Spis treści
Rejestrowanie SIEM: przegląd i najlepsze praktyki
Zarządzanie informacjami i zdarzeniami dotyczącymi bezpieczeństwa (SIEM) to kluczowe narzędzie cyberbezpieczeństwa, które centralizuje informacje dotyczące bezpieczeństwa krążące wokół tysięcy punktów końcowych, serwerów i aplikacji w Twojej organizacji. Gdy użytkownicy końcowi i urządzenia wchodzą w interakcję z każdym punktem kontaktu aplikacji, pozostawiają cyfrowe odciski palców w postaci dzienników. Pliki te tradycyjnie odgrywają dużą rolę w naprawianiu błędów i kontroli jakości: w końcu dostarczają informacji o błędach prosto ze źródła. Jednak w 2005 roku specjaliści ds. bezpieczeństwa zaczęli zdawać sobie sprawę z prawdziwego potencjału drzemiącego w tych małych plikach. Zapewniają szereg danych w czasie rzeczywistym, które można wprowadzić do rejestrowania SIEM monitorującego taką infrastrukturę IT. Od tego czasu specjaliści ds. bezpieczeństwa uważnie depczą kompromis między widocznością zagrożeń a objętością dziennika zdarzeń. W tym artykule omówimy kilka najlepszych praktyk w zakresie zarządzania logami SIEM, dzięki którym Twoje narzędzia bezpieczeństwa mogą w pełni wykorzystać swój potencjał
Dlaczego SIEM ma znaczenie
Główne znaczenie zarządzania logami SIEM polega na możliwości skutecznego analizowania ogromnych ilości tych logów, umożliwiając analitykom bezpieczeństwa skupienie się na krytycznych zagrożeniach. Co więcej, systemy SIEM normalizują dane w heterogenicznych środowiskach przedsiębiorstw w celu uproszczenia analizy, zapewniają analizę zagrożeń w czasie rzeczywistym i historię w oparciu o dane z dzienników, wysyłają automatyczne alerty z priorytetem według ważności w przypadku wykrycia potencjalnych zagrożeń bezpieczeństwa oraz prowadzą szczegółowe rejestry niezbędne do reagowania na incydenty i kryminalistyki. śledztwa. Zasadniczo zarządzanie logami SIEM jest niezbędne do ustanowienia i utrzymania solidnego i responsywnego stanu bezpieczeństwa w skomplikowanym krajobrazie współczesnych środowisk IT.
Co to jest rejestrowanie SIEM i jak działa?
Aby zapewnić bezpieczeństwo w czasie rzeczywistym, oprogramowanie SIEM gromadzi logi z wielu źródeł i przesyła je do centralnego systemu rejestrowania. Z „Co to jest SIEM?” Odpowiedź brzmi: możliwe jest głębsze zagłębienie się w różnorodne metody stosowane w narzędziach SIEM
Zbieranie dzienników oparte na agentach
Ta agregacja dzienników odbywa się na poziomie lokalnym. Agenci są wyposażone w filtry dzienników i możliwości normalizacji, co pozwala na większą efektywność wykorzystania zasobów. Agenci zazwyczaj zajmują mniej przepustowości sieci, ponieważ dane dziennika są kompresowane wsadami.
Nowe połączenie
Rejestrowanie bez agenta – często wspomagane przez protokoły sieciowe lub wywołania API – to kolejna forma rejestrowania SIEM, w ramach której program SIEM pobiera pliki dziennika bezpośrednio z pamięci masowej, często w formacie syslog. Korzyści obejmują łatwość wdrożenia, aż po wyeliminowanie konieczności aktualizacji oprogramowania lub wersji – ta opcja często przyczynia się do obniżenia kosztów utrzymania SIEM.
Protokoły przesyłania strumieniowego zdarzeń
Chociaż metody rejestrowania oparte na agentach i bez agentów oferują różne sposoby gromadzenia danych, architektura oparta na zdarzeniach na nowo konceptualizuje ten proces jako przepływ zdarzeń przepływających przez rzekę. Każde zdarzenie może zostać przechwycone i dalej przetwarzane przez dalszych konsumentów. NetFlow, protokół opracowany przez Cisco, jest jednym z przykładów takiego podejścia. Gromadzi ruch sieciowy IP przy każdym wejściu lub wyjściu z interfejsu. Analiza danych NetFlow umożliwia administratorom sieci rozpoznanie kluczowych informacji, w tym źródła i miejsca docelowego ruchu, wykorzystywanych protokołów i czasu trwania komunikacji. Dane te są gromadzone przez moduł zbierający NetFlow, który nie tylko przechwytuje istotne szczegóły ruchu, ale także rejestruje znaczniki czasu, żądane pakiety oraz interfejsy wejścia i wyjścia ruchu IP.
W obliczu coraz bardziej wyrafinowanych ataków strumieniowanie zdarzeń odgrywa kluczową rolę, przekazując kompleksowe informacje o ruchu sieciowym do urządzeń zabezpieczających, w tym zapór sieciowych nowej generacji (NGFW), systemów wykrywania i zapobiegania włamaniom (IDS/IPS) oraz bezpiecznych bram internetowych ( SWG).
Ogólnie rzecz biorąc, logowanie SIEM jawi się jako kluczowy element współczesnego cyberbezpieczeństwa, oferujący analizę zagrożeń zarówno w czasie rzeczywistym, jak i historię w oparciu o dane z dzienników. Należy jednak pamiętać o różnicach między zwykłym zarządzaniem starymi logami a SIEM.
W obliczu coraz bardziej wyrafinowanych ataków strumieniowanie zdarzeń odgrywa kluczową rolę, przekazując kompleksowe informacje o ruchu sieciowym do urządzeń zabezpieczających, w tym zapór sieciowych nowej generacji (NGFW), systemów wykrywania i zapobiegania włamaniom (IDS/IPS) oraz bezpiecznych bram internetowych ( SWG).
Ogólnie rzecz biorąc, logowanie SIEM jawi się jako kluczowy element współczesnego cyberbezpieczeństwa, oferujący analizę zagrożeń zarówno w czasie rzeczywistym, jak i historię w oparciu o dane z dzienników. Należy jednak pamiętać o różnicach między zwykłym zarządzaniem starymi logami a SIEM.
SIEM a zarządzanie logami: kluczowe różnice
Chociaż dzienniki stanowią podstawę możliwości SIEM, istnieje zasadnicza różnica pomiędzy procesami SIEM i zarządzaniem logami. Zarządzanie logami obejmuje systematyczne gromadzenie, przechowywanie i analizę danych logów pochodzących z różnych kanałów. Proces ten zapewnia scentralizowaną perspektywę wszystkich danych dziennika i jest wykorzystywany głównie do celów takich jak zgodność, rozwiązywanie problemów z systemem i wydajność operacyjna. Jednak systemy zarządzania logami z natury nie przeprowadzają analizy danych z dzienników – raczej analityk bezpieczeństwa musi zinterpretować te informacje i ocenić zasadność potencjalnych zagrożeń.
SIEM posuwa ten proces o krok dalej, łącząc dzienniki zdarzeń z informacjami kontekstowymi dotyczącymi użytkowników, zasobów, zagrożeń i luk w zabezpieczeniach. Osiąga się to poprzez różnorodną gamę algorytmów i technologii identyfikacji zagrożeń:
SIEM posuwa ten proces o krok dalej, łącząc dzienniki zdarzeń z informacjami kontekstowymi dotyczącymi użytkowników, zasobów, zagrożeń i luk w zabezpieczeniach. Osiąga się to poprzez różnorodną gamę algorytmów i technologii identyfikacji zagrożeń:
- Korelacja zdarzeń polega na wykorzystaniu wyrafinowanych algorytmów do analizy zdarzeń związanych z bezpieczeństwem, identyfikacji wzorców lub zależności wskazujących na potencjalne zagrożenia oraz generowania alertów w czasie rzeczywistym.
- Analiza zachowania użytkowników i podmiotów (UEBA) opiera się na algorytmach uczenia maszynowego w celu ustalenia linii bazowej normalnych działań specyficznych dla użytkowników i sieci. Wszelkie odchylenia od tego poziomu bazowego są oznaczane jako potencjalne zagrożenia bezpieczeństwa, co pozwala na kompleksową identyfikację zagrożeń i wykrywanie ruchu bocznego.
- Koordynacja zabezpieczeń i reakcja automatyzacji (SOAR) umożliwia narzędziom SIEM automatyczne reagowanie na zagrożenia, eliminując potrzebę czekania, aż technik bezpieczeństwa sprawdzi alerty. Ta automatyzacja usprawnia reakcję na incydenty i jest integralnym elementem SIEM.
- Kryminalistyka przeglądarek i analiza danych sieciowych Wykorzystaj zaawansowane możliwości wykrywania zagrożeń SIEM w celu identyfikacji złośliwych osób. Obejmuje to badanie kryminalistyki przeglądarki, danych sieciowych i dzienników zdarzeń w celu ujawnienia potencjalnych planów cyberataku.
Przypadkowy atak poufny
Przykładem zastosowania każdego komponentu w praktyce jest przypadkowy atak poufny.
Ataki te mają miejsce, gdy osoby nieumyślnie pomagają zewnętrznym złośliwym aktorom w przedostaniu się do ataku. Na przykład, jeśli pracownik błędnie skonfiguruje zaporę sieciową, może to narazić organizację na zwiększone ryzyko. Uznając krytyczne znaczenie konfiguracji zabezpieczeń, system SIEM może generować zdarzenie za każdym razem, gdy zostanie dokonana zmiana. Zdarzenie to jest następnie przekazywane analitykowi bezpieczeństwa w celu dokładnego zbadania, aby upewnić się, że zmiana została zamierzona i prawidłowo wdrożona, wzmacniając w ten sposób organizację przed potencjalnymi naruszeniami wynikającymi z niezamierzonych działań osób mających dostęp do informacji poufnych.
W przypadku bezpośredniego przejęcia konta UEBA umożliwia wykrycie podejrzanych działań, takich jak uzyskiwanie dostępu do kont w systemach niezgodnych ze zwykłym schematem, utrzymywanie wielu aktywnych sesji lub wprowadzanie jakichkolwiek zmian w dostępie do konta root. W przypadku próby eskalacji uprawnień przez osobę zagrażającą system SIEM natychmiast przekazuje tę informację zespołowi ds. bezpieczeństwa, ułatwiając szybkie i skuteczne reagowanie na potencjalne zagrożenia bezpieczeństwa.
Ataki te mają miejsce, gdy osoby nieumyślnie pomagają zewnętrznym złośliwym aktorom w przedostaniu się do ataku. Na przykład, jeśli pracownik błędnie skonfiguruje zaporę sieciową, może to narazić organizację na zwiększone ryzyko. Uznając krytyczne znaczenie konfiguracji zabezpieczeń, system SIEM może generować zdarzenie za każdym razem, gdy zostanie dokonana zmiana. Zdarzenie to jest następnie przekazywane analitykowi bezpieczeństwa w celu dokładnego zbadania, aby upewnić się, że zmiana została zamierzona i prawidłowo wdrożona, wzmacniając w ten sposób organizację przed potencjalnymi naruszeniami wynikającymi z niezamierzonych działań osób mających dostęp do informacji poufnych.
W przypadku bezpośredniego przejęcia konta UEBA umożliwia wykrycie podejrzanych działań, takich jak uzyskiwanie dostępu do kont w systemach niezgodnych ze zwykłym schematem, utrzymywanie wielu aktywnych sesji lub wprowadzanie jakichkolwiek zmian w dostępie do konta root. W przypadku próby eskalacji uprawnień przez osobę zagrażającą system SIEM natychmiast przekazuje tę informację zespołowi ds. bezpieczeństwa, ułatwiając szybkie i skuteczne reagowanie na potencjalne zagrożenia bezpieczeństwa.
Najlepsze praktyki dotyczące rejestrowania SIEM
SIEM odgrywa kluczową rolę w strategii cyberbezpieczeństwa organizacji, ale jej wdrożenie wymaga rozważnego podejścia do dzienników i zasad korelacji leżących u podstaw takiego oprogramowania.
#1. Wybierz swoje wymagania wraz z weryfikacją koncepcji
Podczas testowania nowego narzędzia SIEM, Proof of Concepts stanowi poligon doświadczalny. W fazie PoC istotne jest osobiste kierowanie logów do systemu SIEM, aby ocenić zdolność rozwiązania do normalizacji danych zgodnie z określonymi wymaganiami. Proces ten można wzmocnić poprzez włączenie zdarzeń z niestandardowych katalogów do przeglądarki zdarzeń.
W tym punkcie POC można ustalić, czy zbieranie dzienników w oparciu o agenta jest dla Ciebie najlepsze. Jeśli zamierzasz gromadzić dzienniki za pośrednictwem sieci rozległych (WAN) i zapór sieciowych, użycie agenta do gromadzenia dzienników może przyczynić się do zmniejszenia wykorzystania procesora serwera. Z drugiej strony gromadzenie bez agenta może zwolnić Cię z wymagań związanych z instalacją oprogramowania i skutkować niższymi kosztami konserwacji.
W tym punkcie POC można ustalić, czy zbieranie dzienników w oparciu o agenta jest dla Ciebie najlepsze. Jeśli zamierzasz gromadzić dzienniki za pośrednictwem sieci rozległych (WAN) i zapór sieciowych, użycie agenta do gromadzenia dzienników może przyczynić się do zmniejszenia wykorzystania procesora serwera. Z drugiej strony gromadzenie bez agenta może zwolnić Cię z wymagań związanych z instalacją oprogramowania i skutkować niższymi kosztami konserwacji.
#2. Zbieraj odpowiednie kłody we właściwy sposób
Upewnij się, że system SIEM gromadzi, agreguje i analizuje dane w czasie rzeczywistym ze wszystkich odpowiednich źródeł, w tym aplikacji, urządzeń, serwerów i użytkowników. Chociaż dane są istotnym elementem wydajności SIEM, możesz je dodatkowo wspierać, upewniając się, że uwzględniono każdy aspekt Twojej organizacji.
#3. Bezpieczne dzienniki punktów końcowych
Często spotykaną przeszkodą w przypadku dzienników punktów końcowych są ich ciągłe zmiany, gdy systemy są sporadycznie odłączane od sieci, na przykład gdy stacje robocze są wyłączone lub laptopy są używane zdalnie. Co więcej, obciążenie administracyjne związane z gromadzeniem dzienników punktów końcowych zwiększa stopień złożoności. Aby sprostać temu wyzwaniu, można wykorzystać funkcję przekazywania dziennika zdarzeń systemu Windows do przesyłania do scentralizowanego systemu bez konieczności instalowania agenta lub dodatkowych funkcji, ponieważ jest ona nieodłącznie dostępna w podstawowym systemie operacyjnym Windows.
Podejście Stellar Cyber do dzienników punktów końcowych obsługuje różnorodny zakres dzienników punktów końcowych, w tym wykrywanie i reagowanie punktów końcowych (EDR). Stosując różne ścieżki alertów do określonych podzbiorów różnych produktów EDR, możliwe staje się dalsze dokładne i precyzyjne czyszczenie informacji z dzienników punktów końcowych.
Podejście Stellar Cyber do dzienników punktów końcowych obsługuje różnorodny zakres dzienników punktów końcowych, w tym wykrywanie i reagowanie punktów końcowych (EDR). Stosując różne ścieżki alertów do określonych podzbiorów różnych produktów EDR, możliwe staje się dalsze dokładne i precyzyjne czyszczenie informacji z dzienników punktów końcowych.
#4. Miej oko na PowerShell
PowerShell, obecnie wszechobecny w każdej instancji systemu Windows, począwszy od Windows 7, stał się znanym narzędziem dla atakujących. Należy jednak pamiętać, że PowerShell domyślnie nie rejestruje żadnych działań – należy to wyraźnie włączyć.
Jedną z opcji rejestrowania jest rejestrowanie modułów, które dostarcza szczegółowych informacji o wykonaniu potoku, obejmujących inicjalizację zmiennych i wywołania poleceń. Natomiast rejestrowanie bloków skryptów kompleksowo monitoruje wszystkie działania programu PowerShell, nawet jeśli są wykonywane w ramach skryptów lub bloków kodu. Aby uzyskać dokładne dane dotyczące zagrożeń i zachowań, należy wziąć pod uwagę oba te czynniki.
Jedną z opcji rejestrowania jest rejestrowanie modułów, które dostarcza szczegółowych informacji o wykonaniu potoku, obejmujących inicjalizację zmiennych i wywołania poleceń. Natomiast rejestrowanie bloków skryptów kompleksowo monitoruje wszystkie działania programu PowerShell, nawet jeśli są wykonywane w ramach skryptów lub bloków kodu. Aby uzyskać dokładne dane dotyczące zagrożeń i zachowań, należy wziąć pod uwagę oba te czynniki.
#5. Skorzystaj z Sysmona
Identyfikatory zdarzeń są niezbędne do zapewnienia dalszego kontekstu każdemu podejrzanemu działaniu. Microsoft Sysmon zapewnia szczegółowe informacje o zdarzeniach, takich jak tworzenie procesów, połączenie sieciowe i skróty plików. Odpowiednio skorelowane może pomóc w wykryciu bezplikowego złośliwego oprogramowania, które w przeciwnym razie mogłoby ominąć programy antywirusowe i zapory ogniowe.
#6. Alarmuj i reaguj
Pomimo mocy analitycznej, jaką uczenie maszynowe zapewnia narzędziom SIEM, istotne jest umieszczenie jej w kontekście w szerszym zakresie ogólnego bezpieczeństwa. Najważniejszymi z nich są analitycy bezpieczeństwa – plan reagowania na incydenty zapewnia jasne wytyczne dla każdego interesariusza, umożliwiając płynną i efektywną pracę zespołową.
W planie należy wyznaczyć starszego lidera jako główny organ odpowiedzialny za obsługę incydentów. Chociaż osoba ta może delegować uprawnienia innym osobom zaangażowanym w proces obsługi incydentu, polityka musi wyraźnie określać konkretne stanowisko, na którym spoczywa główna odpowiedzialność za reakcję na incydent.
Od tego momentu wszystko sprowadza się do zespołów reagowania na incydenty. W przypadku dużej firmy o zasięgu globalnym może być ich wiele, a każda z nich jest przeznaczona dla określonych obszarów geograficznych i zatrudnia wyspecjalizowany personel. Z drugiej strony mniejsze organizacje mogą zdecydować się na jeden scentralizowany zespół, zatrudniający członków z różnych części organizacji w niepełnym wymiarze godzin. Niektóre organizacje mogą również zdecydować się na outsourcing niektórych lub wszystkich aspektów działań związanych z reagowaniem na incydenty.
Utrzymanie współpracy wszystkich zespołów to podręczniki, które stanowią podstawę dojrzałego reagowania na incydenty. Pomimo wyjątkowego charakteru każdego incydentu związanego z bezpieczeństwem, większość zwykle trzyma się standardowych wzorców działań, dzięki czemu standardowe reakcje są bardzo korzystne. Kiedy już to nastąpi, plan komunikacji dotyczący reagowania na incydenty określa, w jaki sposób różne grupy komunikują się podczas aktywnego incydentu – w tym kiedy należy zaangażować władze.
W planie należy wyznaczyć starszego lidera jako główny organ odpowiedzialny za obsługę incydentów. Chociaż osoba ta może delegować uprawnienia innym osobom zaangażowanym w proces obsługi incydentu, polityka musi wyraźnie określać konkretne stanowisko, na którym spoczywa główna odpowiedzialność za reakcję na incydent.
Od tego momentu wszystko sprowadza się do zespołów reagowania na incydenty. W przypadku dużej firmy o zasięgu globalnym może być ich wiele, a każda z nich jest przeznaczona dla określonych obszarów geograficznych i zatrudnia wyspecjalizowany personel. Z drugiej strony mniejsze organizacje mogą zdecydować się na jeden scentralizowany zespół, zatrudniający członków z różnych części organizacji w niepełnym wymiarze godzin. Niektóre organizacje mogą również zdecydować się na outsourcing niektórych lub wszystkich aspektów działań związanych z reagowaniem na incydenty.
Utrzymanie współpracy wszystkich zespołów to podręczniki, które stanowią podstawę dojrzałego reagowania na incydenty. Pomimo wyjątkowego charakteru każdego incydentu związanego z bezpieczeństwem, większość zwykle trzyma się standardowych wzorców działań, dzięki czemu standardowe reakcje są bardzo korzystne. Kiedy już to nastąpi, plan komunikacji dotyczący reagowania na incydenty określa, w jaki sposób różne grupy komunikują się podczas aktywnego incydentu – w tym kiedy należy zaangażować władze.
5. Zdefiniuj i udoskonalaj reguły korelacji danych
Reguła korelacji SIEM pełni rolę dyrektywy dla systemu, wskazując sekwencje zdarzeń, które mogą sugerować anomalie, potencjalne słabości bezpieczeństwa lub cyberatak. Uruchamia powiadomienia dla administratorów, gdy zostaną spełnione określone warunki, takie jak wystąpienie zdarzeń „x” i „y” lub „x”, „y” i „z” łącznie. Biorąc pod uwagę ogromną liczbę dzienników dokumentujących pozornie przyziemne czynności, dobrze zaprojektowana reguła korelacji SIEM ma kluczowe znaczenie, aby przesiać szum i wskazać sekwencje zdarzeń wskazujących na potencjalny cyberatak.
Reguły korelacji SIEM, jak każdy algorytm monitorowania zdarzeń, mogą potencjalnie dawać fałszywe alarmy. Nadmierna liczba fałszywych alarmów może marnować czas i energię administratorów bezpieczeństwa, ale osiągnięcie zera fałszywych alarmów w prawidłowo funkcjonującym SIEM jest niepraktyczne. Dlatego też podczas konfigurowania reguł korelacji SIEM istotne jest zachowanie równowagi pomiędzy minimalizacją fałszywych alarmów pozytywnych a zapewnieniem, że żadne potencjalne anomalie wskazujące na cyberatak nie zostaną przeoczone. Celem jest optymalizacja ustawień reguł w celu zwiększenia dokładności wykrywania zagrożeń przy jednoczesnym uniknięciu niepotrzebnego rozpraszania uwagi spowodowanego fałszywymi alarmami.
Reguły korelacji SIEM, jak każdy algorytm monitorowania zdarzeń, mogą potencjalnie dawać fałszywe alarmy. Nadmierna liczba fałszywych alarmów może marnować czas i energię administratorów bezpieczeństwa, ale osiągnięcie zera fałszywych alarmów w prawidłowo funkcjonującym SIEM jest niepraktyczne. Dlatego też podczas konfigurowania reguł korelacji SIEM istotne jest zachowanie równowagi pomiędzy minimalizacją fałszywych alarmów pozytywnych a zapewnieniem, że żadne potencjalne anomalie wskazujące na cyberatak nie zostaną przeoczone. Celem jest optymalizacja ustawień reguł w celu zwiększenia dokładności wykrywania zagrożeń przy jednoczesnym uniknięciu niepotrzebnego rozpraszania uwagi spowodowanego fałszywymi alarmami.
SIEM nowej generacji i zarządzanie logami za pomocą Stellar Cyber
Platforma Stellar Cyber integruje technologię SIEM nowej generacji jako nieodłączną funkcję, oferując ujednolicone rozwiązanie poprzez konsolidację wielu narzędzi, w tym NDR, UEBA, Sandbox, TIP i innych, w jedną platformę. Integracja ta usprawnia operacje w spójny i dostępny pulpit nawigacyjny, co prowadzi do znacznej redukcji kosztów kapitałowych. Nasze zarządzanie logami SIEM jest wspomagane automatyzacją, która pozwala zespołom wyprzedzać zagrożenia, a konstrukcja SIEM nowej generacji umożliwia zespołom skuteczne zwalczanie nowoczesnych ataków. Aby dowiedzieć się więcej, zapraszamy do rezerwacji wersji demonstracyjnej naszego Platforma SIEM nowej generacji.