SIEM Reguły korelacji: Ulepszanie wykrywania zagrożeń

Logi reprezentują działania w czasie rzeczywistym w każdym zakątku przedsiębiorstwa. Każdy dziennik audytu zawiera informacje o aktywności użytkownika, parametrach, zasobach i czasie, co czyni je prawdziwą kopalnią danych. Jednak ich wykorzystanie do ochrony przedsiębiorstw wymaga czegoś więcej niż tylko danych: logi muszą być połączone i zidentyfikowane jako bezpieczne lub złośliwe – wszystko zanim atakujący będzie mógł wdrożyć ładunek lub ukraść dane. To właśnie tutaj reguły korelacji błyszczą.

W analityce korelacja to dowolna relacja lub połączenie między dwoma elementami – poprzez mapowanie relacji między każdym elementem danych dziennika i tworzenie SIEM reguły korelacji, twoje SIEM jest w stanie spójnie monitorować każdy punkt danych w relacji do pozostałych. Na koniec sekwencje te są identyfikowane jako bezpieczne lub potencjalnie szkodliwe poprzez dodanie reguł do tych danych. Prawidłowy ruch jest dozwolony, a zły lub podejrzany ruch jest oznaczany jako taki – i blokowany.

Arkusz danych nowej generacji-pdf.webp

Następne pokolenie SIEM

Stellar Cyber ​​nowej generacji SIEM, jako kluczowy element Stellar Cyber Open XDR Platforma...

Pobierz kartę charakterystyki
demo-obraz.webp

Poznaj bezpieczeństwo oparte na sztucznej inteligencji w akcji!

Odkryj najnowocześniejszą sztuczną inteligencję Stellar Cyber ​​do natychmiastowego wykrywania zagrożeń i reagowania. Zaplanuj demo już dziś!

Zaplanuj demo

W jaki sposób SIEM Zasady korelacji działają

Jeśli jego paliwem są kłody, to SIEM zasady korelacji to koła twojego SIEM – są jego siłą napędową. Ale jako kierowca musisz dokładnie wiedzieć, jak SIEM korelacji logarytmicznej i różnych stylów do wyboru.

Krok 1: Centralizacja dziennika

Zbierane są logi ze wszystkich Twoich systemów i przesyłane do SIEMJest to możliwe dzięki czujnikom i agentom – małym elementom oprogramowania zainstalowanym na urządzeniach końcowych, w sieciach i na serwerach, które pasywnie monitorują pakiety danych przesyłane przez sieć oraz działania wykonywane na urządzeniach. Na tym etapie SIEM Narzędzie rozpoczyna proces pobierania tych dzienników do centralnego modułu analizy.

Krok 2: Normalizacja danych

Chociaż logi obejmują każdy aspekt infrastruktury, wciąż składa się ona z bardzo różnych aplikacji, serwerów i sprzętu, z których każdy ma swój unikalny format listy wpisów w dzienniku. Dzienniki zdarzeń z różnych źródeł mogą mieć drastycznie zróżnicowane pola informacji i struktury danych. Drugim krokiem do SIEM Korelacja polega na ich normalizacji, co polega na analizowaniu różnych dzienników w celu uzyskania spójnego, ujednoliconego formatu.

Im bardziej wydajna jest normalizacja tych danych dziennika, tym szybciej SIEM może rozpocząć analizowanie i stosowanie technik wykrywania zagrożeń.

Krok 3: Korelacja danych

Po pobraniu wszystkich danych z dziennika moduł korelacji może sprawdzić, jak odpowiadają one typowym wzorcom. Niektóre SIEM Narzędzia pozwalają jedynie na indywidualną identyfikację pojedynczych ciągów znaków, ale bardziej zaawansowane rozwiązania, takie jak Stellar, dodają drugą warstwę korelacji, która uwzględnia inne atrybuty – takie jak parametry żądania i odpowiedzi. Pomaga to wzmocnić relację między zachowaniem a zaangażowanym elementem.

To jest dość wysoki poziom, więc rozważmy korelację danych w kontekście rzeczywistego ataku: rozważmy próby atakującego, aby uzyskać dostęp siłowy do przedsiębiorstwa za pośrednictwem dostawcy Identity and Access Management (IAM). Zachowania mogą obejmować kampanię ciągłych prób logowania w celu uzyskania dostępu (działanie A), po których następuje pomyślne logowanie (działanie B). Następnie mogą przejść do konsoli administracyjnej i utworzyć nowego użytkownika z podwyższonymi uprawnieniami – lub zainicjować serię skanów portów w celu określenia słabych obszarów i wrażliwych zasobów. Nazwijmy to działaniem C.

Korelacja oparta na regułach pozwala na umieszczenie każdej Techniki, Taktyki i Procedury (TTP) w sekwencji: te sekwencyjne korelacje mogą następnie wywołać działanie reguły, które jest przekazywane analitykowi za pośrednictwem alertu. To sposób, w jaki te atrybuty są połączone, definiuje zdolność identyfikacji. SIEM narzędziem.

Korelacja oparta na regułach i korelacja behawioralna

Działania związane z atakiem, który właśnie omówiliśmy, można odkryć na dwa sposoby: pierwszy to reguła, która wyraźnie stwierdza „jeśli po działaniu A następuje B, a następnie C, wyzwól alert”. Działa to bardzo dobrze, jeśli analitycy są świadomi możliwości tego ataku z wyprzedzeniem i mają ogólne pojęcie o tym, jaki TTP może podjąć atakujący.

Nie jest to jednak jedyne podejście: atak siłowy można również wykryć, stosując bardziej ogólną zasadę: „jeśli zestaw działań odbiega od normalnego zachowania uwierzytelniającego użytkownika końcowego, wyzwól alert”. Zasada ta opiera się na SIEM historyczne zrozumienie tego, jak zazwyczaj zachowuje się użytkownik końcowy; teraz możliwe dzięki uruchomieniu tych scentralizowanych logów za pomocą algorytmu uczenia maszynowego. Dzięki temu bardzo łatwo jest ustalić codzienne wzorce zachowań użytkowników, urządzeń i ruchu – a tym samym wykorzystać korelację behawioralną jako podstawę do SIEM Reguły. Korelacja behawioralna jest często wykorzystywana do określenia „punktacji ryzyka”, dla której analitycy ustalają akceptowalny próg.

Ponieważ podwoiliśmy liczbę różnych podejść, jakie możemy zastosować w celu identyfikacji zagrożeń, bardziej niż kiedykolwiek istotne jest aktywne monitorowanie SIEM zasady są dopracowane i wysoce funkcjonalne – poniżej omówimy, jak najlepiej to osiągnąć.

Korzyści SIEM Reguły korelacji do wykrywania zagrożeń

bSIEM Reguły korelacji pozwalają na odkrycie praktycznie dowolnych TTP – ale trzeba mieć o nich ogólne pojęcie z wyprzedzeniem. Przyjrzyjmy się bliżej niektórym z nich i zidentyfikujmy korzyści oferowane przez reguły korelacji – oraz obszary, w których modele behawioralne Stellar Cyber ​​mogą je dodatkowo udoskonalić. SIEM wykrywanie zagrożeń.

Wykrywanie zagrożeń na podstawie sygnatur

Zdecydowana większość ataków nie jest szczególnie wyjątkowa: oportunistyczni atakujący, kopiujący i wklejający złośliwy kod, są tak powszechni, że zyskali przydomek „script kiddies”. Dlatego właśnie zdecydowana większość SIEM Ochronę powierzchni ataku zapewnia wykrywanie oparte na sygnaturach.

Repozytoria witryn z sygnaturami złośliwego oprogramowania stale się powiększają: jedną z najbardziej znanych jest baza danych M&TRE ATTACK. Identyfikuje ona konkretne podejścia stosowane przez atakujących, a tym samym zapewnia specjalistom ds. bezpieczeństwa dostęp do bazy danych open source. SIEM Reguły. Te zestawy reguł opierają się na definiowaniu wzorców znanego złośliwego zachowania.

Jednak im bardziej rozpowszechnione jest SIEM Zasada jest taka, że ​​atakujący będą się bardziej skupiać na jej obejściu. To powoduje, że reguły korelacji stają się częścią nieustającego wyścigu między atakującym a analitykiem bezpieczeństwa. A jeśli zespół ds. bezpieczeństwa zacznie ograniczać zbyt wiele reguł, ryzykuje zalew… SIEM fałszywe alarmy.
Stellar Cyber ​​usuwa stare trudności, z którymi borykała się czysta korelacja SIEMpoprzez dodanie kolejnej warstwy analizy uczenia maszynowego. Analitycy mogą objąć jak najwięcej obszarów za pomocą reguł korelacji, a następnie druga warstwa analizy ocenia szerszy kontekst każdego alertu, aby określić jego zasadność.

Wstępnie wypełnione reguły dla zagrożeń ze świata rzeczywistego

Reguły korelacji są celowo tworzone w celu identyfikacji powszechnych zagrożeń, których hakerzy używają wielokrotnie, aby próbować uzyskać dostęp do zasobów. Jednak zespół IT pojedynczego przedsiębiorstwa może nie mieć najbardziej aktualnej wiedzy na temat rzeczywistych TTP. W końcu wywiad dotyczący zagrożeń wymaga ciągłego gromadzenia, przetwarzania i stosowania danych o złośliwych aktorach, technikach i wskaźnikach zagrożenia.

Dlatego gotowe reguły korelacji są tak korzystne: te wstępnie wypełnione podejścia są tworzone z makroskopowego widoku Twojej branży i szerszej przestrzeni zagrożeń. Każda odmiana zachowania może być oznaczona i powiązana z jej typem alertu, co zmniejsza sporadyczny charakter alertów dziennika do bardziej usprawnionej całości.

Zgodność danych i dostępu

Organizacje w praktycznie każdej branży muszą wykazać, że przestrzegają pewnych praw, zasad i regulacji – a te zmieniają się w zależności od branży, w której działasz. Oddziały europejskie muszą zwracać uwagę na GDPR, podczas gdy każda firma zorientowana na płatności musi być zgodna z PCI DSS.
RODO to jedno z najsurowszych i najszerzej zakrojonych rozporządzeń, które wymaga bezpieczeństwa danych w procesach technicznych organizacji. Ponieważ SIEM Ponieważ logi obejmują wszystkie zasoby i konta użytkowników danej organizacji, firma jest w wyjątkowo dobrej pozycji, aby to osiągnąć.

To prawdziwa zaleta reguł korelacji: ich uniwersalność. Wysyłając alert za każdym razem, gdy wykryty zostanie zestaw nieprawidłowych logów, analityk otrzymuje wczesne ostrzeżenie o potencjalnych problemach ze zgodnością. Możliwość tworzenia własnych reguł pozwala również na wpisanie przepisów dotyczących zgodności w strukturę bezpieczeństwa od samego początku. Jeśli PCI DSS wymaga aktualizacji wszystkich programów antywirusowych na punktach końcowych, należy wdrożyć… SIEM Reguła, która ostrzega Cię, gdy rozwiązanie antywirusowe nie zostało zaktualizowane. Bardziej zaawansowane SIEM Narzędzia pozwalają zautomatyzować cały proces, zachowując jednocześnie dokumentację kryminalistyczną jego działań. Przyspieszenie zapewniane przez SIEMjest szczególnie istotne w kontekście przepisów takich jak RODO, które zapewniają niewielkie, 72-godzinne okno czasowe na informowanie o incydentach bezpieczeństwa i reagowanie na nie.

Wykrywanie ataków wieloetapowych i zaawansowanych trwałych zagrożeń (APT)

Indywidualne reguły korelacji są wystarczająco proste, ale sama granularność dzienników pozwala na znacznie dokładniejsze rozwiązywanie problemów i łagodzenie ich skutków. To właśnie tutaj reguły złożone mogą być doskonałe w identyfikowaniu bardziej zaawansowanych zagrożeń: zagnieżdżają wiele reguł razem, aby skupić się na określonym zachowaniu w określonym kontekście. Na przykład, jeśli X prób logowania na tej samej stacji roboczej (i tym samym adresie IP) nie powiedzie się w ciągu X minut i użyje różnych nazw użytkowników – a jeśli udane logowanie nastąpi na dowolnym komputerze w sieci i pochodzi z tego samego adresu IP – spowoduje to wygenerowanie alertu.

Reguły złożone mogą być kluczowe dla odcięcia punktów wejścia APT. To wtedy intruz uzyskuje początkowy dostęp do sieci organizacji, znajduje bezpieczny punkt dostępu, a następnie po prostu nic z nim nie robi. Podczas gdy zagrożenie może wyglądać na uśpione, prawdopodobnie czeka on tylko na dogodny moment – ​​lub nawet na kupca na trwający atak. Kiedy zechce, intruz może po prostu przejść przez zaporę i ukraść dane lub wdrożyć złośliwe oprogramowanie, ponieważ jego konto lub działania są uważane za bezpieczne.
Proste reguły korelacji tradycyjnie okazywały się zawodne w wykrywaniu APT; jeśli analitycy nie są świadomi potencjalnego TTP, mało prawdopodobne jest, aby odkryli zagrożenie.

Tak więc najbardziej niezawodne podejście jest o krok dalej niż reguły złożone: nowoczesne modele behawioralne pozwalają na wciągnięcie przeszłych działań do silnika analizy. Trwająca analiza przychodzącego i wychodzącego ruchu sieciowego pozwala następnie na oznaczenie wszelkich odchyleń od oczekiwanych działań użytkownika jako ryzykownych.

Najlepsze praktyki budowlane SIEM Reguły korelacji

warunki indywidualne SIEM zasady są niezbędne do stworzenia SIEM unikalny dla struktury i profilu ryzyka Twojego przedsiębiorstwa. Podczas budowania SIEM Zgodnie z zasadami korelacji ważne jest znalezienie równowagi między zmniejszeniem liczby fałszywych alarmów a niedopuszczeniem do pominięcia jakichkolwiek anomalii, które mogłyby wskazywać na atak cybernetyczny.

Nadaj priorytet przypadkom użycia

Podczas pierwszej adaptacji SIEM do Twojego przedsiębiorstwa, SIEM najlepsze praktyki nakazują, abyś miał jasny pomysł na dokładne przypadki użycia SIEM Rozwiązanie. Uporządkowane według priorytetu, te przypadki użycia należy dopracować, a gotowe reguły ocenić pod kątem ich dopasowania do Twojego przedsiębiorstwa. Następnie możesz swobodnie edytować lub dodawać elementy do każdej węższej sekcji reguł korelacji.

Jeśli nie wiesz, jakie konkretne techniki ataku mogą być przeciwko tobie zastosowane, sprawdź MITER ATT & CK or Cybernetyczny łańcuch zabójstw LockheedaObie firmy wykonują ogromną pracę, katalogując szczegółowo konkretne podejścia i metody atakujących.

Wykorzystaj swoją zaporę sieciową

Reguły korelacji w ogromnym stopniu korzystają z dzienników zapory: sama aktywność zapory może przyczynić się do identyfikacji zagrożonych punktów końcowych. Oto kilka przykładów reguł korelacji, które wykorzystują te dane:
    • A „Nieuczciwy serwer nazw” reguła powinna monitorować każde urządzenie próbujące uzyskać dostęp do aplikacji DNS z miejscem docelowym innym niż wewnętrzne serwery DNS firmy. Urządzenia wewnętrzne powinny być skonfigurowane tak, aby używały tylko serwerów DNS firmy, które następnie docierają do Internetu w razie potrzeby, aby rozwiązać nieznane domeny.

    • A „Nieuczciwy serwer proxy” reguła powinna obserwować zapory obwodowe dla każdego ruchu z podsieci LAN kierowanego do Internetu na portach TCP 80/443 lub dla przeglądania stron internetowych i aplikacji SSL. W idealnym przypadku dozwolony powinien być tylko ruch z wyznaczonego serwera proxy; każdy inny źródłowy adres IP próbujący nawiązać ten typ połączenia może wskazywać na próbę obejścia zabezpieczeń, czy to przez użytkownika, czy przez złośliwe oprogramowanie.

    • A „Ruch BOTNET” reguła może identyfikować starsze oprogramowanie dowodzenia i kontroli (C2), które używa Internet Relay Chat (IRC) do zarządzania. Chociaż IRC nie jest z natury złośliwy, jego obecność w sieci korporacyjnej jest często podejrzana. Ta reguła powinna wyzwalać alert, jeśli jakikolwiek host źródłowy lub docelowy używa IRC, chociaż niektóre komputery administracyjne sieci mogą wymagać wykluczeń.

Minimalizuj otwarte porty

Domyślnie czujniki nasłuchujące na porcie 514 analizują przychodzące logi; pomaga to zidentyfikować urządzenie źródłowe. Określenie bardziej ukierunkowanego portu dla typu logu zamiast używania portu 514 oferuje kilka zalet. Przyspiesza pobieranie danych i analizę logów, poprawiając wydajność czujnika, ponieważ czujnik może natychmiast zidentyfikować urządzenie źródłowe. Na koniec, oparcie reguły korelacji na prawidłowym porcie jest niezwykle ważne dla zachowania informacji z logu.

Zamiast tego wybierz odpowiedni port w zależności od formatu:

    • Common Event Format (CEF), Log Event Extended Format (LEEF) lub JSON: w przypadku tych typów rejestrów dane są przekazywane do portu przypisanego do danego standardu.
    • Standardowy format dzienników Syslog: należy używać portu przeznaczonego dla konkretnego dostawcy.
    • W przypadku formatów specjalistycznych, takich jak Syslog w połączeniu z wyrażeniami regularnymi, parami klucz-wartość lub plikami CSV, należy korzystać z portów specyficznych dla dostawcy.

    Polowanie na zagrożenia

    Wdrażanie proaktywnego wykrywania zagrożeń wraz z dobrze skonfigurowanym SIEM System znacząco zwiększa możliwości wykrywania zagrożeń, znacząco zwiększając moc analityczną automatycznej analizy logów. Chociaż odpowiednio dostrojony SIEM może skutecznie monitorować i ostrzegać o wielu znanych zagrożeniach; dodanie funkcji automatycznego wykrywania zagrożeń umożliwia wykrywanie zaawansowanych, rozwijających się lub ukrytych ataków, które mogą ominąć standardowe reguły korelacji.

    Polowanie na zagrożenia SIEM Podobnie jak Stellar Cyber, symuluje rzeczywisty potencjał ataku alertu lub anomalii po ich wygenerowaniu: ten ciągły proces walidacji pomaga zapewnić precyzję, elastyczność i skuteczność reguł korelacji w walce z nowymi metodami ataków. Wpływa on również na priorytetyzację alertów i stanowi podstawę dla analityków do ręcznego wykrywania zagrożeń. Analitycy mogą przeszukiwać rejestry w piaskownicy złośliwego oprogramowania, aby identyfikować próby ataków, co daje im bardziej świadomy wgląd w zastosowany wobec nich atak.

    Zintegruj, aby zapewnić szybką reakcję

    Integracja A SIEM w ramach szerszego stosu technologicznego zwiększa jego zdolność do skutecznego wykrywania, analizowania i reagowania na zagrożenia. Może to obejmować łączenie SIEM z narzędziami takimi jak wykrywanie i reagowanie na zagrożenia w punktach końcowych (EDR), platformy analizy zagrożeń, systemy reagowania na incydenty oraz rozwiązania do koordynacji, automatyzacji i reagowania na zagrożenia (SOAR). Co więcej, integracja z narzędziami bezpieczeństwa toruje drogę do zautomatyzowanego reagowania na zagrożenia – głównego celu Stellar Cyber.

    Wyjdź poza podstawowe zasady dzięki sprawom Stellar Cyber

    Stellar Cyber ​​stosuje multimodalne podejście do tworzenia reguł: oferując zestaw reguł korelacji i analizę behawioralną opartą na uczeniu maszynowym, w pełni wykorzystuje wszystkie logi generowane w przedsiębiorstwie. Alerty są tworzone, gdy dane z dziennika wyzwalają poszczególne reguły, ale Stellar koreluje je w ujednolicone przypadki, z których każdy reprezentuje zbiór potencjalnie połączonych alertów w ramach pojedynczej struktury danych. Następnie analitycy otrzymują zestaw podręczników i opcji naprawczych zaprojektowanych w celu zminimalizowania MTTR.

    Weryfikacja krzyżowa alertów Stellar Cyber ​​zapewnia głębszy kontekst, umożliwiając analitykom ustalenie, czy mają do czynienia z prawdziwym atakiem, zachowaniem wysokiego ryzyka, czy po prostu przypadkowymi zdarzeniami. Zobacz, jak skonfigurować automatyczne odpowiedzi i natychmiast zablokować złośliwy ruch z dzisiejszą wersją demonstracyjną.

    Brzmi zbyt dobrze, żeby...
    Mów prawdę?
    Zobacz to sam!

    Poproś o demo
    Przewiń do góry
    Zarejestruj się, aby otrzymywać biuletyny