SIEM Mga Panuntunan sa Korelasyon: Pagpapahusay ng Iyong Pagtukoy sa Banta
Ang mga log ay kumakatawan sa mga real-time na aktibidad ng bawat sulok ng iyong negosyo. Ang bawat log ng pag-audit ay naglalaman ng impormasyon ng aktibidad, mga parameter, mapagkukunan, at timing ng isang user, na ginagawa silang isang tunay na goldmine ng data. Ang paggamit ng mga ito upang protektahan ang mga negosyo ay nangangailangan ng higit pa sa data, gayunpaman: ang mga log ay kailangang pagsama-samahin at tukuyin bilang alinman sa ligtas o nakakahamak – lahat bago makapag-deploy ng payload o magnakaw ng data ang umaatake. Dito lumiwanag ang mga alituntunin ng ugnayan.
Sa analytics, ang isang ugnayan ay anumang ugnayan o koneksyon sa pagitan ng dalawang elemento – sa pamamagitan ng pagmamapa ng ugnayan sa pagitan ng bawat piraso ng datos ng log at paglikha SIEM mga tuntunin ng ugnayan, ang iyong SIEM ay kayang subaybayan nang maayos ang bawat datapoint kaugnay ng isa't isa. Panghuli, ang mga sequence na ito ay kinikilala bilang ligtas o posibleng malisyoso sa pamamagitan ng pagdaragdag ng mga panuntunan sa ibabaw ng data na ito. Pinapayagan ang mahusay na trapiko, habang ang masama o kahina-hinalang trapiko ay minarkahan bilang ganito – at hinaharangan.
Susunod na henerasyon SIEM
Stellar Cyber Susunod na Henerasyon SIEM, bilang isang kritikal na bahagi sa loob ng Stellar Cyber Open XDR Plataporma...
Damhin ang AI-Powered Security in Action!
Tuklasin ang cutting-edge AI ng Stellar Cyber para sa instant na pagtuklas at pagtugon sa pagbabanta. Iskedyul ang iyong demo ngayon!
Gaano SIEM Mga Panuntunan sa Korelasyon
Hakbang 1: Log Centralization
Ang mga log mula sa lahat ng iyong mga sistema ay kinokolekta at ipinapadala sa SIEMNagiging posible ito dahil sa mga sensor at ahente – maliliit na piraso ng software na naka-install sa mga endpoint device, network, at server na pasibong nagmomonitor sa mga data packet na inililipat sa isang network at sa mga aksyon na tumatakbo sa mga device. Sa hakbang na ito, ang SIEM Sinisimulan ng tool ang proseso ng paghila ng mga log na ito papunta sa isang central analysis engine.
Hakbang 2: Normalization ng Data
Bagama't sakop ng mga log ang bawat anggulo ng iyong imprastraktura – binubuo pa rin ito ng iba't ibang aplikasyon, server, at hardware, bawat isa ay may natatanging format para sa paglilista ng mga entry sa log. Ang mga event log mula sa iba't ibang pinagmulan ay maaaring may iba't ibang larangan ng impormasyon at istruktura ng datos. Ang ikalawang hakbang para SIEM Ang correlation ay nag-onormalize sa mga ito, na gumagana sa pamamagitan ng pag-parse ng iba't ibang log sa isang pare-pareho at standardized na format.
Kung mas mahusay ang normalisasyon ng datos ng log na ito, mas mabilis ang SIEM maaaring magsimulang suriin at ilapat ang mga pamamaraan sa pagtukoy ng banta.
Hakbang 3: Pag-uugnay ng Data
Dahil na-insect na ang lahat ng log data, makikita na ng correlation engine kung paano ito sumusunod sa mga karaniwang pattern. Ang ilan SIEM Ang mga tool ay sapat lamang ang nagagawa upang matukoy nang paisa-isa ang mga string, ngunit ang mas advanced na mga alok tulad ng Stellar ay nagdaragdag ng pangalawang layer ng ugnayan na tumitingin sa iba pang mga katangian – tulad ng mga parameter ng kahilingan at tugon. Nakakatulong ito na patatagin ang ugnayan sa pagitan ng pag-uugali at ng entity na kasangkot.
Ito ay medyo mataas na antas, kaya isaalang-alang natin ang ugnayan ng data sa konteksto ng isang aktwal na pag-atake: isaalang-alang ang mga pagtatangka ng isang attacker na i-brute force ang pag-access sa isang enterprise sa pamamagitan ng kanilang Identity and Access Management (IAM) provider. Ang mga pag-uugaling kasangkot ay maaaring magsama ng kampanya ng tuluy-tuloy na mga pagtatangka sa pag-log in upang makakuha ng access (aksyon A), na pagkatapos ay susundan ng isang matagumpay na pag-log in (aksyon B). Susunod, maaari silang magpatuloy sa pag-access sa admin console at lumikha ng isang bagong user na may mataas na mga pribilehiyo - o magsimula ng maraming mga pag-scan sa port upang saklawin ang mga mahihinang lugar at sensitibong mapagkukunan. Tawagin natin ang pagkilos na ito C.
Ang rule-based correlation ay nagbibigay-daan sa bawat Technique, Tactic and Procedure (TTP) na mailagay sa isang sequence: ang mga sequential correlation na ito ay maaaring mag-trigger ng isang rule action, na ipinapasa sa analyst sa pamamagitan ng isang alerto. Ang paraan kung paano pinagsasama-sama ang mga katangiang ito ang tumutukoy sa kakayahan sa pagtukoy ng isang SIEM tool.
Batay sa Panuntunan kumpara sa Pag-uugnay sa Pag-uugali
Ang mga pagkilos na kasangkot sa pag-atake na kakatapos lang namin ay matuklasan sa dalawang paraan: ang una ay sa pamamagitan ng isang panuntunan na tahasang nagsasaad na 'kung ang aksyon A ay sinusundan ng B at pagkatapos ay ang C, mag-trigger ng alerto'. Gumagana ito nang napakahusay kung alam ng mga analyst ang posibilidad ng pag-atake na ito nang maaga, at may magaspang na ideya kung ano ang maaaring gawin ng TTP ng isang umaatake.
Gayunpaman, hindi lamang ito ang tanging paraan: ang brute force attack ay maaari ring matuklasan sa pamamagitan ng isang mas pangkalahatang tuntunin na 'kung ang isang hanay ng mga aksyon ay lumihis mula sa normal na pag-uugali ng pagpapatotoo ng isang end user, mag-trigger ng isang alerto'. Ang tuntuning ito ay nakasalalay sa SIEM pagkakaroon ng makasaysayang pag-unawa kung paano karaniwang kumikilos ang isang end-user; posible na ngayon salamat sa pagpapatakbo ng mga sentralisadong log na iyon sa pamamagitan ng isang Machine Learning algorithm. Gamit ito, nagiging napakadaling magtatag ng pang-araw-araw na mga pattern ng pag-uugali ng user, device, at trapiko – at samakatuwid ay gamitin ang behavioral correlation bilang batayan para sa SIEM mga patakaran. Ang ugnayan sa pag-uugali ay kadalasang ginagamit upang makabuo ng isang 'iskor ng panganib', kung saan ang mga analyst ay nagtatakda ng isang katanggap-tanggap na hangganan.
Dahil nadoble na natin ang bilang ng iba't ibang pamamaraan na maaari nating gawin sa pagtukoy ng mga banta, mas mahalaga kaysa dati na aktibong panatilihin ang iyong SIEM mga patakarang binawasan at gumagana nang maayos – tatalakayin natin kung paano pinakamahusay na makamit ito sa ibaba.
mga Pakinabang ng SIEM Mga Panuntunan sa Korelasyon para sa Pagtuklas ng Banta
Pagtukoy sa pagbabanta na nakabatay sa lagda
Ang karamihan sa mga pag-atake ay hindi partikular na kakaiba: ang mga oportunistang umaatake na nagko-copy-paste ng malisyosong code ay karaniwan na kaya't natawag silang 'script kiddies'. Ito ang dahilan kung bakit ang karamihan sa SIEM Ang proteksyon sa ibabaw ng pag-atake ay sa pamamagitan ng signature-based detection.
Ang mga imbakan ng mga site ng malware signature ay patuloy na lumalawak: isa sa mga pinakakilala ay ang M&TRE ATTACK database. Tinutukoy nito ang mga partikular na pamamaraang ginagawa ng mga umaatake, at samakatuwid ay nagbibigay sa mga security practitioner ng open source database para sa SIEM mga patakaran. Ang mga hanay ng patakarang ito ay umaasa sa pagtukoy ng mga pattern ng kilalang malisyosong pag-uugali.
Gayunpaman, habang mas laganap ang SIEM Ang tuntunin ay, mas maraming pokus ang ilalagay ng mga umaatake sa pag-iwas dito. Inilalagay nito ang mga tuntunin ng ugnayan sa isang patuloy na karera sa pagitan ng umaatake at ng security analyst. At, kung ang security team ay magsisimulang gumawa ng napakaraming tuntunin, nanganganib silang mabahaan ng SIEM maling positibo.
Tinatanggal ng Stellar Cyber ang mga dating kahirapang kinakaharap ng purong correlation-based SIEMsa pamamagitan ng pagdaragdag ng isa pang patong ng pagsusuri sa ML. Maaaring masakop ng mga analyst ang pinakamaraming batayan hangga't maaari gamit ang mga panuntunan sa ugnayan, at pagkatapos ay sinusuri ng pangalawang patong ng pagsusuri ang mas malawak na konteksto ng bawat alerto upang matukoy ang pagiging lehitimo nito.
Prepopulated na Mga Panuntunan para sa Real-World na Banta
Ang mga panuntunan sa ugnayan ay ginawa ng layunin upang matukoy ang mga karaniwang banta na paulit-ulit na ginagamit ng mga hacker upang subukang mag-access sa mga mapagkukunan. Gayunpaman, maaaring walang pinakabagong pag-unawa sa mga TTP sa totoong mundo ang IT team ng isang enterprise. Pagkatapos ng lahat, hinihingi ng threat intelligence ang patuloy na pangangalap, pagproseso, at aplikasyon ng data tungkol sa mga malisyosong aktor, diskarte, at tagapagpahiwatig ng kompromiso.
Ito ang dahilan kung bakit malaking pakinabang ang mga paunang naka-pack na panuntunan sa ugnayan: ang mga prepopulated na diskarte na ito ay binuo mula sa macro view ng iyong industriya at sa mas malawak na banta. Ang bawat pagkakaiba-iba ng pag-uugali ay maaaring ma-label at maiugnay sa uri ng alerto nito, samakatuwid ay binabawasan ang kalat-kalat na katangian ng mga alerto sa log sa isang mas streamline na kabuuan.
Pagsunod sa Data at Access
Kailangang ipakita ng mga organisasyon sa halos lahat ng industriya na sumusunod sila sa ilang partikular na batas, panuntunan, at regulasyon – at nagbabago ang mga ito depende sa industriya kung saan ka aktibo. Kailangang bantayan ng mga sangay sa Europa ang GDPR, habang ang anumang negosyong nakatuon sa pagbabayad ay kailangang sumunod sa PCI DSS.
Ang GDPR ay isa sa pinakamahigpit at pinakamalawak na regulasyon, na humihingi ng seguridad ng datos sa mga teknikal na proseso ng isang organisasyon. Dahil SIEM Ang mga log ay bumubuo sa kabuuan ng mga asset at user account ng isang organisasyon, ito ay nasa natatanging posisyon na mahusay para makamit ito.
Ito ay isang tunay na benepisyo ng mga tuntunin ng ugnayan: ang kanilang pangkalahatang kakayahang magamit. Sa pamamagitan ng pagpapadala ng isang alerto tuwing may natuklasang hanay ng mga abnormal na log, binibigyan nito ang mga analyst ng isang paunang babala tungkol sa mga potensyal na isyu sa pagsunod. Ang kakayahang gumawa ng sarili mong mga tuntunin ay nagbibigay-daan din para maisulat ang mga regulasyon sa pagsunod sa iyong istruktura ng seguridad mula pa sa pundasyon. Kung hinihiling sa iyo ng PCI DSS na panatilihing napapanahon ang lahat ng endpoint anti-malware, magpatupad ng isang SIEM panuntunang nag-aalerto sa iyo kapag ang isang solusyon laban sa malware ay hindi na-update. Mas advanced SIEM hinahayaan ka ng mga tool na i-automate ang buong prosesong ito, habang pinapanatili ang isang forensic file sa mga aksyon nito. Ang acceleration na ibinibigay ng SIEMAng s ay partikular na mahalaga sa konteksto ng mga regulasyon tulad ng GDPR, na nagbibigay ng maliit na 72-oras na palugit kung saan upang ipaalam at tugunan ang mga insidente sa seguridad.
Multi-stage Attacks at Advanced Persistent Threats (APTs) Detection
Ang mga indibidwal na panuntunan sa ugnayan ay sapat na simple, ngunit ang manipis na butil ng mga log ay nagbibigay-daan para sa mas matalas na resolusyon at pagpapagaan. Dito maaaring maging mahusay ang mga pinagsama-samang panuntunan sa pagtukoy ng mga mas advanced na banta: pinagsasama-sama ng mga ito ang maraming panuntunan upang mahasa ang isang partikular na gawi sa loob ng isang partikular na konteksto. Halimbawa, kung ang X login ay sumusubok sa parehong workstation (at parehong IP address) ay nabigo sa loob ng X minuto at gumamit ng iba't ibang user name - at kung ang isang matagumpay na pag-login ay nangyari sa anumang computer sa loob ng network at nagmula sa magkatulad na IP address - ito ay magti-trigger isang alerto.
Ang mga pinagsama-samang panuntunan ay maaaring maging mahalaga para sa pagputol ng mga entry point ng APT. Iyan ay kapag ang isang nanghihimasok ay nakakakuha ng paunang access sa network ng isang organisasyon, nakahanap ng isang ligtas na punto ng pag-access, at pagkatapos ay walang ginagawa dito. Bagama't ang banta ay maaaring magmukhang tulog, malamang na naghihintay lamang sila ng isang angkop na oras - o kahit isang mamimili para sa patuloy na pagsasamantala. Kapag pinili nila, ang nanghihimasok ay maaaring lampasan lang ang firewall at magnakaw ng data o mag-deploy ng malware, dahil ang kanilang account o mga aksyon ay ipinapalagay na ligtas.
Ang mga simpleng tuntunin ng ugnayan ay tradisyonal na hindi maaasahan sa pagtuklas ng mga APT; kung hindi alam ng mga analyst ang potensyal na TTP, malamang na hindi nila matuklasan ang banta.
Kaya, ang pinaka-maaasahang diskarte ay isang hakbang na lampas sa pinagsama-samang mga panuntunan: pinapayagan ng mga modernong modelo ng pag-uugali ang mga nakaraang aksyon na mailabas sa engine ng pagsusuri. Ang patuloy na pagsusuri ng papasok at papalabas na trapiko sa network ay nagbibigay-daan para sa anumang paglihis mula sa inaasahang pagkilos ng user na ma-flag bilang peligroso.
Mga Pinakamahusay na Kasanayan para sa Pagtatayo SIEM Mga Panuntunan sa Korelasyon
Unahin ang Mga Kaso ng Paggamit
Noong unang iniangkop ang isang SIEM sa iyong negosyo, SIEM ang mga pinakamahuhusay na kagawian ay nangangailangan ng malinaw na ideya tungkol sa mga eksaktong kaso ng paggamit ng iyong SIEM ay lulutasin. Kung iraranggo ayon sa prayoridad, ang mga use case na ito ay kailangang hasain, at ang mga naka-package na panuntunan ay kailangang tasahin kung gaano kahusay ang mga ito akma sa iyong sariling negosyo. Mula roon, malaya kang magsimulang mag-edit o magdagdag sa bawat mas makitid na seksyon ng mga panuntunan sa ugnayan.
Kung hindi mo alam kung anong mga partikular na diskarte sa pag-atake ang maaaring magamit laban sa iyo, tingnan MITER ATT&CK or Ang Cyber Kill Chain ng Lockheed. Parehong gumagawa ng napakalaking trabaho upang itala ang mga partikular na diskarte at pagsasamantala ng mga umaatake sa hindi pangkaraniwang lalim.
Gamitin ang Iyong Firewall
-
- A “Rogue Name Server” dapat subaybayan ng panuntunan ang anumang device na sumusubok na i-access ang DNS application na may patutunguhan maliban sa panloob na mga DNS server ng kumpanya. Dapat na i-configure ang mga panloob na device upang gamitin lamang ang mga pangkumpanyang DNS server, na pagkatapos ay umaabot sa Internet kung kinakailangan upang malutas ang mga hindi kilalang domain.
- A “Rogue Proxy Server” Dapat sundin ng panuntunan ang mga firewall ng perimeter para sa anumang trapiko mula sa LAN subnet na patungo sa Internet sa mga TCP port 80/443 o para sa web browsing at SSL application. Sa isip, tanging trapiko mula sa itinalagang proxy server ang dapat pahintulutan; anumang iba pang source IP na sumusubok sa ganitong uri ng koneksyon ay maaaring magpahiwatig ng isang pagtatangka na i-bypass ang seguridad, sa pamamagitan man ng isang user o malware.
- A “BOTNET Traffic” matutukoy ng panuntunan ang mas lumang command and control (C2) software na gumagamit ng Internet Relay Chat (IRC) para sa pamamahala. Bagama't hindi likas na nakakahamak ang IRC, kadalasang kahina-hinala ang presensya nito sa isang corporate network. Ang panuntunang ito ay dapat mag-trigger ng alerto kung ang anumang source o destination host ay gumagamit ng IRC, kahit na ang ilang computer administration ng network ay maaaring mangailangan ng mga pagbubukod.
I-minimize ang mga Open Ports
Bilang default, sinusuri ng mga sensor na nakikinig sa port 514 ang mga papasok na log; nakakatulong ito na matukoy ang pinagmulang device. Ang pagtukoy ng mas naka-target na port para sa iyong uri ng log kaysa sa paggamit ng port 514 ay nag-aalok ng ilang mga pakinabang. Pinapabilis nito ang pag-ingestion ng data at pag-parse ng log, pinapabuti ang performance ng sensor dahil matukoy agad ng sensor ang source device. Panghuli ngunit hindi bababa sa, ang pagbabase ng isang tuntunin ng ugnayan sa tamang port ay napakahalaga sa pagpapanatili ng impormasyon ng log.
Sa halip, piliin ang naaangkop na port depende sa kanilang format:
- Common Event Format (CEF), Log Event Extended Format (LEEF), o JSON: para sa mga ganitong uri ng log, ipasa ang data sa port na nakatalaga para sa pamantayang iyon.
- Mga karaniwang log ng format ng Syslog: gamitin ang port na itinalaga para sa partikular na vendor.
- Para sa mga espesyal na format gaya ng Syslog na pinagsama sa mga regular na expression, key-value pairs, o CSV, gumamit ng mga port na partikular sa vendor.
Pangangaso ng pananakot
Pagpapatupad ng proactive threat hunting kasama ang isang mahusay na na-configure na SIEM Pinahuhusay nang malaki ng sistema ang kakayahan nito sa pagtukoy ng banta, na nagdaragdag ng malaking bigat sa analytical power ng automated log analysis. Habang ang isang maayos na naka-tune na SIEM ay maaaring epektibong magmonitor at mag-alerto sa maraming kilalang banta, ang pagdaragdag ng automated threat-hunting ay nagbibigay-daan sa pagtukoy ng mga sopistikado, umuunlad, o palihim na pag-atake na maaaring lumampas sa mga karaniwang panuntunan sa ugnayan.
Isang pangangaso ng banta SIEM Tulad ng Stellar Cyber, ginagaya nito ang totoong potensyal ng pag-atake ng isang alerto o anomalya pagkatapos itong mabuo: ang patuloy na proseso ng pagpapatunay na ito ay nakakatulong na matiyak na ang mga panuntunan sa ugnayan ay tumpak, madaling ibagay, at epektibo laban sa mga umuusbong na pamamaraan ng pag-atake. Tinutukoy din nito kung paano inuuna ang mga alerto – at nagbibigay ng pundasyon para sa mga analyst upang manu-manong maghanap ng mga banta. Maaaring maghanap ang mga analyst sa talaan ng malware sandbox upang matukoy ang mga tinangkang pag-atake, na nagbibigay sa kanila ng mas matalinong pananaw sa pag-atakeng ginamit laban sa kanila.
Isama para sa Mabilis na Tugon
Pagsasama a SIEM sa loob ng mas malawak na tech stack ay nagpapahusay sa kakayahan nitong matukoy, masuri, at epektibong tumugon sa mga banta. Maaari nitong isama ang pag-uugnay ng SIEM gamit ang mga kagamitan tulad ng endpoint detection and response (EDR), mga threat intelligence platform, mga incident response system, at mga solusyon sa security orchestration, automation, and response (SOAR). Mas maganda pa rito, ang integrasyon sa mga security tool ay nagbubukas ng daan para sa mga automated threat response – isang gabay na pokus ng Stellar Cyber.
Higit pa sa Mga Pangunahing Panuntunan sa Mga Kaso ng Stellar Cyber
Gumagamit ang Stellar Cyber ng isang multi-modal na diskarte sa paggawa ng panuntunan: nag-aalok ng isang stacked deck ng mga panuntunan sa ugnayan at ML-driven na pagsusuri sa pag-uugali, ganap nitong ginagamit ang lahat ng mga log na nabuo sa iyong enterprise. Ginagawa ang mga alerto habang ang data ng log ay nagti-trigger ng mga indibidwal na panuntunan, ngunit iniuugnay ito ni Stellar sa mga pinag-isang kaso, bawat isa ay kumakatawan sa isang koleksyon ng mga potensyal na konektadong alerto sa loob ng isang istraktura ng data. Mula doon, binibigyan ang mga analyst ng hanay ng mga playbook at mga opsyon sa remediation na idinisenyo upang mabawasan ang MTTR.
Ang cross-verification ng mga alerto ng Stellar Cyber ay nagbibigay ng mas malalim na konteksto, na nagbibigay-daan sa mga analyst na matukoy kung pinangangasiwaan nila ang isang tunay na pag-atake, mataas na panganib na pag-uugali, o hindi sinasadyang mga kaganapan. Tingnan kung paano mag-set up ng mga awtomatikong tugon at i-block kaagad ang nakakahamak na trapiko may demo ngayon.
