SIEM Правила кореляції: покращення виявлення загроз

Журнали відображають активність кожного куточка вашого підприємства в режимі реального часу. Кожен журнал аудиту містить інформацію про активність користувача, параметри, ресурси та час, що робить їх справжньою золотою жилою даних. Однак їх використання для захисту підприємств вимагає більше, ніж просто даних: журнали потрібно об’єднати та ідентифікувати як безпечні чи шкідливі – і все це до того, як зловмисник зможе розгорнути корисне навантаження або викрасти дані. Саме тут правила кореляції стануть у пригоді.

В аналітиці кореляція – це будь-який зв’язок між двома елементами, який відбувається шляхом відображення зв’язку між кожним фрагментом даних журналу та створення SIEM правила кореляції, ваші SIEM здатний послідовно контролювати кожну точку даних відносно одна одної. Зрештою, ці послідовності ідентифікуються як безпечні або потенційно шкідливі шляхом додавання правил поверх цих даних. Хороший трафік дозволено, тоді як поганий або підозрілий трафік позначено як такий – і заблоковано.

Дані наступного покоління у форматі pdf.webp

Наступне покоління SIEM

Зоряний кібернетичний наступного покоління SIEM, як критичний компонент Зоряної Кіберсистеми Open XDR Платформа ...

Завантажити Лист даних
демо-зображення.webp

Відчуйте безпеку на базі штучного інтелекту в дії!

Відкрийте для себе передовий штучний інтелект Stellar Cyber ​​для миттєвого виявлення загроз та реагування на них. Заплануйте свою демонстрацію вже сьогодні!

Заплануйте демонстрацію

Як SIEM Правила кореляції працюють

Якщо колоди є його паливом, то SIEM правила кореляції – це колеса вашого SIEM – вони є його рушійною силою. Але як водій, вам потрібно точно знати, як SIEM роботи з кореляцією логарифмів та різні стилі на вибір.

Крок 1: Централізація журналів

Журнали з усіх ваших систем збираються та пересилаються до SIEMЦе стало можливим завдяки датчикам та агентам – невеликим програмним забезпеченням, встановленим на кінцевих пристроях, мережах та серверах, які пасивно контролюють пакети даних, що передаються мережею, та дії, що виконуються на пристроях. На цьому кроці SIEM Інструмент починає процес перенесення цих журналів до центрального механізму аналізу.

Крок 2: Нормалізація даних

Хоча журнали охоплюють кожен аспект вашої інфраструктури, вона все ще складається з дуже різних програм, серверів та обладнання, кожне з яких має свій унікальний формат для переліку записів журналу. Журнали подій з різних джерел можуть мати разюче різні інформаційні поля та структури даних. Другий крок до SIEM Кореляція нормізує ці показники, що працює шляхом розбору різних журналів у узгоджений, стандартизований формат.

Чим ефективніша нормалізація цих даних журналу, тим швидше SIEM може розпочати аналіз та застосування методів виявлення загроз.

Крок 3: Кореляція даних

Після отримання всіх даних журналу механізм кореляції може бачити, як вони відповідають поширеним шаблонам. Деякі SIEM Інструменти достатньо далеко ідентифікують лише окремі рядки, але більш просунуті пропозиції, такі як Stellar, додають другий рівень кореляції, який враховує інші атрибути, такі як параметри запиту та відповіді. Це допомагає зміцнити зв'язок між поведінкою та відповідною сутністю.

Це досить складний процес, тому розглянемо кореляцію даних у контексті реальної атаки: розглянемо спроби зловмисника отримати доступ до підприємства методом грубої сили через свого постачальника послуг керування ідентифікацією та доступом (IAM). Поведінка, що стосуються цього, може включати кампанію безперервних спроб входу для отримання доступу (дія A), за якою йде успішний вхід (дія B). Далі вони можуть перейти до консолі адміністратора та створити нового користувача з підвищеними привілеями або ініціювати низку сканувань портів, щоб виявити слабкі місця та конфіденційні ресурси. Назвемо цю дію C.

Кореляція на основі правил дозволяє розмістити кожну техніку, тактику та процедуру (ТТП) у послідовності: ці послідовні кореляції можуть потім ініціювати дію правила, яка передається аналітику через сповіщення. Саме спосіб об'єднання цих атрибутів визначає можливості ідентифікації SIEM інструмент.

Кореляція на основі правил проти поведінкової кореляції

Дії, пов'язані з атакою, яку ми щойно розглянули, можна виявити двома способами: перший – за допомогою правила, яке чітко вказує: «якщо за дією A слідує B, а потім C, запускати сповіщення». Це дуже добре працює, якщо аналітики заздалегідь знають про можливість цієї атаки та мають приблизне уявлення про те, яку TTP може обрати зловмисник.

Однак, це не єдиний підхід: таку атаку методом грубої сили також можна виявити за допомогою більш загального правила «якщо набір дій відхиляється від звичайної поведінки автентифікації кінцевого користувача, запускати сповіщення». Це правило спирається на SIEM мати історичне розуміння того, як зазвичай діє кінцевий користувач; тепер це можливо завдяки обробці цих централізованих журналів за допомогою алгоритму машинного навчання. Завдяки цьому стає дуже легко встановити щоденні закономірності поведінки користувача, пристрою та трафіку, а отже, використовувати кореляцію поведінки як основу для SIEM правила. Поведінкова кореляція часто використовується для отримання «оцінки ризику», для якої аналітики встановлюють прийнятний поріг.

Оскільки ми подвоїли кількість різних підходів, які ми можемо використовувати для виявлення загроз, зараз як ніколи важливо активно підтримувати вашу SIEM правила скорочені та високофункціональні – нижче ми обговоримо, як найкраще цього досягти.

Переваги SIEM Правила кореляції для виявлення загроз

bSIEM Правила кореляції дозволяють виявляти практично будь-які ТТП, але вам потрібно мати про них приблизне уявлення заздалегідь. Давайте заглибимося в деякі з них і визначимо переваги, які пропонують правила кореляції, а також те, де поведінкові моделі Stellar Cyber ​​можуть бути вдосконалені. SIEM виявлення загроз.

Виявлення загроз на основі сигнатур

Переважна більшість атак не є особливо унікальними: копіювання та вставка шкідливого коду з боку опортуністичних зловмисників настільки поширені, що їх прозвали «скриптовими дітьми». Ось чому переважна більшість SIEM Захист поверхні атаки здійснюється за допомогою виявлення на основі сигнатур.

Репозиторії сайтів із сигнатурами шкідливих програм постійно розширюються: однією з найвідоміших є база даних M&TRE ATTACK. Вона визначає конкретні підходи, що використовуються зловмисниками, і таким чином надає фахівцям з безпеки базу даних з відкритим кодом для SIEM правила. Ці набори правил базуються на визначенні шаблонів відомої шкідливої ​​поведінки.

Однак, чим поширеніше SIEM Чим більше правило, тим більше зосереджуватимуться зловмисники на його обході. Це ставить правила кореляції в постійну гонку між зловмисником та аналітиком безпеки. І якщо команда безпеки почне створювати забагато правил, вона ризикує бути завалена SIEM помилкові спрацьовування.
Stellar Cyber ​​усуває старі труднощі, з якими стикається чисто кореляційно-орієнтований аналіз. SIEMшляхом додавання ще одного рівня аналізу машинного навчання. Аналітики можуть охопити якомога більше баз за допомогою правил кореляції, а потім другий рівень аналізу оцінює ширший контекст кожного сповіщення, щоб визначити його легітимність.

Попередньо заповнені правила для реальних загроз

Правила кореляції спеціально розроблені для виявлення поширених загроз, які хакери використовують знову і знову для спроби доступу до ресурсів. Однак ІТ-команда окремого підприємства може не мати найактуальнішого розуміння реальних TTP. Зрештою, розвідка загроз вимагає постійного збору, обробки та застосування даних про зловмисників, методи та індикатори компрометації.

Ось чому попередньо підготовлені правила кореляції є такою перевагою: ці попередньо заповнені підходи побудовані на макроогляді вашої галузі та ширшого простору загроз. Кожну варіацію поведінки можна позначити та пов’язати з її типом сповіщення, таким чином зменшуючи спорадичний характер сповіщень журналу до більш спрощеного цілого.

Відповідність вимогам щодо даних та доступу

Організації практично в кожній галузі повинні демонструвати, що вони дотримуються певних законів, правил і норм, і вони змінюються залежно від галузі, в якій ви працюєте. Європейські філії повинні стежити за GDPR, тоді як будь-який бізнес, орієнтований на платежі, повинен відповідати стандарту PCI DSS.
GDPR – це один із найсуворіших та найширших регламентів, що вимагає безпеки даних у всіх технічних процесах організації. Тому що SIEM Оскільки журнали враховують усі активи та облікові записи користувачів організації, вона має унікальні можливості для досягнення цієї мети.

Справжня перевага правил кореляції полягає в їх універсальному застосуванні. Надсилаючи сповіщення щоразу, коли виявляється набір аномальних журналів, це дає аналітикам завчасне попередження про потенційні проблеми з дотриманням вимог. Можливість розробляти власні правила також дозволяє включати правила дотримання вимог у вашу структуру безпеки з самого початку. Якщо стандарт PCI DSS вимагає від вас постійно оновлювати всі засоби захисту від шкідливого програмного забезпечення кінцевих точок, впровадьте... SIEM правило, яке сповіщає вас, коли рішення для захисту від шкідливого програмного забезпечення не оновлено. Більш розширені SIEM інструменти дозволяють автоматизувати весь цей процес, зберігаючи при цьому судово-медичний файл про його дії. Прискорення, що забезпечується SIEMЦе особливо важливо в контексті таких нормативних актів, як GDPR, оскільки воно надає короткий 72-годинний період для інформування та вирішення інцидентів безпеки.

Багатоетапні атаки та виявлення вдосконалених постійних загроз (APT)

Окремі правила кореляції досить прості, але саме деталізація журналів дозволяє досягати набагато точнішої роздільної здатності та усунення наслідків. Саме тут складені правила можуть бути чудовими для виявлення складніших загроз: вони об'єднують кілька правил разом, щоб зосередитися на певній поведінці в певному контексті. Наприклад, якщо X спроб входу на одній робочій станції (і з тією ж IP-адресою) зазнають невдачі протягом X хвилин і використовуються різні імена користувачів, а також якщо успішний вхід відбувається на будь-якому комп'ютері в мережі з тієї ж IP-адреси, це викличе сповіщення.

Композитні правила можуть бути життєво важливими для блокування точок входу APT. Саме тоді зловмисник отримує початковий доступ до мережі організації, знаходить безпечну точку доступу, а потім просто нічого з нею не робить. Хоча загроза може виглядати прихованою, вона, ймовірно, просто чекає на слушний момент – або навіть покупця для поточного експлойту. Коли зловмисник вирішить, він може просто пройти повз брандмауер і викрасти дані або розгорнути шкідливе програмне забезпечення, оскільки його обліковий запис або дії вважаються безпечними.
Прості правила кореляції традиційно були ненадійними для виявлення APT; якщо аналітики не знають про потенційну TTP, вони навряд чи виявлять загрозу.

Отже, найнадійніший підхід виходить за рамки складених правил: сучасні моделі поведінки дозволяють враховувати минулі дії в механізмі аналізу. Поточний аналіз вхідного та вихідного мережевого трафіку дозволяє позначити будь-яке відхилення від очікуваних дій користувача як ризиковане.

Найкращі практики для будівництва SIEM Правила кореляції

індивідуальні умови SIEM правила життєво важливі для того, щоб зробити ваше SIEM унікальний для структури та профілю ризиків вашого підприємства. Під час побудови SIEM Згідно з правилами кореляції, важливо знайти баланс між зменшенням кількості хибнопозитивних сповіщень та не пропустити жодних можливих аномалій, які можуть свідчити про кібератаку.

Пріоритезуйте випадки використання

Під час першої адаптації SIEM до вашого підприємства, SIEM Найкращі практики вимагають мати чітке уявлення про точні випадки використання вашого SIEM вирішить. Ці варіанти використання, відсортовані за пріоритетом, потрібно доопрацювати, а попередньо розроблені правила оцінити, наскільки добре вони відповідають вашому підприємству. Після цього ви можете почати редагувати або додавати до кожного вужчого розділу правил кореляції.

Якщо ви не знаєте, які конкретні методи атаки можуть бути використані проти вас, перегляньте MITER ATT&CK or Кіберланцюг вбивств LockheedОбидва виконують величезну роботу з надзвичайно детального каталогізації конкретних підходів та експлойтів зловмисників.

Використовуйте свій брандмауер

Правила кореляції отримують величезну користь від журналів брандмауера: сама лише активність брандмауера може сприяти виявленню скомпрометованих кінцевих точок. Ось кілька прикладів правил кореляції, які використовують ці дані:
    • A «Шахрайський сервер імен» Правило повинно відстежувати будь-який пристрій, який намагається отримати доступ до DNS-застосунку з місця призначення, відмінного від внутрішніх корпоративних DNS-серверів. Внутрішні пристрої слід налаштувати на використання лише корпоративних DNS-серверів, які потім за потреби звертаються до Інтернету для розпізнавання невідомих доменів.

    • A «Несанкціонований проксі-сервер» Це правило повинно враховувати брандмауери периметра для будь-якого трафіку з підмережі локальної мережі, що прямує до Інтернету через TCP-порти 80/443, або для перегляду веб-сторінок та SSL-додатків. В ідеалі, має бути дозволений лише трафік із призначеного проксі-сервера; будь-яка інша IP-адреса джерела, яка намагається встановити цей тип з'єднання, може свідчити про спробу обійти безпеку, будь то користувачем чи шкідливим програмним забезпеченням.

    • A «Трафік ботнету» Правило може ідентифікувати старіше програмне забезпечення для командування та контролю (C2), яке використовує Internet Relay Chat (IRC) для керування. Хоча IRC не є шкідливим за своєю суттю, його присутність у корпоративній мережі часто викликає підозру. Це правило має викликати сповіщення, якщо будь-який вихідний або цільовий хост використовує IRC, хоча деякі комп'ютери мережевого адміністрування можуть потребувати виключень.

Мінімізувати відкриті порти

За замовчуванням датчики, що прослуховують порт 514, аналізують вхідні журнали; це допомагає ідентифікувати вихідний пристрій. Вказівка ​​більш цільового порту для вашого типу журналу, замість використання порту 514, пропонує кілька переваг. Це пришвидшує отримання даних та аналіз журналу, покращуючи продуктивність датчика, оскільки датчик може миттєво ідентифікувати вихідний пристрій. І останнє, але не менш важливе: базування правила кореляції на правильному порту має надзвичайно важливе значення для збереження інформації журналу.

Натомість виберіть відповідний порт залежно від їхнього формату:

    • Загальний формат подій (CEF), розширений формат журналу подій (LEEF) або JSON: для цих типів журналів пересилайте дані на порт, призначений для цього стандарту.
    • Стандартні журнали формату Syslog: використовуйте порт, призначений для конкретного постачальника.
    • Для спеціалізованих форматів, таких як Syslog у поєднанні з регулярними виразами, парами ключ-значення або CSV, використовуйте порти, специфічні для постачальника.

    Полювання на загрози

    Впровадження проактивного пошуку загроз разом із добре налаштованим SIEM Система значно покращує свої можливості виявлення загроз, додаючи значної ваги аналітичній потужності автоматизованого аналізу журналів. Хоча правильно налаштована SIEM може ефективно відстежувати та попереджати про багато відомих загроз, а додавання автоматизованого полювання на загрози дозволяє виявляти складні, постійно розвиваються або приховані атаки, які можуть обійти стандартні правила кореляції.

    Полювання на загрози SIEM Наприклад, Stellar Cyber ​​моделює реальний потенціал атаки сповіщення або аномалії після їх генерації: цей постійний процес перевірки допомагає забезпечити точність, адаптивність та ефективність правил кореляції проти нових методів атак. Він також впливає на те, як визначаються пріоритети сповіщень, і дає аналітикам основу для ручного пошуку загроз. Аналітики можуть шукати в записі «пісочниці» шкідливого програмного забезпечення, щоб виявити спроби атак, що дає їм більш обґрунтоване уявлення про атаку, яка була використана проти них.

    Інтеграція для швидкого реагування

    Інтеграція a SIEM у рамках ширшого технологічного стеку покращує його здатність ефективно виявляти, аналізувати та реагувати на загрози. Це може включати поєднання SIEM за допомогою таких інструментів, як виявлення та реагування на кінцеві точки (EDR), платформи розвідки загроз, системи реагування на інциденти та рішення для оркестрації, автоматизації та реагування на загрози (SOAR). Ще краще те, що інтеграція з інструментами безпеки прокладає шлях для автоматизованого реагування на загрози – провідного напрямку Stellar Cyber.

    Виходьте за рамки основних правил з кейсами Stellar Cyber

    Stellar Cyber ​​використовує мультимодальний підхід до створення правил: пропонуючи багатошаровий набір правил кореляції та поведінковий аналіз на основі машинного навчання, він повною мірою використовує всі журнали, що генеруються в межах вашого підприємства. Сповіщення створюються, коли дані журналів запускають окремі правила, але Stellar співвідносить їх в уніфіковані випадки, кожен з яких представляє собою колекцію потенційно пов'язаних сповіщень в межах однієї структури даних. Звідси аналітики отримують набір сценаріїв та варіантів виправлення, розроблених для мінімізації MTTR.

    Перехресна перевірка сповіщень Stellar Cyber ​​надає глибший контекст, дозволяючи аналітикам визначити, чи мають вони справу зі справжньою атакою, поведінкою високого ризику чи просто випадковими подіями. Дізнайтеся, як налаштувати автоматичні відповіді та негайно блокувати шкідливий трафік. з демонстрацією сьогодні.

    Звучить занадто добре, щоб
    бути правдою?
    Подивіться самі!

    Запит на демонстрацію
    Прокрутка до початку
    Підпишіться на розсилку