SIEM-logboekregistratie: overzicht en best practices

Security Information and Event Management (SIEM) is een cruciale cyberbeveiligingstool die de beveiligingsinformatie centraliseert die rond de duizenden eindpunten, servers en applicaties binnen uw organisatie circuleert. Terwijl eindgebruikers en apparaten communiceren met elk contactpunt van een applicatie, laten ze digitale vingerafdrukken achter in de vorm van logboeken. Deze bestanden spelen traditioneel een grote rol bij het oplossen van bugs en kwaliteitscontrole: ze bieden immers foutinformatie rechtstreeks vanaf de bron. In 2005 begonnen beveiligingsprofessionals echter het ware potentieel van deze kleine bestanden te beseffen. Ze bieden een groot aantal realtime gegevens die kunnen worden ingevoerd in SIEM-logboekregistratie die een dergelijke IT-infrastructuur bewaakt. Sindsdien wordt de afweging tussen de zichtbaarheid van bedreigingen en het volume van het gebeurtenislogboek zorgvuldig betreden door beveiligingsprofessionals. Dit artikel behandelt verschillende best practices voor SIEM-logboekbeheer, waarmee uw beveiligingstool zijn volledige potentieel kan bereiken

Waarom SIEM belangrijk is

Het belangrijkste belang van SIEM-logboekbeheer ligt in het vermogen om grote hoeveelheden van deze logbestanden efficiënt te analyseren, waardoor beveiligingsanalisten zich kunnen concentreren op kritieke bedreigingen. Bovendien normaliseren SIEM-systemen gegevens in heterogene bedrijfsomgevingen voor vereenvoudigde analyse, bieden ze realtime en historische dreigingsanalyses op basis van loggegevens, sturen ze geautomatiseerde waarschuwingen met prioriteit op basis van ernst wanneer potentiële beveiligingsbedreigingen worden gedetecteerd, en houden ze gedetailleerde gegevens bij die cruciaal zijn voor incidentrespons en forensisch onderzoek. onderzoeken. In wezen is SIEM-logbeheer absoluut noodzakelijk voor het opzetten en behouden van een robuuste en responsieve beveiligingshouding in het ingewikkelde landschap van hedendaagse IT-omgevingen.

Wat is SIEM-logboekregistratie en hoe werkt het?

Om realtime beveiliging te bieden, verzamelt SIEM-software logbestanden uit meerdere bronnen en verzendt deze naar een centraal logsysteem. Met 'Wat is SIEM?' Antwoord: het is mogelijk om dieper in te gaan op de uiteenlopende methoden die door SIEM-tools worden gebruikt

Op agenten gebaseerde logboekverzameling

Deze logboekaggregatie vindt plaats op lokaal niveau. De agenten zijn doordrenkt met logfilters en normalisatiemogelijkheden, waardoor een grotere hulpbronnenefficiëntie mogelijk is. Agents nemen over het algemeen minder netwerkbandbreedte in beslag, dankzij het feit dat loggegevens in batches worden gecomprimeerd.

Directe verbinding

Agentless loggen – vaak gefaciliteerd door netwerkprotocollen of API-aanroepen – is een andere vorm van SIEM-loggen waarbij het SIEM-programma logbestanden rechtstreeks uit de opslag haalt, vaak in syslog-formaat. De voordelen variëren van eenvoudige implementatie tot het elimineren van de noodzaak voor software- of versie-updates; deze optie draagt ​​vaak bij aan lagere SIEM-onderhoudskosten.

Protocollen voor gebeurtenisstreaming

Hoewel zowel op agenten gebaseerde als agentloze registratiemethoden verschillende manieren bieden om gegevens te verzamelen, herconceptualiseert de op gebeurtenissen gebaseerde architectuur dit proces als stromen van gebeurtenissen die door een rivier reizen. Elke gebeurtenis kan worden vastgelegd en verder verwerkt door downstream-consumenten. NetFlow, een protocol bedacht door Cisco, is een voorbeeld van deze aanpak. Het verzamelt IP-netwerkverkeer wanneer een interface wordt betreden of verlaten. De analyse van NetFlow-gegevens stelt netwerkbeheerders in staat kritische informatie te onderscheiden, waaronder de bron en bestemming van het verkeer, de gebruikte protocollen en de duur van de communicatie. Deze gegevens worden verzameld via een NetFlow-collector, die niet alleen de essentiële verkeersgegevens vastlegt, maar ook tijdstempels, aangevraagde pakketten en de entry- en exit-interfaces van het IP-verkeer registreert.

In het licht van steeds geavanceerdere aanvallen speelt het streamen van gebeurtenissen een cruciale rol door uitgebreide informatie over netwerkverkeer naar beveiligingsapparatuur te leiden, waaronder firewalls van de volgende generatie (NGFW), inbraakdetectie- en -preventiesystemen (IDS/IPS) en beveiligingswebgateways ( SWG).

Over het geheel genomen komt SIEM-logboekregistratie naar voren als een cruciaal element in de moderne cyberbeveiliging, omdat het zowel realtime als historische dreigingsanalyses biedt op basis van loggegevens. Het is echter essentieel om rekening te houden met de verschillen tussen gewoon oud logbeheer en SIEM.

SIEM versus logbeheer: belangrijkste verschillen

Hoewel logboeken de ruggengraat vormen van SIEM-mogelijkheden, is er een belangrijk verschil tussen de processen van SIEM en logboekbeheer. Logmanagement omvat het systematisch verzamelen, opslaan en analyseren van loggegevens afkomstig van verschillende kanalen. Dit proces biedt een gecentraliseerd perspectief op alle loggegevens en wordt voornamelijk gebruikt voor doeleinden als compliance, systeemprobleemoplossing en operationele efficiëntie. Logboekbeheersystemen voeren echter niet inherent analyses uit op de loggegevens; het is eerder aan de beveiligingsanalist om deze informatie te interpreteren en de geldigheid van potentiële bedreigingen te beoordelen.

SIEM gaat nog een stap verder in dit proces door gebeurtenislogboeken te vergelijken met contextuele informatie over gebruikers, middelen, bedreigingen en kwetsbaarheden. Dit wordt bereikt door een breed scala aan algoritmen en technologieën voor de identificatie van bedreigingen:
  • Evenementcorrelatie omvat het gebruik van geavanceerde algoritmen om beveiligingsgebeurtenissen te analyseren, patronen of relaties te identificeren die indicatief zijn voor potentiële bedreigingen en realtime waarschuwingen te genereren.

  • Gebruikers- en entiteitsgedragsanalyse (UEBA) vertrouwt op machine learning-algoritmen om een ​​basislijn vast te stellen van normale activiteiten die specifiek zijn voor gebruikers en het netwerk. Eventuele afwijkingen van deze basislijn worden gemarkeerd als potentiële veiligheidsbedreigingen, waardoor complexe bedreigingen kunnen worden geïdentificeerd en zijwaartse bewegingen kunnen worden gedetecteerd.

  • Beveiligingsorkestratie en automatiseringsreactie (SOAR) zorgt ervoor dat SIEM-tools automatisch kunnen reageren op bedreigingen, waardoor het niet meer nodig is te wachten tot een beveiligingstechnicus waarschuwingen heeft beoordeeld. Deze automatisering stroomlijnt de respons op incidenten en is een integraal onderdeel van SIEM.

  • Browserforensisch onderzoek en analyse van netwerkgegevens Maak gebruik van de geavanceerde mogelijkheden voor bedreigingsdetectie van SIEM om kwaadwillende insiders te identificeren. Dit omvat het onderzoeken van browserforensisch onderzoek, netwerkgegevens en gebeurtenislogboeken om potentiële cyberaanvalplannen te onthullen.

Onopzettelijke insideraanval

Een voorbeeld van hoe elk onderdeel in de praktijk kan worden gebracht, is een onbedoelde aanval van binnenuit.

Deze aanvallen vinden plaats wanneer individuen onbedoeld externe kwaadwillende actoren helpen bij het oprukken tijdens een aanval. Als een medewerker bijvoorbeeld een firewall verkeerd configureert, kan dit de organisatie blootstellen aan een grotere kwetsbaarheid. Een SIEM-systeem erkent het cruciale belang van beveiligingsconfiguraties en kan elke keer dat er een wijziging wordt aangebracht een gebeurtenis genereren. Deze gebeurtenis wordt vervolgens toegewezen aan een beveiligingsanalist voor grondig onderzoek, om er zeker van te zijn dat de wijziging opzettelijk en correct is geïmplementeerd, waardoor de organisatie wordt beschermd tegen mogelijke inbreuken die voortkomen uit onbedoelde handelingen van insiders.

In gevallen van regelrechte accountovername maakt UEBA de detectie van verdachte activiteiten mogelijk, zoals het toegang krijgen tot systemen buiten het gebruikelijke patroon, het onderhouden van meerdere actieve sessies of het aanbrengen van wijzigingen in de root-toegang. In het geval dat een bedreigingsacteur probeert bevoegdheden te escaleren, escaleert een SIEM-systeem deze informatie onmiddellijk naar het beveiligingsteam, waardoor snelle en effectieve reacties op potentiële veiligheidsbedreigingen mogelijk worden gemaakt.

Best practices voor SIEM-logboekregistratie

SIEM speelt een cruciale rol in de cyberbeveiligingsstrategie van een organisatie, maar de implementatie ervan vereist een slimme benadering van de logbestanden en correlatieregels die de kern vormen van dergelijke software.

#1. Selecteer uw vereisten met een Proof of Concept

Bij het uitproberen van een nieuwe SIEM-tool biedt Proof of Concepts een proeftuin. Tijdens de PoC-fase is het van cruciaal belang om logboeken persoonlijk naar het SIEM-systeem te sturen om te meten in hoeverre de oplossing de gegevens kan normaliseren op basis van specifieke vereisten. Dit proces kan worden versterkt door gebeurtenissen uit niet-standaard mappen in de gebeurtenisviewer op te nemen.

Op deze POC kunt u vaststellen of op agenten gebaseerde logboekverzameling het beste voor u is. Als u logboeken wilt verzamelen via Wide Area Networks (WAN's) en via firewalls, kan het gebruik van een agent voor het verzamelen van logboeken bijdragen aan een vermindering van het CPU-gebruik van de server. Aan de andere kant kan agentloze verzameling u ontlasten van de vereisten voor software-installaties en resulteren in lagere onderhoudskosten.

#2. Verzamel de juiste houtblokken op de juiste manier

Zorg ervoor dat het SIEM-systeem in realtime gegevens verzamelt, aggregeert en analyseert uit alle relevante bronnen, inclusief applicaties, apparaten, servers en gebruikers. Hoewel data een essentieel onderdeel zijn van de SIEM-capaciteit, kunt u dit verder ondersteunen door ervoor te zorgen dat elk facet van uw organisatie wordt gedekt.

#3. Veilige eindpuntlogboeken

Een vaak tegengekomen obstakel bij eindpuntlogboeken is dat ze voortdurend veranderen, wanneer systemen af ​​en toe worden losgekoppeld van het netwerk, bijvoorbeeld wanneer werkstations zijn uitgeschakeld of laptops op afstand worden gebruikt. Bovendien zorgt de administratieve last van het verzamelen van eindpuntlogboeken voor een reële mate van complexiteit. Om dit probleem aan te pakken, kan Windows Event Log Forwarding worden gebruikt om een ​​gecentraliseerd systeem te verzenden zonder dat er een agent of extra functies hoeven te worden geïnstalleerd, aangezien dit inherent beschikbaar is binnen het Windows-basisbesturingssysteem.

Stellar Cyber's benadering van eindpuntlogboeken ondersteunt een breed scala aan eindpuntlogboeken, waaronder Endpoint Detection and Response (EDR). Door verschillende waarschuwingstrajecten toe te passen op bepaalde subsets van verschillende EDR-producten, wordt het verder mogelijk om eindpuntlogboekinformatie nauwkeurig en precies op te schonen.

#4. Houd PowerShell in de gaten

PowerShell, nu alomtegenwoordig op elk Windows-exemplaar vanaf Windows 7, is een gerenommeerd hulpmiddel voor aanvallers geworden. Het is echter essentieel om te weten dat PowerShell standaard geen activiteiten registreert; dit moet expliciet worden ingeschakeld.

Eén logoptie is Module Logging, die gedetailleerde uitvoeringsinformatie over de pijplijn biedt, inclusief initialisatie van variabelen en opdrachtaanroepen. Daarentegen bewaakt Script Block Logging alle PowerShell-activiteiten uitgebreid, zelfs wanneer deze binnen scripts of codeblokken worden uitgevoerd. Met beide moet rekening worden gehouden om nauwkeurige dreigings- en gedragsgegevens te kunnen genereren.

#5. Profiteer van Sysmon

Gebeurtenis-ID's zijn essentieel om meer context te bieden aan elke verdachte actie. Microsoft Sysmon biedt diepgaande gebeurtenisinformatie, zoals het maken van processen, netwerkverbindingen en bestandshashes. Als dit op de juiste manier met elkaar in verband wordt gebracht, kan dit helpen bij het detecteren van bestandsloze malware die anders antivirusprogramma's en firewalls kan omzeilen.

#6. Waarschuw en reageer

Ondanks de analytische kracht die machine learning aan SIEM-tools verleent, is het van cruciaal belang om dit te contextualiseren in de bredere reikwijdte van uw algehele beveiliging. De belangrijkste hiervan zijn uw beveiligingsanalisten: een incidentresponsplan biedt expliciete richtlijnen voor elke stakeholder, waardoor vloeiend en effectief teamwerk mogelijk wordt.

Het plan moet een senior leider benoemen als de primaire autoriteit die verantwoordelijk is voor de afhandeling van incidenten. Hoewel deze persoon autoriteit kan delegeren aan anderen die betrokken zijn bij het incidentafhandelingsproces, moet het beleid expliciet een bepaalde positie specificeren met de primaire verantwoordelijkheid voor de respons op incidenten.

Van daaruit komt het neer op de incidentresponsteams. In het geval van een groot mondiaal bedrijf kunnen er meerdere zijn, elk gewijd aan specifieke geografische gebieden en bemand met toegewijd personeel. Aan de andere kant kunnen kleinere organisaties kiezen voor één gecentraliseerd team, waarbij op parttime basis leden uit verschillende delen van de organisatie worden ingezet. Sommige organisaties kunnen er ook voor kiezen om bepaalde of alle aspecten van hun inspanningen op het gebied van incidentrespons uit te besteden.

Het samenwerken van alle teams is een draaiboek, dat de basis vormt voor volwassen reacties op incidenten. Ondanks de unieke aard van elk beveiligingsincident heeft de meerderheid de neiging vast te houden aan standaardactiviteiten, waardoor gestandaardiseerde reacties zeer nuttig zijn. Terwijl dit plaatsvindt, schetst een communicatieplan voor incidentrespons hoe verschillende groepen communiceren tijdens een actief incident – ​​inclusief wanneer de autoriteiten erbij betrokken moeten worden.

5. Definieer en verfijn regels voor gegevenscorrelatie

Een SIEM-correlatieregel dient als richtlijn voor het systeem en geeft reeksen gebeurtenissen aan die kunnen duiden op afwijkingen, potentiële beveiligingszwakheden of een cyberaanval. Het activeert meldingen aan beheerders wanneer aan specifieke voorwaarden wordt voldaan, zoals het optreden van gebeurtenissen “x” en “y” of “x”, “y” en “z”. Gezien de enorme hoeveelheid logboeken die ogenschijnlijk alledaagse activiteiten documenteren, is een goed ontworpen SIEM-correlatieregel van cruciaal belang om de ruis te doorzoeken en reeksen gebeurtenissen te lokaliseren die wijzen op een potentiële cyberaanval.

SIEM-correlatieregels hebben, net als elk algoritme voor gebeurtenismonitoring, het potentieel om valse positieven te produceren. Overmatige false positives kunnen de tijd en energie van beveiligingsbeheerders verspillen, maar het bereiken van nul false positives in een goed functionerende SIEM is onpraktisch. Daarom is het bij het configureren van SIEM-correlatieregels essentieel om een ​​evenwicht te vinden tussen het minimaliseren van valse positieve waarschuwingen en het garanderen dat geen potentiële afwijkingen die wijzen op een cyberaanval over het hoofd worden gezien. Het doel is om de regelinstellingen te optimaliseren om de nauwkeurigheid bij de detectie van bedreigingen te verbeteren en tegelijkertijd onnodige afleiding door valse positieven te vermijden.

Volgende generatie SIEM en logbeheer met Stellar Cyber

Het platform van Stellar Cyber ​​integreert Next-Gen SIEM als een inherente mogelijkheid en biedt een uniforme oplossing door meerdere tools, waaronder NDR, UEBA, Sandbox, TIP en meer, in één platform te consolideren. Deze integratie stroomlijnt de activiteiten in een samenhangend en toegankelijk dashboard, wat leidt tot een aanzienlijke verlaging van de kapitaalkosten. Ons SIEM-logbeheer wordt aangedreven door automatisering waarmee teams bedreigingen voor kunnen blijven, terwijl het ontwerp van Next Gen SIEM teams in staat stelt moderne aanvallen effectief te bestrijden. Voor meer informatie kunt u een demo voor ons boeken SIEM-platform van de volgende generatie.