Spis treści
Rejestrowanie SIEM: przegląd i najlepsze praktyki
Dlaczego SIEM ma znaczenie
Co to jest rejestrowanie SIEM i jak działa?
Aby zapewnić bezpieczeństwo w czasie rzeczywistym, oprogramowanie SIEM gromadzi logi z wielu źródeł i przesyła je do centralnego systemu rejestrowania. Z „Co to jest SIEM?” Odpowiedź brzmi: możliwe jest głębsze zagłębienie się w różnorodne metody stosowane w narzędziach SIEM
Zbieranie dzienników oparte na agentach
Nowe połączenie
Protokoły przesyłania strumieniowego zdarzeń
W obliczu coraz bardziej wyrafinowanych ataków strumieniowanie zdarzeń odgrywa kluczową rolę, przekazując kompleksowe informacje o ruchu sieciowym do urządzeń zabezpieczających, w tym zapór sieciowych nowej generacji (NGFW), systemów wykrywania i zapobiegania włamaniom (IDS/IPS) oraz bezpiecznych bram internetowych ( SWG).
Ogólnie rzecz biorąc, logowanie SIEM jawi się jako kluczowy element współczesnego cyberbezpieczeństwa, oferujący analizę zagrożeń zarówno w czasie rzeczywistym, jak i historię w oparciu o dane z dzienników. Należy jednak pamiętać o różnicach między zwykłym zarządzaniem starymi logami a SIEM.
SIEM a zarządzanie logami: kluczowe różnice
SIEM posuwa ten proces o krok dalej, łącząc dzienniki zdarzeń z informacjami kontekstowymi dotyczącymi użytkowników, zasobów, zagrożeń i luk w zabezpieczeniach. Osiąga się to poprzez różnorodną gamę algorytmów i technologii identyfikacji zagrożeń:
- Korelacja zdarzeń polega na wykorzystaniu wyrafinowanych algorytmów do analizy zdarzeń związanych z bezpieczeństwem, identyfikacji wzorców lub zależności wskazujących na potencjalne zagrożenia oraz generowania alertów w czasie rzeczywistym.
- Analiza zachowania użytkowników i podmiotów (UEBA) opiera się na algorytmach uczenia maszynowego w celu ustalenia linii bazowej normalnych działań specyficznych dla użytkowników i sieci. Wszelkie odchylenia od tego poziomu bazowego są oznaczane jako potencjalne zagrożenia bezpieczeństwa, co pozwala na kompleksową identyfikację zagrożeń i wykrywanie ruchu bocznego.
- Koordynacja zabezpieczeń i reakcja automatyzacji (SOAR) umożliwia narzędziom SIEM automatyczne reagowanie na zagrożenia, eliminując potrzebę czekania, aż technik bezpieczeństwa sprawdzi alerty. Ta automatyzacja usprawnia reakcję na incydenty i jest integralnym elementem SIEM.
- Kryminalistyka przeglądarek i analiza danych sieciowych Wykorzystaj zaawansowane możliwości wykrywania zagrożeń SIEM w celu identyfikacji złośliwych osób. Obejmuje to badanie kryminalistyki przeglądarki, danych sieciowych i dzienników zdarzeń w celu ujawnienia potencjalnych planów cyberataku.
Przypadkowy atak poufny
Ataki te mają miejsce, gdy osoby nieumyślnie pomagają zewnętrznym złośliwym aktorom w przedostaniu się do ataku. Na przykład, jeśli pracownik błędnie skonfiguruje zaporę sieciową, może to narazić organizację na zwiększone ryzyko. Uznając krytyczne znaczenie konfiguracji zabezpieczeń, system SIEM może generować zdarzenie za każdym razem, gdy zostanie dokonana zmiana. Zdarzenie to jest następnie przekazywane analitykowi bezpieczeństwa w celu dokładnego zbadania, aby upewnić się, że zmiana została zamierzona i prawidłowo wdrożona, wzmacniając w ten sposób organizację przed potencjalnymi naruszeniami wynikającymi z niezamierzonych działań osób mających dostęp do informacji poufnych.
W przypadku bezpośredniego przejęcia konta UEBA umożliwia wykrycie podejrzanych działań, takich jak uzyskiwanie dostępu do kont w systemach niezgodnych ze zwykłym schematem, utrzymywanie wielu aktywnych sesji lub wprowadzanie jakichkolwiek zmian w dostępie do konta root. W przypadku próby eskalacji uprawnień przez osobę zagrażającą system SIEM natychmiast przekazuje tę informację zespołowi ds. bezpieczeństwa, ułatwiając szybkie i skuteczne reagowanie na potencjalne zagrożenia bezpieczeństwa.
Najlepsze praktyki dotyczące rejestrowania SIEM
#1. Wybierz swoje wymagania wraz z weryfikacją koncepcji
W tym punkcie POC można ustalić, czy zbieranie dzienników w oparciu o agenta jest dla Ciebie najlepsze. Jeśli zamierzasz gromadzić dzienniki za pośrednictwem sieci rozległych (WAN) i zapór sieciowych, użycie agenta do gromadzenia dzienników może przyczynić się do zmniejszenia wykorzystania procesora serwera. Z drugiej strony gromadzenie bez agenta może zwolnić Cię z wymagań związanych z instalacją oprogramowania i skutkować niższymi kosztami konserwacji.
#2. Zbieraj odpowiednie kłody we właściwy sposób
#3. Bezpieczne dzienniki punktów końcowych
Podejście Stellar Cyber do dzienników punktów końcowych obsługuje różnorodny zakres dzienników punktów końcowych, w tym wykrywanie i reagowanie punktów końcowych (EDR). Stosując różne ścieżki alertów do określonych podzbiorów różnych produktów EDR, możliwe staje się dalsze dokładne i precyzyjne czyszczenie informacji z dzienników punktów końcowych.
#4. Miej oko na PowerShell
Jedną z opcji rejestrowania jest rejestrowanie modułów, które dostarcza szczegółowych informacji o wykonaniu potoku, obejmujących inicjalizację zmiennych i wywołania poleceń. Natomiast rejestrowanie bloków skryptów kompleksowo monitoruje wszystkie działania programu PowerShell, nawet jeśli są wykonywane w ramach skryptów lub bloków kodu. Aby uzyskać dokładne dane dotyczące zagrożeń i zachowań, należy wziąć pod uwagę oba te czynniki.
#5. Skorzystaj z Sysmona
#6. Alarmuj i reaguj
W planie należy wyznaczyć starszego lidera jako główny organ odpowiedzialny za obsługę incydentów. Chociaż osoba ta może delegować uprawnienia innym osobom zaangażowanym w proces obsługi incydentu, polityka musi wyraźnie określać konkretne stanowisko, na którym spoczywa główna odpowiedzialność za reakcję na incydent.
Od tego momentu wszystko sprowadza się do zespołów reagowania na incydenty. W przypadku dużej firmy o zasięgu globalnym może być ich wiele, a każda z nich jest przeznaczona dla określonych obszarów geograficznych i zatrudnia wyspecjalizowany personel. Z drugiej strony mniejsze organizacje mogą zdecydować się na jeden scentralizowany zespół, zatrudniający członków z różnych części organizacji w niepełnym wymiarze godzin. Niektóre organizacje mogą również zdecydować się na outsourcing niektórych lub wszystkich aspektów działań związanych z reagowaniem na incydenty.
Utrzymanie współpracy wszystkich zespołów to podręczniki, które stanowią podstawę dojrzałego reagowania na incydenty. Pomimo wyjątkowego charakteru każdego incydentu związanego z bezpieczeństwem, większość zwykle trzyma się standardowych wzorców działań, dzięki czemu standardowe reakcje są bardzo korzystne. Kiedy już to nastąpi, plan komunikacji dotyczący reagowania na incydenty określa, w jaki sposób różne grupy komunikują się podczas aktywnego incydentu – w tym kiedy należy zaangażować władze.
5. Zdefiniuj i udoskonalaj reguły korelacji danych
Reguły korelacji SIEM, jak każdy algorytm monitorowania zdarzeń, mogą potencjalnie dawać fałszywe alarmy. Nadmierna liczba fałszywych alarmów może marnować czas i energię administratorów bezpieczeństwa, ale osiągnięcie zera fałszywych alarmów w prawidłowo funkcjonującym SIEM jest niepraktyczne. Dlatego też podczas konfigurowania reguł korelacji SIEM istotne jest zachowanie równowagi pomiędzy minimalizacją fałszywych alarmów pozytywnych a zapewnieniem, że żadne potencjalne anomalie wskazujące na cyberatak nie zostaną przeoczone. Celem jest optymalizacja ustawień reguł w celu zwiększenia dokładności wykrywania zagrożeń przy jednoczesnym uniknięciu niepotrzebnego rozpraszania uwagi spowodowanego fałszywymi alarmami.
SIEM nowej generacji i zarządzanie logami za pomocą Stellar Cyber
Platforma Stellar Cyber integruje technologię SIEM nowej generacji jako nieodłączną funkcję, oferując ujednolicone rozwiązanie poprzez konsolidację wielu narzędzi, w tym NDR, UEBA, Sandbox, TIP i innych, w jedną platformę. Integracja ta usprawnia operacje w spójny i dostępny pulpit nawigacyjny, co prowadzi do znacznej redukcji kosztów kapitałowych. Nasze zarządzanie logami SIEM jest wspomagane automatyzacją, która pozwala zespołom wyprzedzać zagrożenia, a konstrukcja SIEM nowej generacji umożliwia zespołom skuteczne zwalczanie nowoczesnych ataków. Aby dowiedzieć się więcej, zapraszamy do rezerwacji wersji demonstracyjnej naszego Platforma SIEM nowej generacji.