SIEM Règles de corrélation : Améliorer votre détection des menaces
Les journaux représentent les activités en temps réel de chaque recoin de votre entreprise. Chaque journal d'audit contient les informations sur l'activité, les paramètres, les ressources et le timing d'un utilisateur, ce qui en fait une véritable mine d'or de données. Leur utilisation pour protéger les entreprises exige cependant plus que de simples données : les journaux doivent être regroupés et identifiés comme sûrs ou malveillants, le tout avant que l'attaquant ne puisse déployer une charge utile ou voler des données. C'est là que les règles de corrélation s'avèrent efficaces.
En analyse de données, une corrélation désigne toute relation ou connexion entre deux éléments – en cartographiant la relation entre chaque donnée de journalisation et en créant SIEM règles de corrélation, vos SIEM Le système est capable de surveiller de manière cohérente chaque point de données par rapport aux autres. Enfin, ces séquences sont identifiées comme sûres ou potentiellement malveillantes grâce à l'ajout de règles à ces données. Le trafic légitime est autorisé, tandis que le trafic malveillant ou suspect est marqué comme tel et bloqué.
Next-Generation SIEM
Stellar Cyber Nouvelle Génération SIEM, en tant que composante essentielle du système cybernétique stellaire Open XDR Plate-forme...
Découvrez la sécurité basée sur l'IA en action !
Découvrez l'IA de pointe de Stellar Cyber pour une détection et une réponse instantanées aux menaces. Planifiez votre démo dès aujourd'hui !
Comment SIEM Les règles de corrélation fonctionnent
Étape 1 : Centralisation des journaux
Les journaux de tous vos systèmes sont collectés et transmis au SIEMCeci est rendu possible grâce à des capteurs et des agents – de petits logiciels installés sur les terminaux, les réseaux et les serveurs qui surveillent passivement les paquets de données transférés sur un réseau et les actions exécutées sur les appareils. Dans cette étape, SIEM L'outil lance le processus d'intégration de ces journaux dans un moteur d'analyse central.
Étape 2 : Normalisation des données
Bien que les journaux couvrent tous les aspects de votre infrastructure, celle-ci reste composée d'applications, de serveurs et de matériels très différents, chacun avec son propre format d'affichage des entrées. Les journaux d'événements provenant de différentes sources peuvent présenter des champs d'information et des structures de données très variés. La deuxième étape consiste à SIEM La corrélation permet de normaliser ces données, ce qui consiste à analyser les différents journaux pour les convertir en un format cohérent et standardisé.
Plus la normalisation de ces données de journalisation est efficace, plus le SIEM peut commencer à analyser et à appliquer des techniques de détection des menaces.
Étape 3 : Corrélation des données
Maintenant que toutes les données de journalisation ont été ingérées, le moteur de corrélation est en mesure de voir comment elles se conforment aux schémas communs. SIEM Les outils existants se limitent à l'identification individuelle de chaînes de caractères, tandis que des solutions plus avancées comme celle de Stellar ajoutent un second niveau de corrélation prenant en compte d'autres attributs, tels que les paramètres de requête et de réponse. Ceci permet de consolider le lien entre le comportement observé et l'entité concernée.
Il s'agit d'une opération de haut niveau. Considérons donc la corrélation des données dans le contexte d'une attaque réelle : prenons l'exemple d'un attaquant qui tente d'accéder par force brute à une entreprise via son fournisseur de gestion des identités et des accès (IAM). Les comportements impliqués peuvent inclure une campagne de tentatives de connexion continues pour obtenir l'accès (action A), suivie d'une connexion réussie (action B). Ensuite, il peut accéder à la console d'administration et créer un nouvel utilisateur avec des privilèges élevés, ou lancer une série d'analyses de ports pour identifier les zones faibles et les ressources sensibles. Appelons cette action C.
La corrélation basée sur des règles permet d'enchaîner les techniques, tactiques et procédures (TTP). Ces corrélations séquentielles peuvent ensuite déclencher une action, transmise à l'analyste via une alerte. C'est la manière dont ces attributs sont liés qui définit la capacité d'identification d'une méthode. SIEM outil.
Corrélation basée sur les règles et corrélation comportementale
Les actions impliquées dans l'attaque que nous venons de décrire peuvent être découvertes de deux manières : la première consiste à utiliser une règle qui stipule explicitement « si l'action A est suivie de B puis de C, déclencher une alerte ». Cela fonctionne très bien si les analystes sont conscients à l'avance de la possibilité de cette attaque et ont une idée approximative du TTP qu'un attaquant peut adopter.
Cependant, ce n'est pas la seule approche : cette attaque par force brute pourrait également être détectée par une règle plus générale : « si un ensemble d'actions s'écarte du comportement d'authentification normal d'un utilisateur final, déclencher une alerte ». Cette règle repose sur… SIEM Comprendre l'historique des comportements habituels des utilisateurs finaux est désormais possible grâce à l'analyse des journaux centralisés par un algorithme d'apprentissage automatique. Il devient ainsi très facile d'établir des tendances quotidiennes concernant les utilisateurs, les appareils et le trafic, et d'utiliser la corrélation comportementale comme base pour… SIEM Règles. La corrélation comportementale est souvent utilisée pour produire un « score de risque », pour lequel les analystes fixent un seuil acceptable.
Puisque nous avons doublé le nombre d'approches différentes dont nous disposons pour identifier les menaces, il est plus crucial que jamais de maintenir activement votre système de sécurité. SIEM Des règles épurées et performantes – nous verrons ci-dessous comment y parvenir au mieux.
Bénéfices du SIEM Règles de corrélation pour la détection des menaces
Détection des menaces basée sur les signatures
La grande majorité des attaques ne sont pas particulièrement originales : les attaquants opportunistes qui copient-collent du code malveillant sont si courants qu’ils ont été surnommés « script kiddies ». C’est pourquoi la grande majorité des SIEM La protection de la surface d'attaque s'effectue par détection basée sur les signatures.
Les répertoires de sites de signatures de logiciels malveillants sont en constante expansion : l’un des plus connus est la base de données M&TRE ATTACK. Celle-ci identifie les approches spécifiques utilisées par les attaquants et offre ainsi aux professionnels de la sécurité une base de données open source. SIEM Ces règles reposent sur la définition de schémas de comportements malveillants connus.
Cependant, plus le SIEM La règle est la suivante : plus les attaquants s'efforceront de la contourner, plus les règles de corrélation seront mises en avant. Cela place les règles de corrélation dans une course permanente entre attaquants et analystes de sécurité. Et si l'équipe de sécurité accumule trop de règles, elle risque d'être submergée. SIEM faux positifs.
Stellar Cyber élimine les difficultés rencontrées par les systèmes purement basés sur la corrélation. SIEMEn ajoutant une couche supplémentaire d'analyse ML, les analystes peuvent couvrir un maximum de cas grâce aux règles de corrélation, puis la seconde couche d'analyse évalue le contexte plus large de chaque alerte afin d'en déterminer la légitimité.
Règles préremplies pour les menaces du monde réel
Les règles de corrélation sont conçues spécialement pour identifier les menaces courantes que les pirates utilisent à maintes reprises pour tenter d'accéder aux ressources. Cependant, l'équipe informatique d'une seule entreprise peut ne pas disposer de la compréhension la plus à jour des TTP du monde réel. Après tout, la veille sur les menaces exige la collecte, le traitement et l'application continus de données sur les acteurs malveillants, les techniques et les indicateurs de compromission.
C'est pourquoi les règles de corrélation pré-remplies sont si avantageuses : ces approches pré-remplies sont élaborées à partir d'une vue macro de votre secteur et de l'espace de menace plus large. Chaque variation de comportement peut être étiquetée et associée à son type d'alerte, réduisant ainsi la nature sporadique des alertes de journal en un tout plus rationalisé.
Conformité des données et des accès
Dans presque tous les secteurs d'activité, les organisations doivent démontrer leur respect de certaines lois, règles et réglementations, qui varient selon le secteur d'activité. Les filiales européennes doivent se conformer au RGPD, tandis que toute entreprise de paiement doit se conformer à la norme PCI DSS.
Le RGPD est l'une des réglementations les plus strictes et les plus étendues, exigeant la sécurité des données tout au long des processus techniques d'une organisation. SIEM Les journaux d'activité recensant l'intégralité des actifs et des comptes utilisateurs d'une organisation, ils sont particulièrement bien placés pour y parvenir.
C’est là un véritable avantage des règles de corrélation : leur applicabilité universelle. En envoyant une alerte dès la détection d’un ensemble de journaux anormaux, elles permettent aux analystes d’anticiper les problèmes de conformité potentiels. La possibilité de définir ses propres règles permet également d’intégrer les exigences de conformité dès la conception de l’architecture de sécurité. Si la norme PCI DSS impose la mise à jour de tous les logiciels anti-malware des terminaux, il convient de mettre en œuvre une solution adaptée. SIEM Règle vous alertant lorsqu'une solution anti-malware n'a pas été mise à jour. Plus avancé SIEM Des outils permettent d'automatiser l'ensemble du processus, tout en conservant un fichier d'analyse forensique de ses actions. L'accélération accordée par SIEMs est particulièrement vital dans le contexte de réglementations telles que le RGPD, qui n'accordent qu'un court délai de 72 heures pour signaler et traiter les incidents de sécurité.
Détection des attaques à plusieurs étapes et des menaces persistantes avancées (APT)
Les règles de corrélation individuelles sont assez simples, mais la granularité des journaux permet une résolution et une atténuation bien plus précises. C'est là que les règles composites peuvent être excellentes pour identifier les menaces plus avancées : elles regroupent plusieurs règles pour se concentrer sur un comportement spécifique dans un contexte spécifique. Par exemple, si X tentatives de connexion sur le même poste de travail (et la même adresse IP) échouent dans les X minutes et utilisent des noms d'utilisateur différents, et si une connexion réussie se produit sur n'importe quel ordinateur du réseau et provient de la même adresse IP, cela déclenchera une alerte.
Les règles composites peuvent être essentielles pour bloquer les points d'entrée des APT. C'est le cas lorsqu'un intrus accède initialement au réseau d'une organisation, trouve un point d'accès sûr, puis ne fait rien avec. Bien que la menace puisse sembler latente, elle attend probablement simplement un moment opportun, voire un acheteur pour l'exploit en cours. S'il le souhaite, l'intrus peut simplement contourner le pare-feu et voler des données ou déployer des logiciels malveillants, car son compte ou ses actions sont supposés sûrs.
Les règles de corrélation simples n'ont traditionnellement pas été fiables pour découvrir les APT ; si les analystes ne sont pas conscients du TTP potentiel, il est peu probable qu'ils découvrent la menace.
L'approche la plus fiable va donc au-delà des règles composites : les modèles comportementaux modernes permettent d'intégrer les actions passées dans le moteur d'analyse. L'analyse continue du trafic réseau entrant et sortant permet ensuite de signaler comme risqué tout écart par rapport aux actions attendues de l'utilisateur.
Meilleures pratiques pour la construction SIEM Règles de corrélation
Prioriser les cas d'utilisation
Lors de la première adaptation d'un SIEM à votre entreprise, SIEM Les meilleures pratiques exigent que vous ayez une idée claire des cas d'utilisation précis de vos SIEM Ces cas d'utilisation, classés par ordre de priorité, doivent être affinés et les règles prédéfinies évaluées afin de déterminer leur adéquation à votre entreprise. Vous pourrez ensuite les modifier ou les compléter.
Si vous ne savez pas quelles techniques d'attaque spécifiques peuvent être utilisées contre vous, consultez MITRE ATT & CK or La chaîne de destruction cybernétique de Lockheed. Tous deux font un travail immense pour cataloguer les approches et les exploits spécifiques des attaquants avec une profondeur extraordinaire.
Utilisez votre pare-feu
-
- A « Serveur de noms malveillant » La règle doit surveiller tout périphérique tentant d'accéder à l'application DNS avec une destination autre que les serveurs DNS internes de l'entreprise. Les périphériques internes doivent être configurés pour utiliser uniquement les serveurs DNS de l'entreprise, qui accèdent ensuite à Internet selon les besoins pour résoudre les domaines inconnus.
- A « Serveur proxy malveillant » La règle consiste à respecter les pare-feu de périmètre pour tout trafic provenant du sous-réseau LAN dirigé vers Internet sur les ports TCP 80/443 ou pour la navigation Web et les applications SSL. Idéalement, seul le trafic provenant du serveur proxy désigné doit être autorisé ; toute autre IP source tentant ce type de connexion peut indiquer une tentative de contournement de la sécurité, que ce soit par un utilisateur ou un logiciel malveillant.
- A « Trafic BOTNET » Cette règle permet d'identifier les anciens logiciels de commande et de contrôle (C2) qui utilisent Internet Relay Chat (IRC) pour la gestion. Bien que l'IRC ne soit pas intrinsèquement malveillant, sa présence dans un réseau d'entreprise est souvent suspecte. Cette règle doit déclencher une alerte si un hôte source ou de destination utilise l'IRC, bien que certains ordinateurs d'administration réseau puissent nécessiter des exclusions.
Réduire les ports ouverts
Par défaut, les capteurs qui écoutent sur le port 514 analysent les journaux entrants, ce qui permet d'identifier le périphérique source. Spécifier un port plus ciblé pour votre type de journal plutôt que d'utiliser le port 514 offre plusieurs avantages. Cela accélère l'ingestion des données et l'analyse des journaux, améliorant ainsi les performances du capteur puisque le capteur peut identifier instantanément le périphérique source. Enfin et surtout, baser une règle de corrélation sur le port correct est extrêmement important pour préserver les informations du journal.
Sélectionnez plutôt le port approprié en fonction de leur format :
- Format d'événement commun (CEF), format étendu d'événement de journal (LEEF) ou JSON : pour ces types de journaux, transférez les données vers le port attribué à cette norme.
- Journaux au format Syslog standard : utilisez le port désigné pour le fournisseur spécifique.
- Pour les formats spécialisés tels que Syslog combiné avec des expressions régulières, des paires clé-valeur ou CSV, utilisez des ports spécifiques au fournisseur.
Chasse aux menaces
Mise en œuvre d'une chasse proactive aux menaces parallèlement à une configuration bien pensée SIEM Le système améliore considérablement ses capacités de détection des menaces, renforçant significativement la puissance analytique de l'analyse automatisée des journaux. Bien qu'un système correctement paramétré SIEM peut surveiller et signaler efficacement de nombreuses menaces connues, l'ajout d'une chasse aux menaces automatisée permettant la détection d'attaques sophistiquées, évolutives ou furtives susceptibles de contourner les règles de corrélation standard.
Une chasse aux menaces SIEM À l'instar de Stellar Cyber qui simule le potentiel d'attaque réel d'une alerte ou d'une anomalie après sa génération, ce processus de validation continu garantit la précision, l'adaptabilité et l'efficacité des règles de corrélation face aux nouvelles méthodes d'attaque. Il influe également sur la priorisation des alertes et fournit aux analystes une base solide pour la recherche manuelle de menaces. Ces derniers peuvent consulter l'historique du bac à sable de logiciels malveillants pour identifier les tentatives d'attaque, ce qui leur permet de mieux comprendre l'attaque dont ils sont victimes.
Intégrer pour une réponse rapide
Intégrer un SIEM L'intégration au sein de l'infrastructure technologique globale renforce sa capacité à détecter, analyser et contrer efficacement les menaces. Cela peut inclure la liaison des SIEM Grâce à des outils comme la détection et la réponse aux incidents sur les terminaux (EDR), les plateformes de veille sur les menaces, les systèmes de réponse aux incidents et les solutions d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR), Stellar Cyber offre une solution performante. Mieux encore, l'intégration avec ces outils de sécurité ouvre la voie à des réponses automatisées aux menaces, un axe stratégique majeur pour Stellar Cyber.
Allez au-delà des règles de base avec les cas de Stellar Cyber
Stellar Cyber adopte une approche multimodale pour la création de règles : en proposant un ensemble de règles de corrélation et d'analyses comportementales basées sur le ML, elle exploite pleinement tous les journaux générés dans votre entreprise. Les alertes sont créées lorsque les données du journal déclenchent des règles individuelles, mais Stellar les met en corrélation dans des cas unifiés, chacun représentant un ensemble d'alertes potentiellement connectées au sein d'une structure de données unique. À partir de là, les analystes disposent d'une suite de manuels et d'options de correction conçus pour minimiser le MTTR.
La vérification croisée des alertes de Stellar Cyber permet d'obtenir un contexte plus approfondi, permettant aux analystes de déterminer s'ils ont affaire à une véritable attaque, à un comportement à haut risque ou à de simples événements fortuits. Découvrez comment configurer des réponses automatisées et bloquer immédiatement le trafic malveillant avec une démo aujourd'hui.
