Stellar Cyber ​​Open XDR - logo
paghahanap
Isara ang box para sa paghahanap na ito.
Stellar Cyber ​​Open XDR - logo
Stellar Cyber ​​Open XDR - logo

Talaan ng nilalaman

Pag-log sa SIEM: Pangkalahatang-ideya at Pinakamahuhusay na Kasanayan

Ang Impormasyon sa Seguridad at Pamamahala ng Kaganapan (SIEM) ay isang mahalagang tool sa cybersecurity na nakasentro sa impormasyon ng seguridad na umiikot sa libu-libong mga endpoint, server, at application sa loob ng iyong organisasyon. Habang nakikipag-ugnayan ang mga end-user at device sa bawat touchpoint ng application, nag-iiwan sila ng mga digital fingerprint sa anyo ng mga log. Ang mga file na ito ay tradisyonal na gumaganap ng malaking papel sa pag-aayos ng bug at kontrol sa kalidad: pagkatapos ng lahat, nagbibigay sila ng impormasyon ng error mula mismo sa pinagmulan. Noong 2005, gayunpaman, nagsimulang matanto ng mga propesyonal sa seguridad ang tunay na potensyal na nasa maliliit na file na ito. Nagbibigay ang mga ito ng maraming real-time na data na maaaring i-feed sa SIEM logging na sumusubaybay sa naturang IT infrastructure. Mula noon, ang tradeoff sa pagitan ng visibility ng pagbabanta at dami ng log ng kaganapan ay maingat na tinatapakan ng mga propesyonal sa seguridad. Saklaw ng artikulong ito ang ilang pinakamahuhusay na kagawian para sa pamamahala ng log ng SIEM – kung saan maaabot ng iyong tool sa seguridad ang buong potensyal nito

Bakit Mahalaga ang SIEM

Ang pangunahing kahalagahan ng pamamahala ng log ng SIEM ay nakasalalay sa kakayahang mahusay na pag-aralan ang napakaraming mga log na ito, na nagbibigay-daan sa mga analyst ng seguridad na tumuon sa mga kritikal na banta. Bukod dito, ang mga sistema ng SIEM ay nag-normalize ng data sa magkakaibang mga kapaligiran ng enterprise para sa pinasimpleng pagsusuri, nagbibigay ng real-time at makasaysayang pagsusuri ng pagbabanta batay sa data ng log, magpadala ng mga awtomatikong alerto na priyoridad ayon sa kalubhaan kapag may nakitang mga potensyal na banta sa seguridad, at panatilihin ang mga detalyadong rekord na mahalaga para sa pagtugon sa insidente at forensic. mga pagsisiyasat. Sa esensya, ang pamamahala ng log ng SIEM ay kinakailangan para sa pagtatatag at pagpapanatili ng isang matatag at tumutugon na postura ng seguridad sa masalimuot na tanawin ng mga kontemporaryong kapaligiran ng IT.

Ano ang SIEM Logging at Paano Ito Gumagana?

Upang makapagbigay ng real-time na seguridad, ang SIEM software ay nagtitipon ng mga log mula sa maraming pinagmumulan at ipinapadala ang mga ito sa isang central logging system. Sa 'Ano ang SIEM?' sumagot, posibleng maghukay ng mas malalim sa iba't ibang pamamaraan na ginagamit ng SIEM tooling

Koleksyon ng Log na nakabatay sa ahente

Ang pagsasama-sama ng log na ito ay nangyayari sa lokal na antas. Ang mga ahente ay puno ng mga filter ng log at mga kakayahan sa normalisasyon, na nagbibigay-daan para sa higit na kahusayan sa mapagkukunan. Ang mga ahente ay karaniwang kumukuha ng mas kaunting bandwidth ng network, salamat sa katotohanan na ang data ng log ay na-compress sa mga batch.

Direktang Koneksyon

Ang walang ahente na pag-log - madalas na pinapadali ng mga protocol ng network o mga tawag sa API - ay isa pang anyo ng pag-log ng SIEM na nakikita ang programa ng SIEM na kumukuha ng mga log file nang direkta mula sa storage, kadalasan sa syslog na format. Ang mga benepisyo ay mula sa kadalian ng pag-deploy, hanggang sa pag-aalis ng pangangailangan para sa software o mga pag-update ng bersyon - ang opsyong ito ay kadalasang nag-aambag sa pinababang gastos sa pagpapanatili ng SIEM.

Mga Protokol ng Pag-stream ng Kaganapan

Bagama't ang parehong paraan ng pag-log na batay sa ahente at walang ahente ay nag-aalok ng mga natatanging paraan upang mangolekta ng data, muling kinokonsepto ng arkitektura na nakabatay sa kaganapan ang prosesong ito bilang mga daloy ng mga kaganapang naglalakbay sa isang ilog. Ang bawat kaganapan ay maaaring makuha at higit pang maproseso ng mga consumer sa ibaba ng agos. Ang NetFlow, isang protocol na ginawa ng Cisco, ay isang halimbawa ng diskarteng ito. Kinokolekta nito ang trapiko ng IP network sa tuwing ang isang interface ay ipinasok o lalabas. Ang pagsusuri ng data ng NetFlow ay nagbibigay ng kapangyarihan sa mga administrator ng network na makilala ang mga kritikal na impormasyon, kabilang ang pinagmulan at destinasyon ng trapiko, ang mga protocol na ginamit, at ang tagal ng komunikasyon. Kinokolekta ang data na ito sa pamamagitan ng isang NetFlow collector, na hindi lamang kumukuha ng mahahalagang detalye ng trapiko ngunit nagtatala rin ng mga timestamp, hiniling na mga packet, at ang entry at exit interface ng IP traffic.

Sa harap ng mga dumaraming sopistikadong pag-atake, ang streaming ng kaganapan ay gumaganap ng isang mahalagang papel sa pamamagitan ng pag-funnel ng komprehensibong impormasyon tungkol sa trapiko sa network sa mga panseguridad na device, kabilang ang mga susunod na henerasyong firewall (NGFW), intrusion detection at prevention system (IDS/IPS), at security web gateway ( SWG).

Sa pangkalahatan, ang pag-log ng SIEM ay lumalabas bilang isang mahalagang elemento sa modernong cybersecurity, na nag-aalok ng parehong real-time at makasaysayang pagsusuri ng pagbabanta batay sa data ng log. Gayunpaman, mahalagang tandaan ang mga pagkakaiba sa pagitan ng simpleng pamamahala ng lumang log at SIEM.

SIEM vs Log Management: Mga Pangunahing Pagkakaiba

Habang ang mga log ang bumubuo sa backbone ng mga kakayahan ng SIEM, mayroong pangunahing pagkakaiba sa pagitan ng mga proseso ng SIEM at pamamahala ng log. Kasama sa Log Management ang sistematikong pagkolekta, pag-iimbak, at pagsusuri ng data ng log na nagmula sa iba't ibang channel. Ang prosesong ito ay nag-aalok ng sentralisadong pananaw sa lahat ng data ng log at kadalasang ginagamit para sa mga layunin tulad ng pagsunod, pag-troubleshoot ng system, at kahusayan sa pagpapatakbo. Gayunpaman, ang mga sistema ng pamamahala ng log ay hindi likas na nagsasagawa ng pagsusuri sa data ng log - sa halip, nasa analyst ng seguridad na bigyang-kahulugan ang impormasyong ito at hatulan ang bisa ng mga potensyal na banta.

Isinasagawa ng SIEM ang prosesong ito nang isang hakbang sa pamamagitan ng cross-referencing na mga log ng kaganapan na may impormasyon sa konteksto na nauugnay sa mga user, asset, pagbabanta, at kahinaan. Ito ay nakakamit sa pamamagitan ng magkakaibang hanay ng mga algorithm at teknolohiya para sa pagkilala sa pagbabanta:
  • Pagwawasto ng Kaganapan nagsasangkot ng paggamit ng mga sopistikadong algorithm upang pag-aralan ang mga kaganapan sa seguridad, pagtukoy ng mga pattern o relasyon na nagpapahiwatig ng mga potensyal na banta at pagbuo ng mga real-time na alerto.

  • User and Entity Behavior Analytics (UEBA) umaasa sa mga algorithm ng machine learning upang magtatag ng baseline ng mga normal na aktibidad na partikular sa mga user at sa network. Ang anumang mga paglihis mula sa baseline na ito ay na-flag bilang mga potensyal na banta sa seguridad, na nagbibigay-daan para sa kumplikadong pagkilala sa banta at ang pagtukoy ng paggalaw sa gilid.

  • Security Orchestration and Automation Response (SOAR) nagbibigay-daan sa mga tool ng SIEM na awtomatikong tumugon sa mga banta, na inaalis ang pangangailangang maghintay para sa isang security technician na magrepaso ng mga alerto. Ang automation na ito ay nag-streamline ng pagtugon sa insidente at isang mahalagang bahagi ng SIEM.

  • Browser Forensics at Network Data Analysis gamitin ang mga advanced na kakayahan sa pagtuklas ng pagbabanta ng SIEM upang matukoy ang mga masasamang loob. Kabilang dito ang pagsusuri sa browser forensics, data ng network, at mga log ng kaganapan upang ipakita ang mga potensyal na plano sa pag-atake sa cyber.

Aksidenteng Insider Attack

Ang isang halimbawa ng kung paano maisasagawa ang bawat bahagi ay isang hindi sinasadyang pag-atake ng tagaloob.

Nagaganap ang mga pag-atake na ito kapag hindi sinasadyang tinulungan ng mga indibidwal ang mga panlabas na malisyosong aktor sa pagsulong sa panahon ng pag-atake. Halimbawa, kung mali ang pagsasaayos ng isang empleyado ng firewall, maaari nitong ilantad ang organisasyon sa mas mataas na kahinaan. Ang pagkilala sa kritikal na kahalagahan ng mga configuration ng seguridad, ang isang SIEM system ay maaaring makabuo ng isang kaganapan sa tuwing may gagawing pagbabago. Ang kaganapang ito ay itataas sa isang security analyst para sa masusing pagsusuri, na tinitiyak na ang pagbabago ay sinadya at wastong ipinatupad, sa gayon ay nagpapatibay sa organisasyon laban sa mga potensyal na paglabag na nagmumula sa hindi sinasadyang mga aksyon ng tagaloob.

Sa mga kaso ng tahasang pag-takeover ng account, pinapayagan ng UEBA ang pagtuklas ng mga kahina-hinalang aktibidad gaya ng mga system sa pag-access ng account sa labas ng kanilang karaniwang pattern, pagpapanatili ng maraming aktibong session, o paggawa ng anumang mga pagbabago sa root access. Sa kaganapan ng isang banta na aktor na sumusubok na palakihin ang mga pribilehiyo, isang sistema ng SIEM ay agad na pinapataas ang impormasyong ito sa pangkat ng seguridad, na nagpapadali sa mabilis at epektibong pagtugon sa mga potensyal na banta sa seguridad.

Pinakamahuhusay na Kasanayan sa Pag-log ng SIEM

Ang SIEM ay gumaganap ng isang mahalagang papel sa diskarte sa cybersecurity ng isang organisasyon, ngunit ang pagpapatupad nito ay nangangailangan ng isang matalinong diskarte sa mga log at mga panuntunan sa ugnayan sa gitna ng naturang software.

#1. Piliin ang Iyong Mga Kinakailangang May Patunay ng Konsepto

Kapag sumusubok ng bagong tool ng SIEM, ang Proof of Concepts ay nagbibigay ng lugar ng pagsubok. Sa yugto ng PoC, napakahalaga na personal na idirekta ang mga log sa sistema ng SIEM upang masukat ang kakayahan ng solusyon na gawing normal ang data ayon sa mga partikular na kinakailangan. Ang prosesong ito ay maaaring palakasin sa pamamagitan ng pagsasama ng mga kaganapan mula sa hindi karaniwang mga direktoryo sa loob ng viewer ng kaganapan.

Ang POC na ito ay kung saan posibleng matukoy kung ang koleksyon ng log na batay sa ahente ay pinakamainam para sa iyo. Kung umaasa kang makakalap ng mga log sa Wide Area Network (WAN) at sa pamamagitan ng mga firewall, ang paggamit ng ahente para sa pagkolekta ng log ay maaaring mag-ambag sa pagbawas sa paggamit ng CPU ng server. Sa kabilang banda, ang pagkolekta ng walang ahente ay makapagpapaginhawa sa iyo ng mga hinihingi sa pag-install ng software, at magreresulta sa mas mababang gastos sa pagpapanatili.

#2. Kolektahin ang Tamang Log sa Tamang Daan

Tiyakin na ang SIEM system ay nangangalap, nagsasama-sama, at nagsusuri ng data sa real-time mula sa lahat ng nauugnay na mapagkukunan, kabilang ang mga application, device, server, at user. Bagama't ang data ay isang mahalagang bahagi ng kapasidad ng SIEM, maaari mo pa itong suportahan sa pamamagitan ng pagtiyak na saklaw ang bawat aspeto ng iyong organisasyon.

#3. Mga Secure na Endpoint Log

Ang isang madalas na nakakaharap na balakid sa mga endpoint log ay nakasalalay sa kanilang patuloy na pagbabago, kapag ang mga system ay paulit-ulit na nadidiskonekta sa network, tulad ng kapag ang mga workstation ay pinaandar o ang mga laptop ay ginagamit nang malayuan. Bukod dito, ang administratibong pasanin ng endpoint log collection ay nagdaragdag ng tunay na antas ng pagiging kumplikado. Upang matugunan ang hamon na ito, ang Windows Event Log Forwarding ay maaaring gamitin upang magpadala ng isang sentralisadong sistema nang hindi nangangailangan ng pag-install ng ahente o karagdagang mga tampok, dahil likas itong magagamit sa loob ng base Windows operating system.

Ang diskarte ng Stellar Cyber ​​sa mga endpoint log ay sumusuporta sa magkakaibang hanay ng mga endpoint log, kabilang ang Endpoint Detection and Response (EDR). Sa pamamagitan ng paglalapat ng iba't ibang mga daanan ng alerto sa ilang partikular na subset sa iba't ibang produkto ng EDR, mas nagiging posible ang tumpak at tumpak na paglilinis ng impormasyon sa log ng endpoint.

#4. Abangan ang PowerShell

Ang PowerShell, na ngayon ay nasa lahat ng dako sa bawat Windows instance mula sa Windows 7 pasulong, ay naging isang kilalang tool para sa mga umaatake. Gayunpaman, mahalagang tandaan na ang PowerShell, bilang default, ay hindi nagla-log ng anumang mga aktibidad - dapat itong tahasang pinagana.

Ang isang opsyon sa pag-log ay ang Module Logging, na nagbibigay ng detalyadong impormasyon sa pagpapatupad tungkol sa pipeline, na sumasaklaw sa variable initialization at command invocations. Sa kabaligtaran, komprehensibong sinusubaybayan ng Script Block Logging ang lahat ng aktibidad ng PowerShell, kahit na isinagawa sa loob ng mga script o block ng code. Ang parehong mga ito ay kailangang isaalang-alang upang makagawa ng tumpak na data ng pagbabanta at pag-uugali.

#5. Sulitin ang Sysmon

Mahalaga ang mga Event ID sa pagbibigay ng karagdagang konteksto sa bawat kahina-hinalang aksyon. Nagbibigay ang Microsoft Sysmon ng malalim na impormasyon ng kaganapan tulad ng paggawa ng proseso, koneksyon sa network, at mga hash ng file. Kapag maayos na naiugnay, makakatulong ito sa pag-detect ng walang file na malware na maaaring makaiwas sa anti-virus at mga firewall.

#6. Alerto at Tumugon

Sa kabila ng analytical power na ibinibigay ng machine learning sa mga tool ng SIEM, mahalagang i-contextualize ito sa mas malawak na saklaw ng iyong pangkalahatang seguridad. Ang pinuno nito ay ang iyong mga security analyst - isang plano sa pagtugon sa insidente ay nagbibigay ng tahasang mga alituntunin para sa bawat stakeholder, na nagbibigay-daan sa tuluy-tuloy at epektibong pagtutulungan ng magkakasama.

Ang plano ay dapat magtalaga ng isang nakatataas na pinuno bilang pangunahing awtoridad na responsable para sa paghawak ng insidente. Bagama't maaaring magtalaga ng awtoridad ang indibidwal na ito sa iba pang kasangkot sa proseso ng paghawak ng insidente, dapat na tahasang tukuyin ng patakaran ang isang partikular na posisyon na may pangunahing responsibilidad para sa pagtugon sa insidente.

Mula doon, bumaba ito sa mga pangkat ng pagtugon sa insidente. Sa kaso ng isang malaking pandaigdigang kumpanya, maaaring mayroong marami, ang bawat isa ay nakatuon sa mga partikular na heyograpikong lugar at may tauhan na may dedikadong tauhan. Sa kabilang banda, ang mga maliliit na organisasyon ay maaaring mag-opt para sa isang solong sentralisadong koponan, na gumagamit ng mga miyembro mula sa iba't ibang bahagi ng organisasyon sa isang part-time na batayan. Ang ilang organisasyon ay maaari ding magpasya na i-outsource ang ilang partikular o lahat ng aspeto ng kanilang mga pagsusumikap sa pagtugon sa insidente.

Ang pagpapanatiling kooperatiba ng lahat ng mga koponan ay mga playbook, na nagsisilbing pundasyon ng mga mature na tugon sa insidente. Sa kabila ng kakaibang katangian ng bawat insidente sa seguridad, ang karamihan ay may posibilidad na sumunod sa mga karaniwang pattern ng aktibidad, na ginagawang lubos na kapaki-pakinabang ang mga standardized na tugon. Habang nagaganap ito, binabalangkas ng isang plano sa komunikasyon sa pagtugon sa insidente kung paano nakikipag-usap ang iba't ibang grupo sa panahon ng isang aktibong insidente - kabilang ang kung kailan dapat kasangkot ang mga awtoridad.

5. Tukuyin at Pinuhin ang Mga Panuntunan sa Pag-uugnay ng Data

Nagsisilbing isang direktiba para sa system ang isang tuntunin sa ugnayan ng SIEM, na nagsasaad ng mga pagkakasunud-sunod ng mga kaganapan na maaaring magmungkahi ng mga anomalya, potensyal na kahinaan sa seguridad, o isang pag-atake sa cyber. Nagti-trigger ito ng mga notification sa mga administrator kapag natugunan ang mga partikular na kundisyon, gaya ng paglitaw ng mga kaganapang "x" at "y" o "x," "y," at "z". Dahil sa napakaraming log na nagdodokumento ng mga parang pangmundo na aktibidad, ang isang mahusay na idinisenyong panuntunan sa ugnayan ng SIEM ay napakahalaga upang suriin ang ingay at matukoy ang mga pagkakasunud-sunod ng mga kaganapan na nagpapahiwatig ng isang potensyal na cyberattack.

Ang mga panuntunan sa ugnayan ng SIEM, tulad ng anumang algorithm ng pagsubaybay sa kaganapan, ay may potensyal na makagawa ng mga maling positibo. Maaaring mag-aksaya ng oras at lakas ng mga administrador ng seguridad ang sobrang mga maling positibo, ngunit hindi praktikal ang pagkamit ng mga zero false positive sa isang gumaganang SIEM nang maayos. Samakatuwid, kapag nagko-configure ng mga panuntunan sa ugnayan ng SIEM, mahalagang magkaroon ng balanse sa pagitan ng pag-minimize ng mga maling positibong alerto at pagtiyak na walang mga potensyal na anomalya na nagpapahiwatig ng isang cyber attack ang hindi mapapansin. Ang layunin ay i-optimize ang mga setting ng panuntunan upang mapahusay ang katumpakan sa pagtuklas ng pagbabanta habang iniiwasan ang mga hindi kinakailangang abala na dulot ng mga maling positibo.

Next-gen SIEM at Log Management kasama ang Stellar Cyber

Isinasama ng platform ng Stellar Cyber ​​ang Next-Gen SIEM bilang isang likas na kakayahan, na nag-aalok ng pinag-isang solusyon sa pamamagitan ng pagsasama-sama ng maraming tool, kabilang ang NDR, UEBA, Sandbox, TIP, at higit pa, sa isang platform. Ang pagsasamang ito ay nag-streamline ng mga operasyon sa isang magkakaugnay at naa-access na dashboard, na humahantong sa isang makabuluhang pagbawas sa mga gastos sa kapital. Ang aming SIEM log management ay pinapagana ng automation na nagbibigay-daan sa mga team na manatiling nangunguna sa mga banta, habang ang disenyo ng Next Gen SIEM ay nagbibigay-kapangyarihan sa mga team na epektibong labanan ang mga modernong pag-atake. Upang matuto nang higit pa, maaari kang mag-book ng demo para sa aming Next Gen SIEM Platform.

Mag-scroll sa Tuktok