SIEM Ведення журналу: огляд та найкращі практики
- Ключові виноски:
-
Які SIEM найкращі практики ведення журналу?
Збирайте журнали з критично важливих систем, нормалізуйте формати та забезпечуйте централізовану видимість. -
Чому організації повинні пріоритезувати якість журналів над їх кількістю?
Релевантні, високоточні журнали зменшують шум і підвищують точність виявлення загроз. -
Які ключові міркування щодо зберігання журналів?
Вимоги до дотримання вимог, ефективність зберігання та вимоги до судово-медичної експертизи. -
Чому важливе збагачення колод?
Це додає контекст до необроблених даних, що робить виявлення та розслідування ефективнішими. -
Які поширені помилки реєстрації?
Надмірний збір даних без нормалізації, ігнорування критично важливих джерел та слабка політика зберігання. -
Як оптимізує Stellar Cyber SIEM лісозаготівля?
Він використовує Interflow™ для збагачення журналів метаданими та ефективного їх зберігання в централізованому озері даних.
Інформація про безпеку та управління подіями (SIEM) – це ключовий інструмент кібербезпеки, який централізує інформацію про безпеку, що циркулює навколо тисяч кінцевих точок, серверів і програм у вашій організації. Коли кінцеві користувачі та пристрої взаємодіють з кожною точкою дотику програм, вони залишають цифрові відбитки у вигляді журналів. Ці файли традиційно відігравали важливу роль у виправленні помилок і контролі якості: зрештою, вони надають інформацію про помилки безпосередньо з джерела.
Однак у 2005 році фахівці з безпеки почали усвідомлювати справжній потенціал цих невеликих файлів. Вони надають безліч даних у режимі реального часу, які можна використовувати для… SIEM ведення журналу, який контролює таку ІТ-інфраструктуру. Відтоді фахівці з безпеки ретельно вирішували питання компромісу між видимістю загроз та обсягом журналу подій. У цій статті буде розглянуто кілька найкращих практик для SIEM керування журналами – за допомогою якого ваші засоби безпеки можуть повністю реалізувати свій потенціал
Наступне покоління SIEM
Зоряний кібернетичний наступного покоління SIEM, як критичний компонент Зоряної Кіберсистеми Open XDR Платформа ...
Відчуйте безпеку на базі штучного інтелекту в дії!
Відкрийте для себе передовий штучний інтелект Stellar Cyber для миттєвого виявлення загроз та реагування на них. Заплануйте свою демонстрацію вже сьогодні!
Чому SIEM Питання
Головне значення SIEM Управління журналами полягає в його здатності ефективно аналізувати величезні обсяги цих журналів, що дозволяє аналітикам безпеки зосередитися на критичних загрозах. Більше того, SIEM Системи нормалізують дані в гетерогенних корпоративних середовищах для спрощеного аналізу, забезпечують аналіз загроз у реальному часі та в історичному вигляді на основі даних журналів, надсилають автоматичні сповіщення з пріоритетом за серйозністю, коли виявляються потенційні загрози безпеці, та ведуть детальні записи, необхідні для реагування на інциденти та судово-медичних розслідувань. По суті, SIEM Управління журналами є вкрай важливим для створення та підтримки надійної та адаптивної системи безпеки в складному ландшафті сучасних ІТ-середовищ.
Що SIEM Ведення журналу та як воно працює?
Щоб забезпечити безпеку в режимі реального часу, SIEM Програмне забезпечення збирає журнали з кількох джерел і передає їх до центральної системи реєстрації. За допомогою 'Що SIEM? ' відповідь, можна глибше зануритися в різні методи, що використовуються SIEM інструменти
Збір журналів на основі агентів
Пряме з'єднання
Протоколи потокової передачі подій
Хоча методи реєстрації на основі агентів та без агентів пропонують різні способи збору даних, архітектура на основі подій переосмислює цей процес як потоки подій, що проходять через річку. Кожну подію можуть фіксувати та додатково обробляти споживачі нижче за течією. NetFlow, протокол, розроблений Cisco, є одним із прикладів такого підходу. Він збирає IP-трафік мережі щоразу, коли відбувається вхід або вихід з інтерфейсу. Аналіз даних NetFlow дозволяє мережевим адміністраторам розпізнавати критичну інформацію, включаючи джерело та пункт призначення трафіку, використані протоколи та тривалість зв'язку. Ці дані збираються за допомогою колектора NetFlow, який не лише фіксує важливі деталі трафіку, але й записує позначки часу, запитувані пакети, а також вхідні та вихідні інтерфейси IP-трафіку.
В умовах дедалі складніших атак потокова передача подій відіграє вирішальну роль, надсилаючи вичерпну інформацію про мережевий трафік до пристроїв безпеки, включаючи брандмауери наступного покоління (NGFW), системи виявлення та запобігання вторгненням (IDS/IPS) та веб-шлюзи безпеки (SWG).
У цілому, SIEM Ведення журналу стає ключовим елементом сучасної кібербезпеки, пропонуючи аналіз загроз як у режимі реального часу, так і в історичних даних на основі даних журналу. Однак важливо пам’ятати про відмінності між звичайним керуванням журналами та SIEM.
SIEM проти управління журналами: ключові відмінності
Хоча колоди утворюють основу SIEM можливостей, існує ключова різниця між процесами SIEM та управління журналами. Управління журналами включає систематичний збір, зберігання та аналіз даних журналів, отриманих з різних каналів. Цей процес пропонує централізоване уявлення про всі дані журналів і переважно використовується для таких цілей, як відповідність вимогам, усунення несправностей системи та підвищення операційної ефективності. Однак системи управління журналами по суті не проводять аналіз даних журналів – радше, аналітик безпеки повинен інтерпретувати цю інформацію та оцінювати обґрунтованість потенційних загроз.
SIEM просуває цей процес на новий рівень, зіставляючи журнали подій з контекстною інформацією, що стосується користувачів, активів, загроз та вразливостей. Це досягається за допомогою різноманітних алгоритмів та технологій для виявлення загроз:
- Кореляція подій передбачає використання складних алгоритмів для аналізу подій безпеки, виявлення закономірностей або зв'язків, що вказують на потенційні загрози, та генерування сповіщень у режимі реального часу.
- Аналіз поведінки користувачів та сутностей (UEBA) спирається на алгоритми машинного навчання для встановлення базового рівня нормальної діяльності, характерної для користувачів і мережі. Будь-які відхилення від цього базового рівня позначаються як потенційні загрози безпеці, що дозволяє проводити складну ідентифікацію загроз і виявляти нестандартні дії.
- Оркестрація безпеки та автоматизоване реагування (SOAR) дозволяє SIEM інструменти для автоматичного реагування на загрози, що усуває необхідність чекати, поки технік безпеки перегляне сповіщення. Ця автоматизація спрощує реагування на інциденти та є невід'ємним компонентом SIEM.
- Криміналістика браузера та аналіз мережевих даних використовувати SIEMрозширені можливості виявлення загроз для виявлення зловмисних інсайдерів. Це включає вивчення криміналістики браузера, мережевих даних та журналів подій для виявлення потенційних планів кібератак.
Випадкова атака зсередини
Прикладом того, як кожен компонент можна застосувати на практиці, є випадкова інсайдерська атака.
Ці атаки трапляються, коли окремі особи ненавмисно допомагають зовнішнім зловмисникам просуватися під час атаки. Наприклад, якщо співробітник неправильно налаштує брандмауер, це може підвищити вразливість організації. Визнаючи критичну важливість конфігурацій безпеки, SIEM Система може генерувати подію щоразу, коли вносяться зміни. Ця подія потім передається аналітику з безпеки для ретельного вивчення, що гарантує, що зміна була навмисною та правильно впроваджена, тим самим захищаючи організацію від потенційних порушень, що виникають внаслідок ненавмисних дій внутрішньої сторони.
У випадках повного захоплення облікового запису, UEBA дозволяє виявляти підозрілу діяльність, таку як доступ облікового запису до систем поза звичним шаблоном, підтримку кількох активних сеансів або внесення будь-яких змін до root-доступу. У разі спроби зловмисника підвищити привілеї, SIEM Система оперативно передає цю інформацію команді безпеки, сприяючи швидкому та ефективному реагуванню на потенційні загрози безпеці.
SIEM Найкращі практики ведення журналу
#1. Виберіть свої вимоги за допомогою підтвердження концепції
Під час випробування нового SIEM Інструмент Proof of Concepts (Проверка концепцій) забезпечує полігон для тестування. Під час фази PoC (Проверка концепцій) вкрай важливо особисто направляти журнали до SIEM система для оцінки здатності рішення нормалізувати дані відповідно до певних вимог. Цей процес можна підсилити, включивши події з нестандартних каталогів до засобу перегляду подій.
Цей пункт призначення (POC) дозволяє визначити, чи найкраще підходить для вас збір журналів на основі агентів. Якщо ви плануєте збирати журнали через глобальні мережі (WAN) та брандмауери, використання агента для збору журналів може сприяти зменшенню використання процесора сервера. З іншого боку, збір без агентів може позбавити вас необхідності встановлювати програмне забезпечення та призвести до зниження витрат на обслуговування.
#2. Збирайте правильні колоди правильним способом
#3. Журнали безпечних кінцевих точок
Часта перешкода, з якою стикаються журнали кінцевих точок, полягає в їх постійній зміні, коли системи періодично відключаються від мережі, наприклад, коли робочі станції вимкнено або ноутбуки використовуються віддалено. Крім того, адміністративне навантаження, пов'язане зі збором журналів кінцевих точок, додає значної складності. Щоб вирішити цю проблему, можна використовувати переадресацію журналів подій Windows для передачі централізованої системи без необхідності встановлення агента або додаткових функцій, оскільки вона вбудована в базову операційну систему Windows.
Підхід Stellar Cyber до журналів кінцевих точок підтримує широкий спектр журналів кінцевих точок, включаючи Endpoint Detection and Response (EDR). Застосовуючи різні шляхи сповіщень до певних підмножин у різних продуктах EDR, стає можливим точне та прецизійне очищення інформації журналів кінцевих точок.
#4. Слідкуйте за PowerShell
PowerShell, який зараз повсюдно присутній у кожному екземплярі Windows, починаючи з Windows 7, став відомим інструментом для зловмисників. Однак важливо зазначити, що PowerShell за замовчуванням не реєструє жодної активності – цю функцію потрібно явно ввімкнути.
Одним із варіантів ведення журналу є ведення журналу модулів, яке надає детальну інформацію про виконання конвеєра, включаючи ініціалізацію змінних та виклики команд. Натомість, ведення журналу блоків скриптів комплексно відстежує всі дії PowerShell, навіть коли вони виконуються в скриптах або блоках коду. Обидва ці фактори необхідно враховувати для отримання точних даних про загрози та поведінку.
#5. Скористайтеся перевагами Sysmon
#6. Попередження та реагування
Незважаючи на аналітичні можливості, які надає машинне навчання SIEM інструменти, важливо контекстуалізувати це в
ширший охоплення вашої загальної безпеки. Головними з них є ваші аналітики безпеки – план реагування на інциденти містить чіткі вказівки для кожної зацікавленої сторони, що дозволяє гнучко та ефективно працювати в команді.
У плані слід призначити старшого керівника як головного відповідального за реагування на інциденти. Хоча ця особа може делегувати повноваження іншим особам, залученим до процесу реагування на інциденти, політика повинна чітко визначати конкретну посаду з основною відповідальністю за реагування на інциденти.
Далі йдеться про команди реагування на інциденти. У випадку великої глобальної компанії їх може бути кілька, кожна з яких присвячена певним географічним регіонам та укомплектована спеціально підготовленим персоналом. З іншого боку, менші організації можуть обрати одну централізовану команду, використовуючи членів з різних підрозділів організації на умовах неповного робочого дня. Деякі організації також можуть вирішити передати на аутсорсинг певні або всі аспекти своїх зусиль з реагування на інциденти.
Підтримка співпраці всіх команд забезпечується за допомогою посібників, які слугують основою для зрілого реагування на інциденти. Незважаючи на унікальний характер кожного інциденту безпеки, більшість схильні дотримуватися стандартних моделей діяльності, що робить стандартизовані реагування дуже корисними. У міру того, як це відбувається, план комунікації реагування на інциденти визначає, як різні групи спілкуються під час активного інциденту, зокрема, коли слід залучати органи влади.
5. Визначення та уточнення правил кореляції даних
A SIEM Правило кореляції служить директивою для системи, вказуючи послідовності подій, які можуть свідчити про аномалії, потенційні вразливості безпеки або кібератаку. Воно ініціює сповіщення адміністраторам, коли виконуються певні умови, такі як виникнення подій «x» та «y» або «x», «y» та «z» разом. Враховуючи величезну кількість журналів, що документують, здавалося б, буденні дії, добре розроблений SIEM Правило кореляції має вирішальне значення для відсіювання шуму та визначення послідовностей подій, що вказують на потенційну кібератаку.
SIEM Правила кореляції, як і будь-який алгоритм моніторингу подій, можуть призводити до хибнопозитивних результатів. Надмірна кількість хибнопозитивних результатів може витрачати час та енергію адміністраторів безпеки, але досягнення нульового рівня хибнопозитивних результатів у належно функціонуючій системі... SIEM непрактично. Тому під час налаштування SIEM Для правил кореляції важливо знайти баланс між мінімізацією хибнопозитивних сповіщень та забезпеченням того, щоб не пропустити жодної потенційної аномалії, що свідчить про кібератаку. Мета полягає в оптимізації налаштувань правил для підвищення точності виявлення загроз, уникаючи при цьому непотрібних відволікань, спричинених хибнопозитивними результатами.
Наступний ген SIEM та управління журналами за допомогою Stellar Cyber
Платформа Stellar Cyber інтегрує наступне покоління SIEM як невід'ємну можливість, пропонуючи єдине рішення шляхом консолідації кількох інструментів, включаючи NDR, UEBA, Sandbox, TIP та багато іншого в єдину платформу. Ця інтеграція оптимізує операції в єдину та доступну панель інструментів, що призводить до значного зниження капітальних витрат. Наші SIEM управління журналами базується на автоматизації, яка дозволяє командам випереджати загрози, а дизайн Next Gen SIEM надає командам можливості ефективно боротися із сучасними атаками. Щоб дізнатися більше, ви можете замовити демонстрацію нашого Наступний ген SIEM платформа.
