SIEM-logboekregistratie: overzicht en best practices

  • Key Takeaways:
  • Wat zijn de beste werkwijzen voor SIEM-logging?
    Verzamel logs van kritieke systemen, normaliseer formaten en zorg voor gecentraliseerde zichtbaarheid.
  • Waarom zouden organisaties prioriteit moeten geven aan de kwaliteit van logs boven de kwantiteit?
    Relevante, zeer betrouwbare logs zorgen voor minder ruis en een nauwkeurigere detectie van bedreigingen.
  • Wat zijn de belangrijkste overwegingen bij het bewaren van logboeken?
    Nalevingsvereisten, opslagefficiëntie en forensische vereisten.
  • Waarom is logverrijking belangrijk?
    Het voegt context toe aan ruwe data, waardoor detectie en onderzoek effectiever worden.
  • Wat zijn veelvoorkomende fouten bij het loggen?
    Te veel gegevens verzamelen zonder normalisatie, kritieke bronnen negeren en zwakke bewaarbeleidsregels.
  • Hoe optimaliseert Stellar Cyber ​​SIEM-logging?
    Het maakt gebruik van Interflow™ om logs te verrijken met metadata en slaat deze efficiënt op in een gecentraliseerd data lake.

Security Information and Event Management (SIEM) is een cruciale tool voor cybersecurity die de beveiligingsinformatie centraliseert die rond de duizenden endpoints, servers en applicaties binnen uw organisatie circuleert. Wanneer eindgebruikers en apparaten met elk applicatie-aanraakpunt communiceren, laten ze digitale vingerafdrukken achter in de vorm van logs. Deze bestanden spelen traditioneel een belangrijke rol bij het oplossen van bugs en kwaliteitscontrole: ze bieden immers foutinformatie rechtstreeks van de bron.

In 2005 begonnen beveiligingsprofessionals zich echter te realiseren welk potentieel deze kleine bestanden hadden. Ze leveren een schat aan realtime data die kan worden ingevoerd in SIEM-logging die dergelijke IT-infrastructuur monitort. Sindsdien hebben beveiligingsprofessionals de afweging tussen zichtbaarheid van bedreigingen en het volume van gebeurtenislogboeken zorgvuldig afgewogen. Dit artikel behandelt verschillende best practices voor SIEM-logbeheer, waarmee u uw beveiligingstools optimaal kunt benutten.

Next-Gen-Datasheet-pdf.webp

SIEM van de volgende generatie

Stellar Cyber ​​Next-Generation SIEM, als een kritisch onderdeel binnen het Stellar Cyber ​​Open XDR Platform...

Download Data Sheet
demo-afbeelding.webp

Ervaar AI-aangedreven beveiliging in actie!

Ontdek de geavanceerde AI van Stellar Cyber ​​voor onmiddellijke detectie en reactie op bedreigingen. Plan vandaag nog uw demo!

Plan een demo

Waarom SIEM belangrijk is

Het belangrijkste belang van SIEM-logbeheer ligt in de mogelijkheid om grote hoeveelheden logs efficiënt te analyseren, waardoor beveiligingsanalisten zich kunnen richten op kritieke bedreigingen. Bovendien normaliseren SIEM-systemen gegevens in heterogene bedrijfsomgevingen voor vereenvoudigde analyse, bieden ze realtime en historische bedreigingsanalyses op basis van loggegevens, versturen ze geautomatiseerde waarschuwingen met prioriteit op basis van ernst wanneer potentiële beveiligingsbedreigingen worden gedetecteerd, en houden ze gedetailleerde records bij die cruciaal zijn voor incidentrespons en forensisch onderzoek. SIEM-logbeheer is in essentie essentieel voor het opzetten en behouden van een robuuste en responsieve beveiligingspositie in het complexe landschap van hedendaagse IT-omgevingen.

Wat is SIEM-logboekregistratie en hoe werkt het?

Om realtime beveiliging te bieden, verzamelt SIEM-software logbestanden uit meerdere bronnen en verzendt deze naar een centraal logsysteem. Met 'Wat is SIEM?' Antwoord: het is mogelijk om dieper in te gaan op de uiteenlopende methoden die door SIEM-tools worden gebruikt

Op agenten gebaseerde logboekverzameling

Deze logboekaggregatie vindt plaats op lokaal niveau. De agenten zijn doordrenkt met logfilters en normalisatiemogelijkheden, waardoor een grotere hulpbronnenefficiëntie mogelijk is. Agents nemen over het algemeen minder netwerkbandbreedte in beslag, dankzij het feit dat loggegevens in batches worden gecomprimeerd.

Directe verbinding

Agentless loggen – vaak gefaciliteerd door netwerkprotocollen of API-aanroepen – is een andere vorm van SIEM-loggen waarbij het SIEM-programma logbestanden rechtstreeks uit de opslag haalt, vaak in syslog-formaat. De voordelen variëren van eenvoudige implementatie tot het elimineren van de noodzaak voor software- of versie-updates; deze optie draagt ​​vaak bij aan lagere SIEM-onderhoudskosten.

Protocollen voor gebeurtenisstreaming

Hoewel zowel agentgebaseerde als agentloze loggingmethoden verschillende manieren bieden om data te verzamelen, herconceptualiseert event-based architectuur dit proces als stromen van gebeurtenissen die door een rivier reizen. Elke gebeurtenis kan worden vastgelegd en verder verwerkt door downstream-gebruikers. NetFlow, een protocol ontwikkeld door Cisco, is een voorbeeld van deze aanpak. Het verzamelt IP-netwerkverkeer wanneer een interface wordt betreden of verlaten. De analyse van NetFlow-gegevens stelt netwerkbeheerders in staat om cruciale informatie te achterhalen, waaronder de bron en bestemming van het verkeer, de gebruikte protocollen en de duur van de communicatie. Deze gegevens worden verzameld via een NetFlow-collector, die niet alleen de essentiële verkeersdetails vastlegt, maar ook tijdstempels, aangevraagde pakketten en de in- en uitgangsinterfaces van het IP-verkeer registreert.

Bij aanvallen die steeds geavanceerder worden, speelt event streaming een cruciale rol. Het verstrekt uitgebreide informatie over netwerkverkeer aan beveiligingsapparaten, waaronder next-generation firewalls (NGFW), systemen voor detectie en preventie van indringers (IDS/IPS) en security web gateways (SWG).

Over het algemeen komt SIEM-logging naar voren als een cruciaal element in moderne cybersecurity, dat zowel realtime als historische dreigingsanalyses biedt op basis van loggegevens. Het is echter essentieel om de verschillen tussen gewoon logbeheer en SIEM in gedachten te houden.

SIEM versus logbeheer: belangrijkste verschillen

Hoewel logs de ruggengraat vormen van SIEM-functionaliteit, is er een belangrijk verschil tussen de processen van SIEM en logbeheer. Logbeheer omvat het systematisch verzamelen, opslaan en analyseren van loggegevens afkomstig uit verschillende kanalen. Dit proces biedt een gecentraliseerd perspectief op alle loggegevens en wordt voornamelijk gebruikt voor doeleinden zoals compliance, systeemprobleemoplossing en operationele efficiëntie. Logbeheersystemen voeren echter niet automatisch analyses uit op de loggegevens – het is aan de beveiligingsanalist om deze informatie te interpreteren en de validiteit van potentiële bedreigingen te beoordelen.

SIEM gaat nog een stap verder door gebeurtenislogboeken te vergelijken met contextuele informatie over gebruikers, assets, bedreigingen en kwetsbaarheden. Dit wordt bereikt door een breed scala aan algoritmen en technologieën voor bedreigingsidentificatie:

  • Evenementcorrelatie omvat het gebruik van geavanceerde algoritmen om beveiligingsgebeurtenissen te analyseren, patronen of relaties te identificeren die indicatief zijn voor potentiële bedreigingen en realtime waarschuwingen te genereren.

  • Gebruikers- en entiteitsgedragsanalyse (UEBA) vertrouwt op machine learning-algoritmen om een ​​basislijn vast te stellen van normale activiteiten die specifiek zijn voor gebruikers en het netwerk. Eventuele afwijkingen van deze basislijn worden gemarkeerd als potentiële veiligheidsbedreigingen, waardoor complexe bedreigingen kunnen worden geïdentificeerd en zijwaartse bewegingen kunnen worden gedetecteerd.

  • Beveiligingsorkestratie en automatiseringsreactie (SOAR) zorgt ervoor dat SIEM-tools automatisch kunnen reageren op bedreigingen, waardoor het niet meer nodig is te wachten tot een beveiligingstechnicus waarschuwingen heeft beoordeeld. Deze automatisering stroomlijnt de respons op incidenten en is een integraal onderdeel van SIEM.

  • Browserforensisch onderzoek en analyse van netwerkgegevens Maak gebruik van de geavanceerde mogelijkheden voor bedreigingsdetectie van SIEM om kwaadwillende insiders te identificeren. Dit omvat het onderzoeken van browserforensisch onderzoek, netwerkgegevens en gebeurtenislogboeken om potentiële cyberaanvalplannen te onthullen.

Onopzettelijke insideraanval

Een voorbeeld van hoe elk onderdeel in de praktijk kan worden gebracht, is een onbedoelde aanval van binnenuit.

Deze aanvallen vinden plaats wanneer personen onbedoeld externe kwaadwillenden helpen bij hun voortgang tijdens een aanval. Als een medewerker bijvoorbeeld een firewall verkeerd configureert, kan dit de organisatie blootstellen aan een verhoogde kwetsbaarheid. Omdat beveiligingsconfiguraties van cruciaal belang zijn, kan een SIEM-systeem bij elke wijziging een gebeurtenis genereren. Deze gebeurtenis wordt vervolgens gemeld aan een beveiligingsanalist voor grondig onderzoek. Zo wordt gegarandeerd dat de wijziging opzettelijk en correct is uitgevoerd. Zo wordt de organisatie beschermd tegen mogelijke inbreuken als gevolg van onbedoelde acties van insiders.

In geval van een volledige accountovername maakt UEBA het mogelijk om verdachte activiteiten te detecteren, zoals het account dat buiten zijn gebruikelijke patroon toegang krijgt tot systemen, meerdere actieve sessies onderhoudt of wijzigingen aanbrengt in de root-toegang. Wanneer een cybercrimineel probeert privileges te verhogen, escaleert een SIEM-systeem deze informatie direct naar het beveiligingsteam, wat snelle en effectieve reacties op potentiële beveiligingsbedreigingen mogelijk maakt.

Best practices voor SIEM-logboekregistratie

SIEM speelt een cruciale rol in de cyberbeveiligingsstrategie van een organisatie, maar de implementatie ervan vereist een slimme benadering van de logbestanden en correlatieregels die de kern vormen van dergelijke software.

#1. Selecteer uw vereisten met een Proof of Concept

Bij het uitproberen van een nieuwe SIEM-tool bieden Proof of Concepts een testomgeving. Tijdens de PoC-fase is het cruciaal om logs persoonlijk naar het SIEM-systeem te sturen om te beoordelen of de oplossing de data kan normaliseren volgens specifieke vereisten. Dit proces kan worden versterkt door gebeurtenissen uit niet-standaardmappen op te nemen in de event viewer.

Met deze POC kunt u bepalen of agent-gebaseerde logverzameling de beste optie voor u is. Als u logs wilt verzamelen via Wide Area Networks (WAN's) en firewalls, kan het gebruik van een agent voor logverzameling bijdragen aan een vermindering van het CPU-gebruik van de server. Aan de andere kant kan agentloze logverzameling u ontlasten van de installatie van software en resulteren in lagere onderhoudskosten.

#2. Verzamel de juiste houtblokken op de juiste manier

Zorg ervoor dat het SIEM-systeem in realtime gegevens verzamelt, aggregeert en analyseert uit alle relevante bronnen, inclusief applicaties, apparaten, servers en gebruikers. Hoewel data een essentieel onderdeel zijn van de SIEM-capaciteit, kunt u dit verder ondersteunen door ervoor te zorgen dat elk facet van uw organisatie wordt gedekt.

#3. Veilige eindpuntlogboeken

Een veelvoorkomend obstakel bij endpoint-logs is de voortdurende verandering ervan, wanneer systemen af ​​en toe van het netwerk worden losgekoppeld, bijvoorbeeld wanneer werkstations worden uitgeschakeld of laptops op afstand worden gebruikt. Bovendien voegt de administratieve last van het verzamelen van endpoint-logs een aanzienlijke mate van complexiteit toe. Om deze uitdaging aan te pakken, kan Windows Event Log Forwarding worden gebruikt om een ​​gecentraliseerd systeem te verzenden zonder dat er een agent of extra functies hoeven te worden geïnstalleerd, aangezien dit inherent beschikbaar is in het basis Windows-besturingssysteem.

De aanpak van Stellar Cyber ​​voor endpoint logs ondersteunt een breed scala aan endpoint logs, waaronder Endpoint Detection and Response (EDR). Door verschillende waarschuwingspaden toe te passen op bepaalde subsets in verschillende EDR-producten, wordt het bovendien mogelijk om endpoint loginformatie nauwkeurig en nauwkeurig op te schonen.

#4. Houd PowerShell in de gaten

PowerShell, nu alomtegenwoordig op elk Windows-exemplaar vanaf Windows 7, is een gerenommeerd hulpmiddel voor aanvallers geworden. Het is echter essentieel om te weten dat PowerShell standaard geen activiteiten registreert; dit moet expliciet worden ingeschakeld.

Eén logoptie is Module Logging, die gedetailleerde uitvoeringsinformatie over de pijplijn biedt, inclusief variabele initialisatie en opdrachtaanroepen. Script Block Logging daarentegen monitort alle PowerShell-activiteiten uitgebreid, zelfs wanneer deze binnen scripts of codeblokken worden uitgevoerd. Beide moeten in acht worden genomen om nauwkeurige gegevens over bedreigingen en gedrag te genereren.

#5. Profiteer van Sysmon

Gebeurtenis-ID's zijn essentieel om meer context te bieden aan elke verdachte actie. Microsoft Sysmon biedt diepgaande gebeurtenisinformatie, zoals het maken van processen, netwerkverbindingen en bestandshashes. Als dit op de juiste manier met elkaar in verband wordt gebracht, kan dit helpen bij het detecteren van bestandsloze malware die anders antivirusprogramma's en firewalls kan omzeilen.

#6. Waarschuw en reageer

Ondanks de analytische kracht die machine learning aan SIEM-tools verleent, is het van cruciaal belang om deze in de context te plaatsen
bredere reikwijdte van uw algehele beveiliging. De belangrijkste hiervan zijn uw beveiligingsanalisten – een incidentresponsplan biedt expliciete richtlijnen voor elke belanghebbende, wat soepele en effectieve samenwerking mogelijk maakt.

In het plan moet een senior leider worden aangewezen als de primaire verantwoordelijke voor de afhandeling van incidenten. Hoewel deze persoon bevoegdheden kan delegeren aan anderen die betrokken zijn bij het incidentafhandelingsproces, moet het beleid expliciet een specifieke positie specificeren die primair verantwoordelijk is voor de incidentrespons.

Van daaruit komt het aan op de incidentresponsteams. In het geval van een groot internationaal bedrijf kunnen er meerdere zijn, elk gericht op specifieke geografische gebieden en bemand met toegewijd personeel. Kleinere organisaties kunnen daarentegen kiezen voor één centraal team, dat op parttimebasis leden uit verschillende delen van de organisatie inzet. Sommige organisaties kunnen er ook voor kiezen om bepaalde of alle aspecten van hun incidentrespons uit te besteden.

Handboeken zorgen ervoor dat alle teams samenwerken en vormen de basis voor een volwassen respons op incidenten. Ondanks de unieke aard van elk beveiligingsincident, houdt de meerderheid zich aan standaardpatronen, waardoor gestandaardiseerde reacties zeer nuttig zijn. Een communicatieplan voor incidentrespons beschrijft hoe verschillende groepen communiceren tijdens een actief incident – ​​inclusief wanneer de autoriteiten betrokken moeten worden.

5. Definieer en verfijn regels voor gegevenscorrelatie

Een SIEM-correlatieregel fungeert als richtlijn voor het systeem en geeft reeksen gebeurtenissen aan die kunnen wijzen op afwijkingen, potentiële beveiligingsproblemen of een cyberaanval. De regel activeert meldingen aan beheerders wanneer aan specifieke voorwaarden wordt voldaan, zoals het optreden van gebeurtenissen 'x' en 'y' of 'x', 'y' en 'z' tegelijk. Gezien de enorme hoeveelheid logs die ogenschijnlijk alledaagse activiteiten documenteren, is een goed ontworpen SIEM-correlatieregel cruciaal om de ruis te doorgronden en reeksen gebeurtenissen te identificeren die wijzen op een potentiële cyberaanval.

Correlatieregels voor SIEM's kunnen, net als elk ander algoritme voor event monitoring, valspositieve resultaten opleveren. Overmatige valspositieve resultaten kunnen de tijd en energie van beveiligingsbeheerders verspillen, maar het bereiken van nul valspositieve resultaten in een goed functionerend SIEM is onpraktisch. Daarom is het bij het configureren van correlatieregels voor SIEM's essentieel om een ​​balans te vinden tussen het minimaliseren van valspositieve meldingen en het voorkomen dat potentiële afwijkingen die wijzen op een cyberaanval over het hoofd worden gezien. Het doel is om de regelinstellingen te optimaliseren om de nauwkeurigheid van de bedreigingsdetectie te verbeteren en tegelijkertijd onnodige afleiding door valspositieve resultaten te voorkomen.

Volgende generatie SIEM en logbeheer met Stellar Cyber

Het platform van Stellar Cyber ​​integreert Next-Gen SIEM als een inherente mogelijkheid en biedt een uniforme oplossing door meerdere tools, waaronder NDR, UEBA, Sandbox, TIP en meer, in één platform te consolideren. Deze integratie stroomlijnt de activiteiten in een samenhangend en toegankelijk dashboard, wat leidt tot een aanzienlijke verlaging van de kapitaalkosten. Ons SIEM-logbeheer wordt aangedreven door automatisering waarmee teams bedreigingen voor kunnen blijven, terwijl het ontwerp van Next Gen SIEM teams in staat stelt moderne aanvallen effectief te bestrijden. Voor meer informatie kunt u een demo voor ons boeken SIEM-platform van de volgende generatie.

Klinkt te mooi om waar te zijn
waar zijn?
Zie het zelf!

Boek een adviesgesprek
Scroll naar boven
Meld u aan voor nieuwsbrieven