der Firewall vorbeischlendern und Daten stehlen oder Malware einsetzen, da sein Konto oder seine Aktionen als sicher gelten.
Einfache Korrelationsregeln haben sich beim Aufspüren von APTs bisher als unzuverlässig erwiesen. Wenn die Analysten sich des potenziellen TTP nicht bewusst sind, ist es unwahrscheinlich, dass sie die Bedrohung entdecken.

Der zuverlässigste Ansatz geht also einen Schritt über zusammengesetzte Regeln hinaus: Moderne Verhaltensmodelle ermöglichen es, vergangene Aktionen in die Analyse-Engine einzubeziehen. Die fortlaufende Analyse des ein- und ausgehenden Netzwerkverkehrs ermöglicht es dann, jede Abweichung von den erwarteten Aktionen des Benutzers als riskant zu kennzeichnen.

Best Practices für den Bau SIEM Korrelationsregeln

Maßgeschneidert SIEM Regeln sind entscheidend für die Gestaltung Ihres SIEM Einzigartig für die Struktur und das Risikoprofil Ihres Unternehmens. Beim Aufbau SIEM Bei Korrelationsregeln ist es wichtig, ein Gleichgewicht zu finden zwischen der Verringerung von Fehlalarmen und dem Vermeiden möglicher Anomalien, die auf einen Cyberangriff hindeuten könnten.

Priorisieren Sie Anwendungsfälle

Bei der ersten Anpassung eines SIEM zu Ihrem Unternehmen, SIEM Bewährte Verfahren schreiben vor, dass Sie eine klare Vorstellung von den genauen Anwendungsfällen Ihrer SIEM wird das Problem lösen. Diese Anwendungsfälle, geordnet nach Priorität, müssen genauer analysiert und die vordefinierten Regeln daraufhin geprüft werden, wie gut sie zu Ihrem Unternehmen passen. Anschließend können Sie die einzelnen Abschnitte der Korrelationsregeln bearbeiten oder ergänzen.

Wenn Sie nicht wissen, welche spezifischen Angriffstechniken gegen Sie eingesetzt werden könnten, lesen Sie MITRE ATT & CK or Lockheeds Cyber-Kill-Chain. Beide leisten immense Arbeit, um die spezifischen Vorgehensweisen und Exploits der Angreifer außerordentlich detailliert zu katalogisieren.

Nutzen Sie Ihre Firewall

Korrelationsregeln profitieren enorm von Firewall-Protokollen: Allein die Firewall-Aktivität kann dazu beitragen, kompromittierte Endpunkte zu identifizieren. Hier sind einige Beispiele für Korrelationsregeln, die diese Daten nutzen:
    • A „Rogue-Nameserver“ Die Regel sollte jedes Gerät überwachen, das versucht, auf die DNS-Anwendung mit einem anderen Ziel als den internen DNS-Servern des Unternehmens zuzugreifen. Interne Geräte sollten so konfiguriert werden, dass sie nur die DNS-Server des Unternehmens verwenden, die dann bei Bedarf auf das Internet zugreifen, um unbekannte Domänen aufzulösen.

    • A „Betrügerischer Proxy-Server“ Die Regel sollte Perimeter-Firewalls für jeglichen Datenverkehr aus dem LAN-Subnetz beachten, der über die TCP-Ports 80/443 ins Internet geht, oder für das Surfen im Internet und SSL-Anwendungen. Idealerweise sollte nur Datenverkehr vom angegebenen Proxyserver zugelassen werden. Jede andere Quell-IP, die diese Art von Verbindung versucht, kann auf einen Versuch hinweisen, die Sicherheit zu umgehen, sei es durch einen Benutzer oder durch Malware.

    • A „BOTNET-Verkehr“ Regel kann ältere Command-and-Control-Software (C2) identifizieren, die Internet Relay Chat (IRC) zur Verwaltung verwendet. Obwohl IRC nicht von Natur aus bösartig ist, ist seine Präsenz in einem Unternehmensnetzwerk oft verdächtig. Diese Regel sollte eine Warnung auslösen, wenn ein Quell- oder Zielhost IRC verwendet, obwohl bestimmte Netzwerkverwaltungscomputer möglicherweise Ausnahmen benötigen.

Offene Ports minimieren

Standardmäßig analysieren Sensoren, die auf Port 514 lauschen, eingehende Protokolle. Dies hilft dabei, das Quellgerät zu identifizieren. Die Angabe eines gezielteren Ports für Ihren Protokolltyp anstelle der Verwendung von Port 514 bietet mehrere Vorteile. Dies beschleunigt die Datenaufnahme und Protokollanalyse und verbessert die Sensorleistung, da der Sensor das Quellgerät sofort identifizieren kann. Und nicht zuletzt ist es für die Erhaltung der Protokollinformationen von enormer Bedeutung, eine Korrelationsregel auf der Grundlage des richtigen Ports zu erstellen.

Wählen Sie stattdessen je nach Format den entsprechenden Port aus:

    • Common Event Format (CEF), Log Event Extended Format (LEEF) oder JSON: Leiten Sie für diese Protokolltypen die Daten an den für diesen Standard zugewiesenen Port weiter.
    • Protokolle im Standard-Syslog-Format: Verwenden Sie den für den jeweiligen Anbieter vorgesehenen Port.
    • Verwenden Sie für spezielle Formate wie Syslog in Kombination mit regulären Ausdrücken, Schlüssel-Wert-Paaren oder CSV anbieterspezifische Ports.

    Bedrohungssuche

    Die Implementierung einer proaktiven Bedrohungsanalyse in Verbindung mit einer gut konfigurierten SIEM Das System verbessert seine Fähigkeiten zur Bedrohungserkennung erheblich und steigert die analytische Aussagekraft der automatisierten Protokollanalyse deutlich. Während ein richtig konfiguriertes SIEM kann viele bekannte Bedrohungen effektiv überwachen und Alarm schlagen; die automatisierte Bedrohungssuche ermöglicht die Erkennung ausgeklügelter, sich weiterentwickelnder oder heimlicher Angriffe, die Standardkorrelationsregeln umgehen könnten.

    Eine Bedrohungsjagd SIEM Stellar Cyber ​​simuliert beispielsweise das reale Angriffspotenzial einer Warnung oder Anomalie nach deren Generierung. Dieser kontinuierliche Validierungsprozess trägt dazu bei, dass Korrelationsregeln präzise, ​​anpassungsfähig und effektiv gegen neue Angriffsmethoden sind. Er beeinflusst auch die Priorisierung von Warnungen und bildet die Grundlage für die manuelle Bedrohungssuche von Analysten. Diese können die Malware-Sandbox-Protokolle durchsuchen, um Angriffsversuche zu identifizieren und so einen besseren Einblick in die gegen sie eingesetzten Angriffe zu erhalten.

    Integration für schnelle Reaktion

    Integrieren von a SIEM Die Integration in den umfassenderen Technologie-Stack verbessert dessen Fähigkeit, Bedrohungen effektiv zu erkennen, zu analysieren und darauf zu reagieren. Dies kann die Verknüpfung von … umfassen. SIEM Mit Tools wie Endpoint Detection and Response (EDR), Threat-Intelligence-Plattformen, Incident-Response-Systemen und Security Orchestration, Automation and Response (SOAR)-Lösungen. Noch besser: Die Integration mit Sicherheitstools ebnet den Weg für automatisierte Bedrohungsreaktionen – ein zentraler Schwerpunkt von Stellar Cyber.

    Gehen Sie mit den Hüllen von Stellar Cyber ​​über die Grundregeln hinaus

    Stellar Cyber ​​verfolgt einen multimodalen Ansatz zur Regelerstellung: Es bietet ein umfangreiches Paket aus Korrelationsregeln und ML-gesteuerter Verhaltensanalyse und nutzt alle in Ihrem Unternehmen generierten Protokolle voll aus. Warnungen werden erstellt, wenn Protokolldaten einzelne Regeln auslösen, aber Stellar korreliert diese zu einheitlichen Fällen, von denen jeder eine Sammlung potenziell verbundener Warnungen innerhalb einer einzigen Datenstruktur darstellt. Von dort aus erhalten Analysten eine Reihe von Playbooks und Abhilfeoptionen, die darauf ausgelegt sind, die MTTR zu minimieren.

    Die Kreuzüberprüfung von Warnmeldungen durch Stellar Cyber ​​liefert einen tieferen Kontext und ermöglicht es Analysten, festzustellen, ob es sich um einen echten Angriff, ein risikoreiches Verhalten oder einfach nur um zufällige Ereignisse handelt. Erfahren Sie, wie Sie automatisierte Antworten einrichten und bösartigen Datenverkehr sofort blockieren können. mit einer Demo noch heute.

    Klingt zu gut, um
    wahr sein?
    Sehen Sie selbst!

    Demo anfordern
    Nach oben scrollen
    Melden Sie sich für Newsletter an