SIEM-waarschuwingen: veelvoorkomende typen en best practices
Wanneer cybercriminelen toegang krijgen tot een netwerk, apparaat of account, wordt schadebeheersing een race tegen de klok. Het aantal apps en accounts waaruit de gemiddelde tech-stack bestaat, kan het gedrag van aanvallers echter tot een zeer scherpe naald maken – begraven in hectaren hooi.
Door continu beveiligingsgebeurtenissen te monitoren en te analyseren, kan SIEM-technologie abnormale patronen of gedrag detecteren wanneer deze zich voordoen – en beveiligingspersoneel waarschuwen voor de precieze verblijfplaats van de aanvaller. Deze gebeurtenissen omvatten activiteiten zoals ongeautoriseerde toegangspogingen, ongebruikelijk netwerkverkeer of systeemkwetsbaarheden. Zodra een potentiële dreiging is geïdentificeerd, kan het SIEM-systeem waarschuwingen of meldingen genereren om tijdig onderzoek en reactie door beveiligingspersoneel te stimuleren.
Het is echter van cruciaal belang dat uw oplossing geschikt is voor detectie van bedreigingen – zonder eindeloze SIEM-waarschuwingen naar uw beveiligingsteam te sturen. Dit artikel behandelt de ins en outs van SIEM-waarschuwingen: welke aanvallen ze kunnen helpen voorspellen en voorkomen; en hoe u uw SIEM het beste kunt opzetten voor succes.
Door continu beveiligingsgebeurtenissen te monitoren en te analyseren, kan SIEM-technologie abnormale patronen of gedrag detecteren wanneer deze zich voordoen – en beveiligingspersoneel waarschuwen voor de precieze verblijfplaats van de aanvaller. Deze gebeurtenissen omvatten activiteiten zoals ongeautoriseerde toegangspogingen, ongebruikelijk netwerkverkeer of systeemkwetsbaarheden. Zodra een potentiële dreiging is geïdentificeerd, kan het SIEM-systeem waarschuwingen of meldingen genereren om tijdig onderzoek en reactie door beveiligingspersoneel te stimuleren.
Het is echter van cruciaal belang dat uw oplossing geschikt is voor detectie van bedreigingen – zonder eindeloze SIEM-waarschuwingen naar uw beveiligingsteam te sturen. Dit artikel behandelt de ins en outs van SIEM-waarschuwingen: welke aanvallen ze kunnen helpen voorspellen en voorkomen; en hoe u uw SIEM het beste kunt opzetten voor succes.
SIEM van de volgende generatie
Stellar Cyber Next-Generation SIEM, als cruciaal onderdeel binnen het Stellar Cyber Open XDR Platform,...
Ervaar AI-aangedreven beveiliging in actie!
Ontdek de geavanceerde AI van Stellar Cyber voor onmiddellijke detectie en reactie op bedreigingen. Plan vandaag nog uw demo!
Wat is een SIEM-waarschuwing?
SIEM-waarschuwingen zijn meldingen die beveiligingsprofessionals informeren over mogelijke beveiligingsincidenten. Deze waarschuwingen zijn opgebouwd uit de detectie, correlatie en aggregatie van bestandsmetagegevens en gebruikersgedrag. Voor een diepere duik in wat SIEM is, zijn onze leermiddelen een fantastisch begin. Als we ons echter concentreren op het waarschuwingsproces, volgt hier een stapsgewijze procedure
Gebeurtenisgeneratie
Bijna elk bestand binnen uw lokale of cloudhuuromgeving creëert een constante stroom logboeken. Door te integreren met deze logbronnen begint SIEM-technologie een bewustzijn op te bouwen van de realtime processen die uw firewalls, inbraakdetectiesystemen, antivirusoplossingen, servers en andere beveiligingsapparaten ondersteunen.
Evenementcollectie
Niet alle logboeken zijn gelijk, maar om vast te stellen welke de moeite waard zijn om nader te bekijken, moet SIEM eerst grote hoeveelheden gebeurtenissen uit deze verschillende bronnen verzamelen en deze binnen het analysesysteem centraliseren.
Normalisatie
Gebeurtenissen die uit verschillende bronnen zijn verzameld, kunnen verschillende formaten en standaarden gebruiken. Hoewel foutgebeurtenissen duiden op een aanzienlijk probleem, zoals gegevensverlies of verlies van functionaliteit, kunnen waarschuwingsgebeurtenissen alleen maar duiden op een mogelijk toekomstig probleem. Daarnaast vereist het enorme scala aan bestandsformaten en -typen – van Active Directory tot besturingssystemen – de normalisatiefunctie van de SIEM om deze gebeurtenissen te standaardiseren in een gemeenschappelijk formaat.
Gebeurtenisopslag
Genormaliseerde gebeurtenissen worden opgeslagen in een veilige en gecentraliseerde database. Dit maakt historische analyse, nalevingsrapportage en forensisch onderzoek mogelijk.
Opsporing
Detectie omvat het analyseren van gebeurtenissen om potentiële beveiligingsincidenten te identificeren. SIEM-systemen gebruiken vooraf gedefinieerde regels, handtekeningen en gedragsanalyses om afwijkingen of patronen te detecteren die wijzen op veiligheidsbedreigingen. Regels kunnen voorwaarden omvatten zoals meerdere mislukte inlogpogingen, toegang vanaf ongebruikelijke locaties of bekende malware-handtekeningen.
Correlatie
Correlatie is een cruciale stap in het SIEM-proces. Het omvat het analyseren van meerdere gerelateerde gebeurtenissen om te bepalen of deze gezamenlijk een beveiligingsincident vertegenwoordigen. Correlatie helpt bij het identificeren van complexe aanvalspatronen die mogelijk onopgemerkt blijven als we afzonderlijke gebeurtenissen afzonderlijk bekijken.
Aggregatie
Aggregatie omvat het combineren van gerelateerde gebeurtenissen om een geconsolideerd beeld van een beveiligingsincident te bieden. Deze stap helpt bij het verminderen van alertmoeheid door beveiligingsprofessionals een beknoptere en beter beheersbare reeks waarschuwingen te bieden.
Dit proces culmineert in het genereren van een waarschuwing. Zodra een potentieel beveiligingsincident is geïdentificeerd door middel van detectie, correlatie en aggregatie, genereert het SIEM-systeem een waarschuwing. Waarschuwingen bevatten details over het incident, zoals het type dreiging, getroffen systemen en de ernst van het incident.
Dit proces culmineert in het genereren van een waarschuwing. Zodra een potentieel beveiligingsincident is geïdentificeerd door middel van detectie, correlatie en aggregatie, genereert het SIEM-systeem een waarschuwing. Waarschuwingen bevatten details over het incident, zoals het type dreiging, getroffen systemen en de ernst van het incident.
Verschillende soorten waarschuwingen in SIEM
In plaats van door grote hoeveelheden gegevens te bladeren, zijn SIEM-waarschuwingen bedoeld om een gericht en geprioriteerd beeld te geven van potentiële bedreigingen. Veelvoorkomende voorbeelden van SIEM-waarschuwingen zijn:
- Afwijkend gebruikersgedrag: Beveiligingswaarschuwingen kunnen worden geactiveerd wanneer een gebruiker ongebruikelijke activiteit vertoont, zoals meerdere mislukte inlogpogingen, ongeautoriseerde toegang tot bronnen of onregelmatige gegevensoverdrachten.
- Systeem- of applicatiefouten monitoren: SIEM-systemen onderzoeken logboeken nauwgezet en waarschuwen onmiddellijk voor kritieke fouten of storingen in systemen of applicaties, waardoor potentiële kwetsbaarheden of verkeerde configuraties aan het licht komen.
- Gegevensdoorbraken: Als reactie op ongeautoriseerde toegang of exfiltratie van gevoelige gegevens worden waarschuwingen gegenereerd, waardoor organisaties snel kunnen reageren en de daaruit voortvloeiende impact kunnen minimaliseren.
- Nalevingsovertredingen: Configureerbaar binnen SIEM-systemen, geven monitoringmechanismen waarschuwingen af in geval van overtredingen van de regelgeving of inbreuken op intern beleid, waardoor de naleving van gevestigde normen wordt gegarandeerd.
Wanneer een van deze afwijkingen wordt ontdekt, worden waarschuwingen gegenereerd en doorgestuurd naar een gecentraliseerd Network Operation Center, SRE of specifieke DevOps-teams voor een snelle reactie. Van daaruit kan de ernst van de gebeurtenis worden gefilterd, ontdubbeld en geanalyseerd, wat allemaal helpt om het aantal valse positieven te verminderen. Terwijl IT-personeel van oudsher vertrouwde op handmatige waarschuwingstriaging, waarbij ze de ernst van elk probleem beoordelen, zorgen de ingebouwde correlatieregels er nu voor dat SIEM-platforms steeds meer gewicht op zich kunnen nemen.
Soorten waarschuwingstriggers
Op regels gebaseerde triggers worden vaak gebruikt in SIEM-waarschuwingen, waarbij ze vertrouwen op vooraf gedefinieerde voorwaarden om specifieke gebeurtenissen te identificeren. Beveiligingsteams maken gebruik van deze triggers om verschillende regels vast te stellen op basis van diverse aspecten, zoals bekende aanvalspatronen, indicatoren van compromissen of verdachte activiteiten. Deze regels functioneren als filters, waardoor het SIEM-systeem waarschuwingen kan genereren wanneer waargenomen gebeurtenissen overeenkomen met de opgegeven criteria.
Op drempels gebaseerde triggers zijn eveneens van cruciaal belang voor SIEM en omvatten het vaststellen van specifieke drempels of limieten voor gebeurtenissen of statistieken. Wanneer deze drempelwaarden de ingestelde parameters overschrijden of onderschrijden, genereert het systeem een waarschuwing. Dit type trigger blijkt waardevol bij het detecteren van abnormaal gedrag of afwijkingen in patronen.
Anomaliedetectie vormt een ander essentieel onderdeel van deze SIEM-waarschuwingsvoorbeelden, met als doel afwijkingen van verwacht gedrag te identificeren. Dit proces omvat het analyseren van historische gegevens om basisprofielen voor routinematige activiteiten vast te stellen. Binnenkomende gebeurtenissen worden vervolgens vergeleken met deze basislijnen, waarbij het systeem eventuele opmerkelijke afwijkingen markeert als potentiële afwijkingen. Anomaliedetectie is effectief bij het detecteren van voorheen onbekende of zero-day-aanvallen, maar ook bij het identificeren van ongrijpbare insiderbedreigingen of ongeautoriseerde activiteiten.
Elk van deze triggers zorgt samen voor een adaptieve ticketinglaag die mooi aansluit bij reeds bestaande ticketingplatforms. Sommige oplossingen gaan zelfs nog verder: AIOps filtert, dedupliceert en normaliseert waarschuwingen van diverse systemen, waarbij gebruik wordt gemaakt van AI/ML om correlatiepatronen in de overvloed aan waarschuwingen te identificeren.
Op drempels gebaseerde triggers zijn eveneens van cruciaal belang voor SIEM en omvatten het vaststellen van specifieke drempels of limieten voor gebeurtenissen of statistieken. Wanneer deze drempelwaarden de ingestelde parameters overschrijden of onderschrijden, genereert het systeem een waarschuwing. Dit type trigger blijkt waardevol bij het detecteren van abnormaal gedrag of afwijkingen in patronen.
Anomaliedetectie vormt een ander essentieel onderdeel van deze SIEM-waarschuwingsvoorbeelden, met als doel afwijkingen van verwacht gedrag te identificeren. Dit proces omvat het analyseren van historische gegevens om basisprofielen voor routinematige activiteiten vast te stellen. Binnenkomende gebeurtenissen worden vervolgens vergeleken met deze basislijnen, waarbij het systeem eventuele opmerkelijke afwijkingen markeert als potentiële afwijkingen. Anomaliedetectie is effectief bij het detecteren van voorheen onbekende of zero-day-aanvallen, maar ook bij het identificeren van ongrijpbare insiderbedreigingen of ongeautoriseerde activiteiten.
Elk van deze triggers zorgt samen voor een adaptieve ticketinglaag die mooi aansluit bij reeds bestaande ticketingplatforms. Sommige oplossingen gaan zelfs nog verder: AIOps filtert, dedupliceert en normaliseert waarschuwingen van diverse systemen, waarbij gebruik wordt gemaakt van AI/ML om correlatiepatronen in de overvloed aan waarschuwingen te identificeren.
Best practices voor het beheren van SIEM-waarschuwingen
In de hoop malware tegen te houden voordat deze te diep in het netwerk doordringt, beschikt SIEM over een enorme hoeveelheid waarschuwingen, gebeurtenissen en logboeken. Maar net als bij een bewegingssensor wordt bij de waarschuwing soms een rat opgemerkt in plaats van een Trojaans paard voor externe toegang.
Eén reden voor dit voortdurende spervuur van waarschuwingen is een gebrek aan samenhang tussen eerdere beveiligingsoplossingen. Hoewel IPS, NIDS en HIDS respectievelijk netwerk- en eindpuntbescherming bieden, kan de lage kwaliteit van de afgegeven waarschuwingen snel toenemen, vooral omdat geïntegreerde beveiligingsapparatuur niet samenwerkt en in plaats daarvan elke waarschuwing afvuurt op een overprikkeld beveiligingsteam.
Best practices van SIEM-waarschuwingen bieden een zalf voor waarschuwingsgeluiden door al deze waarschuwingen te consolideren en te verfijnen – maar best practices zijn essentieel om ze geschikt te houden voor het beoogde doel, in plaats van bij te dragen aan chronische burn-out.
Eén reden voor dit voortdurende spervuur van waarschuwingen is een gebrek aan samenhang tussen eerdere beveiligingsoplossingen. Hoewel IPS, NIDS en HIDS respectievelijk netwerk- en eindpuntbescherming bieden, kan de lage kwaliteit van de afgegeven waarschuwingen snel toenemen, vooral omdat geïntegreerde beveiligingsapparatuur niet samenwerkt en in plaats daarvan elke waarschuwing afvuurt op een overprikkeld beveiligingsteam.
Best practices van SIEM-waarschuwingen bieden een zalf voor waarschuwingsgeluiden door al deze waarschuwingen te consolideren en te verfijnen – maar best practices zijn essentieel om ze geschikt te houden voor het beoogde doel, in plaats van bij te dragen aan chronische burn-out.
Stel uw eigen regels in
Regels definiëren het begrip van een SIEM tussen normaal en kwaadaardig gedrag. Eén waarschuwing kan een of meer regels hebben, afhankelijk van hoe u deze definieert. Hoewel dit een sterke basis biedt voor het net op tijd onderkennen van beveiligingsgebeurtenissen, is het belangrijk om voorzichtig te zijn met het maken van een groot aantal aangepaste waarschuwingen. Het instellen van meerdere waarschuwingen voor dezelfde reeks taken is een trefzekere manier om beveiligingsinzichten te vertroebelen.
Controleer uw waarschuwingen voordat u nieuwe uitgeeft
Voordat u nieuwe waarschuwingsregels implementeert, is het essentieel om bestaande waarschuwingen te beoordelen om te bepalen of er al een ingebouwde waarschuwing is die hetzelfde doel dient. Als er geen bestaat, is het absoluut noodzakelijk om informatie te verzamelen over de reeks gebeurtenissen die zich zowel vóór als na de detectie van deze waarschuwing zullen voordoen.
Wees nauwkeurig bij het kiezen van wat u wilt markeren
Overstromingen van waarschuwingen komen vooral voor als gevolg van vaagheid of dubbelzinnigheid in de velden met de waarschuwingsbeschrijving. Daarnaast kan het selecteren van de verkeerde categorie of ernst ervoor zorgen dat relatief alledaagse problemen opduiken in workflows met hoge prioriteit, waardoor IT-teams drastisch vastlopen. De beschrijving moet zo nauwkeurig mogelijk zijn, terwijl de categorie de workflows en prioriteiten van het beveiligingsteam nauwkeurig moet weerspiegelen.
Houd rekening met de regelgeving
Elke organisatie moet voldoen aan verschillende lokale, regionale en federale wetten om aan haar cyberbeveiligingsverplichtingen te voldoen. Houd bij het maken van aangepaste waarschuwingsregels rekening met wat elk specifiek onderdeel van de regelgeving verwacht.
Vertrouw op zowel eenvoudige als samengestelde regels
Basis SIEM-regels zijn ontworpen om een specifiek gebeurtenistype te identificeren en een vooraf gedefinieerd antwoord te initiëren. Een eenvoudige regel kan bijvoorbeeld een waarschuwing activeren als een e-mail een bijgevoegd ZIP-bestand bevat. Hoewel basisregels nuttig zijn, maken geavanceerde samengestelde regels de combinatie van twee of meer regels mogelijk om ingewikkeldere gedragspatronen te identificeren. Een samengestelde regel kan bijvoorbeeld een waarschuwing activeren als er binnen tien minuten zeven mislukte authenticatiepogingen zijn op dezelfde computer vanaf één IP-adres, waarbij verschillende gebruikersnamen worden gebruikt. Als er bovendien succesvol wordt ingelogd op een computer binnen het netwerk en afkomstig is van hetzelfde IP-adres, kan de samengestelde regel ook een waarschuwing activeren.
test
Nadat u een waarschuwing heeft gemaakt, voert u meerdere testruns uit om de juiste functionaliteit ervan te verifiëren. Dankzij het rigoureus testen van aangepaste waarschuwingen kunt u uw correlatieregels verfijnen, waardoor optimale prestaties en effectiviteit worden gegarandeerd.
Hoewel ze een essentieel onderdeel vormen van de best practices van SIEM, zijn correlatieregels niet slim: ze beoordelen niet de geschiedenis van de gebeurtenissen die ze evalueren. Het maakt ze bijvoorbeeld niet uit of een computer gisteren een virus had; het is alleen geïnteresseerd als een systeem wordt geïnfecteerd terwijl de regel wordt uitgevoerd. Ook worden correlatieregels geëvalueerd telkens wanneer een set wordt uitgevoerd. Het systeem houdt geen rekening met andere gegevens om te bepalen of een correlatieregel wel of niet moet worden geëvalueerd.
Dit is de reden waarom de twee andere vormen van detectie van bedreigingen van cruciaal belang zijn:
Hoewel ze een essentieel onderdeel vormen van de best practices van SIEM, zijn correlatieregels niet slim: ze beoordelen niet de geschiedenis van de gebeurtenissen die ze evalueren. Het maakt ze bijvoorbeeld niet uit of een computer gisteren een virus had; het is alleen geïnteresseerd als een systeem wordt geïnfecteerd terwijl de regel wordt uitgevoerd. Ook worden correlatieregels geëvalueerd telkens wanneer een set wordt uitgevoerd. Het systeem houdt geen rekening met andere gegevens om te bepalen of een correlatieregel wel of niet moet worden geëvalueerd.
Dit is de reden waarom de twee andere vormen van detectie van bedreigingen van cruciaal belang zijn:
Drempels instellen en afstemmen
Op drempels gebaseerde triggers omvatten het vaststellen van specifieke drempels of limieten voor gebeurtenissen of statistieken. Wanneer deze drempelwaarden de ingestelde parameters overschrijden of onderschrijden, genereert het systeem een waarschuwing. Dit type trigger blijkt waardevol bij het detecteren van abnormaal gedrag of afwijkingen in patronen.
Hoewel sommige regels hetzelfde kunnen blijven, zijn drempelwaarden enkele van de belangrijkste waarschuwingsformulieren die u regelmatig moet afstemmen. Iets eenvoudigs als een uitbreiding van de gebruikersbasis of het personeelsbestand kan leiden tot golven van onnodige waarschuwingen.
Hoewel sommige regels hetzelfde kunnen blijven, zijn drempelwaarden enkele van de belangrijkste waarschuwingsformulieren die u regelmatig moet afstemmen. Iets eenvoudigs als een uitbreiding van de gebruikersbasis of het personeelsbestand kan leiden tot golven van onnodige waarschuwingen.
Definieer uw afwijkingen
Naast vaste regels profileren gedragsmodellen een gebruiker, app of account op basis van hun standaardgedrag. Wanneer het model abnormaal gedrag identificeert, past het regels toe om het te evalueren en vervolgens een waarschuwing te geven. Zorg ervoor dat u modellen opzet met verschillende klassen van gedragstypen. Hierdoor kunnen ze verschillende waarschuwingsprofielen produceren en wordt het herstelwerk drastisch versneld.
Net als bij correlatieregels leidt een evaluatie van een afzonderlijk model doorgaans niet tot een waarschuwing. In plaats daarvan kent het systeem punten toe aan elke sessie op basis van de toegepaste modellen. Wanneer de verzamelde punten voor een sessie een vooraf gedefinieerde drempel overschrijden, activeert het systeem een waarschuwing. Het vaststellen en definiëren van deze risicotolerantie voor elk model is een cruciaal aspect bij het beheren en controleren van het aantal gegenereerde waarschuwingen.
Net als bij correlatieregels leidt een evaluatie van een afzonderlijk model doorgaans niet tot een waarschuwing. In plaats daarvan kent het systeem punten toe aan elke sessie op basis van de toegepaste modellen. Wanneer de verzamelde punten voor een sessie een vooraf gedefinieerde drempel overschrijden, activeert het systeem een waarschuwing. Het vaststellen en definiëren van deze risicotolerantie voor elk model is een cruciaal aspect bij het beheren en controleren van het aantal gegenereerde waarschuwingen.
SIEM-waarschuwingen van de volgende generatie
SIEM-oplossingen zijn duur en kunnen moeilijk te implementeren en configureren zijn. echter, de
Het succes van uw SIEM-tool wordt bepaald door het vermogen ervan om nauw te integreren met uw huidige tech-stack.
Stellar Cyber's SIEM levert meer dan 400 out-of-the-box integraties en verandert uw aanpak van reactief naar proactief. Voorkom dat uw beveiligingspersoneel er doorheen waadt
eindeloze niet-overeenkomende waarschuwingen en draai het script om naar aanvallers met mogelijkheden van de volgende generatie
zoals geautomatiseerde jacht op bedreigingen en AI-gestuurde analyses. Next-gen SIEM-waarschuwingen gebruiken ultraflexibele gegevensbronnen en transformeren deze in schaalbare analyses.
Ontdek meer over onze SIEM-platform van de volgende generatie Mogelijkheden en begin met focussen op
incidenten in plaats van waarschuwingen.