Spis treści
Alerty SIEM: typowe typy i najlepsze praktyki
Kiedy cyberprzestępcy uzyskują dostęp do sieci, urządzenia lub konta, kontrola szkód staje się wyścigiem z czasem. Jednak liczba aplikacji i kont tworzących przeciętny stos technologii może sprawić, że zachowanie atakującego będzie bardzo ostrą igłą – zakopaną w akrach siana.
Dzięki ciągłemu monitorowaniu i analizowaniu zdarzeń związanych z bezpieczeństwem technologia SIEM może wykrywać nietypowe wzorce lub zachowania na bieżąco, a także ostrzegać personel odpowiedzialny za bezpieczeństwo o dokładnym miejscu pobytu atakującego. Zdarzenia te obejmują działania takie jak próby nieautoryzowanego dostępu, nietypowy ruch sieciowy lub luki w zabezpieczeniach systemu. Po zidentyfikowaniu potencjalnego zagrożenia system SIEM może generować alerty lub powiadomienia, aby umożliwić pracownikom bezpieczeństwa szybkie zbadanie problemu i reakcję.
Jednak zapewnienie, że rozwiązanie nadaje się do wykrywania zagrożeń – bez wysyłania niekończących się alertów SIEM do zespołu ds. bezpieczeństwa – ma kluczowe znaczenie. W tym artykule omówimy tajniki alertów SIEM – jakie ataki mogą pomóc przewidzieć i zapobiec; i jak najlepiej skonfigurować SIEM, aby odnieść sukces.
Dzięki ciągłemu monitorowaniu i analizowaniu zdarzeń związanych z bezpieczeństwem technologia SIEM może wykrywać nietypowe wzorce lub zachowania na bieżąco, a także ostrzegać personel odpowiedzialny za bezpieczeństwo o dokładnym miejscu pobytu atakującego. Zdarzenia te obejmują działania takie jak próby nieautoryzowanego dostępu, nietypowy ruch sieciowy lub luki w zabezpieczeniach systemu. Po zidentyfikowaniu potencjalnego zagrożenia system SIEM może generować alerty lub powiadomienia, aby umożliwić pracownikom bezpieczeństwa szybkie zbadanie problemu i reakcję.
Jednak zapewnienie, że rozwiązanie nadaje się do wykrywania zagrożeń – bez wysyłania niekończących się alertów SIEM do zespołu ds. bezpieczeństwa – ma kluczowe znaczenie. W tym artykule omówimy tajniki alertów SIEM – jakie ataki mogą pomóc przewidzieć i zapobiec; i jak najlepiej skonfigurować SIEM, aby odnieść sukces.
Co to jest alert SIEM?
Alerty SIEM to powiadomienia informujące specjalistów ds. bezpieczeństwa o potencjalnych incydentach związanych z bezpieczeństwem. Alerty te powstają na podstawie wykrywania, korelacji i agregacji metadanych plików oraz zachowań użytkowników. Aby głębiej zanurzyć się w czym jest SIEM, nasze zasoby edukacyjne to fantastyczny początek. Skupiając się jednak na procesie ostrzegania, oto krok po kroku
Generowanie zdarzeń
Prawie każdy plik w ramach dzierżawy lokalnej lub w chmurze tworzy ciągły przepływ dzienników. Integrując się z tymi źródłami dzienników, technologia SIEM zaczyna budować świadomość procesów w czasie rzeczywistym obsługujących zapory ogniowe, systemy wykrywania włamań, rozwiązania antywirusowe, serwery i inne urządzenia zabezpieczające.
Kolekcja wydarzeń
Nie wszystkie dzienniki są sobie równe – ale aby ustalić, którym warto przyjrzeć się bliżej, SIEM musi najpierw zebrać szerokie grupy zdarzeń z różnych źródeł i scentralizować je w swoim systemie analitycznym.
Normalizacja
Wydarzenia zebrane z różnych źródeł mogą wykorzystywać różne formaty i standardy. Podczas gdy zdarzenia błędów wskazują na poważny problem, taki jak utrata danych lub utrata funkcjonalności, zdarzenia ostrzegawcze mogą po prostu wskazywać na możliwy problem w przyszłości. Oprócz tego szeroka gama formatów i typów plików – od Active Directory po system operacyjny – wymaga, aby funkcja normalizacji SIEM ujednoliciła te zdarzenia we wspólny format.
Przechowywanie zdarzeń
Znormalizowane zdarzenia są przechowywane w bezpiecznej i scentralizowanej bazie danych. Umożliwia to analizę historyczną, raportowanie zgodności i dochodzenia kryminalistyczne.
Wykrywanie
Wykrywanie obejmuje analizę zdarzeń w celu zidentyfikowania potencjalnych incydentów bezpieczeństwa. Systemy SIEM wykorzystują predefiniowane reguły, sygnatury i analizę behawioralną do wykrywania anomalii lub wzorców wskazujących na zagrożenia bezpieczeństwa. Reguły mogą obejmować warunki, takie jak wielokrotne nieudane próby logowania, dostęp z nietypowych lokalizacji lub znane sygnatury złośliwego oprogramowania.
Korelacja
Korelacja jest kluczowym krokiem w procesie SIEM. Obejmuje analizę wielu powiązanych zdarzeń w celu ustalenia, czy łącznie stanowią one incydent bezpieczeństwa. Korelacja pomaga w identyfikowaniu złożonych wzorców ataków, które mogą pozostać niezauważone, gdy patrzymy na poszczególne zdarzenia z osobna.
Zbiór
Agregacja polega na łączeniu powiązanych zdarzeń w celu zapewnienia skonsolidowanego obrazu incydentu bezpieczeństwa. Ten krok pomaga zmniejszyć zmęczenie alertami, udostępniając specjalistom ds. bezpieczeństwa bardziej zwięzły i łatwiejszy w zarządzaniu zestaw alertów.
Proces ten kończy się wygenerowaniem alertu. Po zidentyfikowaniu potencjalnego incydentu bezpieczeństwa poprzez wykrywanie, korelację i agregację, system SIEM generuje alert. Alerty zawierają szczegółowe informacje o incydencie, takie jak rodzaj zagrożenia, dotknięte systemy i powaga incydentu.
Proces ten kończy się wygenerowaniem alertu. Po zidentyfikowaniu potencjalnego incydentu bezpieczeństwa poprzez wykrywanie, korelację i agregację, system SIEM generuje alert. Alerty zawierają szczegółowe informacje o incydencie, takie jak rodzaj zagrożenia, dotknięte systemy i powaga incydentu.
Różne typy alertów w SIEM
Zamiast przewijać duże obszary danych, alerty SIEM mają na celu zapewnienie skoncentrowanego i uporządkowanego według priorytetów obrazu potencjalnych zagrożeń. Typowe przykłady alertów SIEM obejmują:
- Anomalne zachowanie użytkownika: Alerty bezpieczeństwa mogą zostać uruchomione, gdy użytkownik wykaże nietypową aktywność, na przykład wiele nieudanych prób logowania, nieautoryzowany dostęp do zasobów lub nieregularne przesyłanie danych.
- Monitorowanie błędów systemu lub aplikacji: Systemy SIEM skrupulatnie badają logi, natychmiast ostrzegając o krytycznych błędach lub awariach systemów lub aplikacji, ujawniając potencjalne luki lub błędne konfiguracje.
- Naruszenie danych: W odpowiedzi na nieautoryzowany dostęp lub wyciek wrażliwych danych generowane są alerty, które umożliwiają organizacjom szybką reakcję i minimalizację wynikających z tego skutków.
- Naruszenia zgodności: Konfigurowalne w ramach systemów SIEM mechanizmy monitorujące generują alerty w przypadku naruszeń przepisów lub naruszeń wewnętrznych polityk, zapewniając zgodność z ustalonymi standardami.
Po wykryciu jednej z tych anomalii generowane są alerty i przekazywane do scentralizowanego centrum operacyjnego sieci, SRE lub określonych zespołów DevOps w celu uzyskania szybkiej reakcji. Stamtąd ważność zdarzeń może zostać poddana filtrowaniu alertów, deduplikacji i analizie, a każda z nich pomaga zmniejszyć liczbę fałszywych alarmów. Podczas gdy personel IT tradycyjnie polegał na ręcznym segregowaniu alertów, podczas którego oceniał wagę każdego problemu, wbudowane reguły korelacji pozwalają teraz platformom SIEM na przejmowanie coraz większego ciężaru.
Rodzaje wyzwalaczy alertów
Wyzwalacze oparte na regułach są często stosowane w alertach SIEM i opierają się na predefiniowanych warunkach w celu identyfikacji określonych zdarzeń. Zespoły ds. bezpieczeństwa wykorzystują te wyzwalacze do ustalania różnych reguł w oparciu o różne aspekty, takie jak znane wzorce ataków, wskaźniki naruszenia lub podejrzane działania. Reguły te działają jak filtry, umożliwiając systemowi SIEM generowanie alertów, gdy zaobserwowane zdarzenia spełniają określone kryteria.
Podobnie istotne dla SIEM wyzwalacze oparte na progach obejmują ustalenie konkretnych progów lub limitów dla zdarzeń lub wskaźników. Kiedy te wartości progowe przekroczą lub spadną poniżej ustawionych parametrów, system generuje alert. Ten typ wyzwalacza okazuje się cenny w wykrywaniu nieprawidłowego zachowania lub odchyleń od wzorców.
Wykrywanie anomalii stanowi kolejny istotny element przykładów alertów SIEM, którego celem jest identyfikacja odchyleń od przewidywanego zachowania. Proces ten obejmuje analizę danych historycznych w celu ustalenia profili bazowych dla rutynowych działań. Przychodzące zdarzenia są następnie porównywane z tymi wartościami bazowymi, a system oznacza wszelkie istotne odchylenia jako potencjalne anomalie. Wykrywanie anomalii skutecznie wykrywa nieznane wcześniej ataki lub ataki typu zero-day, a także identyfikuje nieuchwytne zagrożenia wewnętrzne lub nieautoryzowane działania.
Każdy z tych czynników tworzy adaptacyjną warstwę sprzedaży biletów, która dobrze pasuje do istniejących wcześniej platform sprzedaży biletów. Niektóre rozwiązania idą jeszcze dalej — AIOps filtruje, deduplikuje i normalizuje alerty z różnych systemów, wykorzystując sztuczną inteligencję/ML do identyfikowania wzorców korelacji między mnóstwem alertów.
Podobnie istotne dla SIEM wyzwalacze oparte na progach obejmują ustalenie konkretnych progów lub limitów dla zdarzeń lub wskaźników. Kiedy te wartości progowe przekroczą lub spadną poniżej ustawionych parametrów, system generuje alert. Ten typ wyzwalacza okazuje się cenny w wykrywaniu nieprawidłowego zachowania lub odchyleń od wzorców.
Wykrywanie anomalii stanowi kolejny istotny element przykładów alertów SIEM, którego celem jest identyfikacja odchyleń od przewidywanego zachowania. Proces ten obejmuje analizę danych historycznych w celu ustalenia profili bazowych dla rutynowych działań. Przychodzące zdarzenia są następnie porównywane z tymi wartościami bazowymi, a system oznacza wszelkie istotne odchylenia jako potencjalne anomalie. Wykrywanie anomalii skutecznie wykrywa nieznane wcześniej ataki lub ataki typu zero-day, a także identyfikuje nieuchwytne zagrożenia wewnętrzne lub nieautoryzowane działania.
Każdy z tych czynników tworzy adaptacyjną warstwę sprzedaży biletów, która dobrze pasuje do istniejących wcześniej platform sprzedaży biletów. Niektóre rozwiązania idą jeszcze dalej — AIOps filtruje, deduplikuje i normalizuje alerty z różnych systemów, wykorzystując sztuczną inteligencję/ML do identyfikowania wzorców korelacji między mnóstwem alertów.
Najlepsze praktyki zarządzania alertami SIEM
Mając nadzieję na zatrzymanie złośliwego oprogramowania, zanim przedostanie się ono zbyt głęboko do sieci, SIEM dysponuje ogromnym zakresem alertów, zdarzeń i dzienników – ale podobnie jak światło czujnika ruchu, czasami alert łapie szczura, a nie trojana zdalnego dostępu.
Jednym z powodów ciągłego zalewu alertów jest brak spójności pomiędzy wcześniejszymi rozwiązaniami bezpieczeństwa. Chociaż systemy IPS, NIDS i HIDS zapewniają odpowiednio ochronę sieci i punktów końcowych, niska jakość wysyłanych alertów może szybko narastać – szczególnie, gdy zintegrowane urządzenia zabezpieczające nie współpracują ze sobą i zamiast tego wysyłają każdy alert do nadmiernie pobudzonego zespołu ds. bezpieczeństwa.
Najlepsze praktyki dotyczące alertów SIEM stanowią ratunek przed hałasem ostrzegawczym, konsolidując i udoskonalając wszystkie te alerty – ale najlepsze praktyki są niezbędne, aby były one dostosowane do zamierzonego celu, a nie przyczyniały się do chronicznego wypalenia zawodowego.
Jednym z powodów ciągłego zalewu alertów jest brak spójności pomiędzy wcześniejszymi rozwiązaniami bezpieczeństwa. Chociaż systemy IPS, NIDS i HIDS zapewniają odpowiednio ochronę sieci i punktów końcowych, niska jakość wysyłanych alertów może szybko narastać – szczególnie, gdy zintegrowane urządzenia zabezpieczające nie współpracują ze sobą i zamiast tego wysyłają każdy alert do nadmiernie pobudzonego zespołu ds. bezpieczeństwa.
Najlepsze praktyki dotyczące alertów SIEM stanowią ratunek przed hałasem ostrzegawczym, konsolidując i udoskonalając wszystkie te alerty – ale najlepsze praktyki są niezbędne, aby były one dostosowane do zamierzonego celu, a nie przyczyniały się do chronicznego wypalenia zawodowego.
Ustal własne zasady
Reguły definiują zrozumienie SIEM pomiędzy normalnym i złośliwym zachowaniem. Pojedynczy alert może mieć jedną lub więcej reguł, w zależności od tego, jak go zdefiniujesz. Chociaż zapewnia to solidną podstawę do wychwytywania zdarzeń związanych z bezpieczeństwem w odpowiednim czasie, należy zachować ostrożność podczas tworzenia dużej liczby niestandardowych alertów. Konfigurowanie wielu alertów dla tego samego zestawu zadań to niezawodny sposób na zaciemnienie wglądu w bezpieczeństwo.
Sprawdź swoje alerty przed wydaniem nowych
Przed wdrożeniem nowych reguł alertów należy koniecznie przejrzeć istniejące alerty, aby ustalić, czy istnieje już wbudowany alert służący temu samemu celowi. Jeżeli takowego nie ma, konieczne jest zebranie informacji o sekwencji zdarzeń, które wystąpią zarówno przed, jak i po wykryciu tego alertu.
Bądź precyzyjny przy wyborze tego, co chcesz oznaczyć
Zalanie alertów następuje głównie w wyniku niejasności lub niejednoznaczności w polach opisu alertów. Oprócz tego wybranie nieprawidłowej kategorii lub ważności może spowodować pojawienie się stosunkowo przyziemnych problemów w przepływach pracy o wysokim priorytecie, drastycznie utrudniając pracę zespołom IT. Opis musi być jak najbardziej precyzyjny, a kategoria musi dokładnie odzwierciedlać przepływ pracy i priorytety zespołu ds. bezpieczeństwa.
Pamiętaj o przepisach
Aby spełnić swoje obowiązki w zakresie cyberbezpieczeństwa, każda organizacja musi przestrzegać różnych przepisów lokalnych, regionalnych i federalnych. Tworząc niestandardowe reguły alertów, należy pamiętać, czego oczekuje każdy konkretny przepis.
Polegaj zarówno na prostych, jak i złożonych regułach
Podstawowe reguły SIEM mają na celu identyfikację konkretnego typu zdarzenia i zainicjowanie predefiniowanej reakcji. Na przykład prosta reguła może wywołać alert, jeśli wiadomość e-mail zawiera załączony plik ZIP. Chociaż podstawowe reguły są korzystne, zaawansowane reguły złożone umożliwiają połączenie dwóch lub więcej reguł w celu zidentyfikowania bardziej skomplikowanych wzorców zachowań. Na przykład reguła złożona może wywołać alert, jeśli w ciągu dziesięciu minut nastąpi siedem nieudanych prób uwierzytelnienia na tym samym komputerze z jednego adresu IP i przy użyciu różnych nazw użytkowników. Dodatkowo, jeśli pomyślne logowanie nastąpi na dowolnym komputerze w sieci i pochodzi z tego samego adresu IP, reguła złożona również może wyzwolić alert.
Testowanie
Po utworzeniu alertu przeprowadź wiele testów, aby sprawdzić jego prawidłowe działanie. Rygorystyczne testowanie niestandardowych alertów umożliwia udoskonalenie reguł korelacji, zapewniając optymalną wydajność i skuteczność.
Reguły korelacji, choć stanowią istotną część najlepszych praktyk SIEM, nie są inteligentne — nie oceniają historii zdarzeń, które oceniają. Na przykład nie obchodzi ich, czy wczoraj na komputerze pojawił się wirus; interesuje go tylko to, czy system jest zainfekowany podczas wykonywania reguły. Ponadto reguły korelacji są oceniane za każdym razem, gdy wykonywany jest zestaw – system nie bierze pod uwagę żadnych innych danych w celu ustalenia, czy należy ocenić regułę korelacji.
Dlatego też istotne są dwie pozostałe formy wykrywania zagrożeń:
Reguły korelacji, choć stanowią istotną część najlepszych praktyk SIEM, nie są inteligentne — nie oceniają historii zdarzeń, które oceniają. Na przykład nie obchodzi ich, czy wczoraj na komputerze pojawił się wirus; interesuje go tylko to, czy system jest zainfekowany podczas wykonywania reguły. Ponadto reguły korelacji są oceniane za każdym razem, gdy wykonywany jest zestaw – system nie bierze pod uwagę żadnych innych danych w celu ustalenia, czy należy ocenić regułę korelacji.
Dlatego też istotne są dwie pozostałe formy wykrywania zagrożeń:
Ustaw i dostosuj progi
Wyzwalacze oparte na progach obejmują ustalenie określonych progów lub limitów dla zdarzeń lub metryk. Kiedy te wartości progowe przekroczą lub spadną poniżej ustawionych parametrów, system generuje alert. Ten typ wyzwalacza okazuje się cenny w wykrywaniu nieprawidłowego zachowania lub odchyleń od wzorców.
Chociaż niektóre zasady mogą pozostać takie same, progi to jedne z najważniejszych form alertów, które należy regularnie dostosowywać. Coś tak prostego, jak powiększenie bazy użytkowników lub pracowników, może prowadzić do fal niepotrzebnych alertów.
Chociaż niektóre zasady mogą pozostać takie same, progi to jedne z najważniejszych form alertów, które należy regularnie dostosowywać. Coś tak prostego, jak powiększenie bazy użytkowników lub pracowników, może prowadzić do fal niepotrzebnych alertów.
Zdefiniuj swoje anomalie
Oprócz ustalonych reguł modele zachowań profilują użytkownika, aplikację lub konto na podstawie ich standardowego zachowania. Gdy model zidentyfikuje nieprawidłowe zachowanie, stosuje reguły w celu oceny, a następnie generuje alert. Pamiętaj, aby skonfigurować modele z różnymi klasami typów zachowań – pozwala to na tworzenie odrębnych profili alertów i drastycznie przyspiesza prace naprawcze.
Podobnie jak w przypadku reguł korelacji, ocena pojedynczego modelu zazwyczaj nie powoduje wygenerowania alertu. Zamiast tego system przydziela punkty do każdej sesji na podstawie zastosowanych modeli. Kiedy zgromadzone punkty za sesję przekroczą ustalony wcześniej próg, system uruchomi alert. Ustalenie i zdefiniowanie tolerancji ryzyka dla każdego modelu jest kluczowym aspektem w zarządzaniu i kontrolowaniu liczby generowanych alertów.
Podobnie jak w przypadku reguł korelacji, ocena pojedynczego modelu zazwyczaj nie powoduje wygenerowania alertu. Zamiast tego system przydziela punkty do każdej sesji na podstawie zastosowanych modeli. Kiedy zgromadzone punkty za sesję przekroczą ustalony wcześniej próg, system uruchomi alert. Ustalenie i zdefiniowanie tolerancji ryzyka dla każdego modelu jest kluczowym aspektem w zarządzaniu i kontrolowaniu liczby generowanych alertów.
Alerty SIEM nowej generacji
Rozwiązania SIEM są drogie, a ich wdrożenie i konfiguracja może być trudne. Jednakże
Sukces narzędzia SIEM jest definiowany przez jego zdolność do ścisłej integracji z bieżącym stosem technologii.
Dostarczając ponad 400 gotowych integracji, SIEM firmy Stellar Cyber zmienia Twoje podejście z reaktywnego na proaktywne. Powstrzymaj personel ochrony przed przechodzeniem
niekończące się niedopasowane alerty i odwróć scenariusz atakujących dzięki funkcjom nowej generacji
takie jak automatyczne wykrywanie zagrożeń i analityka oparta na sztucznej inteligencji. Alerty SIEM nowej generacji wykorzystują niezwykle elastyczne źródła danych i przekształcają je w skalowalne analizy.
Dowiedz się więcej o naszym Platforma SIEM nowej generacji Możliwości i zacznij się na nich koncentrować
incydentów, a nie ostrzeżeń.