Stellar Cyber ​​Open XDR - logo
Tìm kiếm
Đóng hộp tìm kiếm này.

Cảnh báo SIEM: Các loại phổ biến và cách thực hành tốt nhất

Khi tội phạm mạng có quyền truy cập vào mạng, thiết bị hoặc tài khoản, việc kiểm soát thiệt hại sẽ trở thành một cuộc chạy đua với thời gian. Tuy nhiên, số lượng ứng dụng và tài khoản tạo nên nhóm công nghệ trung bình có thể khiến hành vi của kẻ tấn công trở thành một mũi kim nhọn – chôn trong hàng mẫu cỏ khô.

Bằng cách liên tục theo dõi và phân tích các sự kiện bảo mật, công nghệ SIEM có thể phát hiện các mô hình hoặc hành vi bất thường khi chúng xảy ra – và cảnh báo nhân viên an ninh về nơi ở chính xác của kẻ tấn công. Những sự kiện này bao gồm các hoạt động như nỗ lực truy cập trái phép, lưu lượng truy cập mạng bất thường hoặc lỗ hổng hệ thống. Khi mối đe dọa tiềm ẩn được xác định, hệ thống SIEM có thể tạo cảnh báo hoặc thông báo để nhắc nhở nhân viên an ninh điều tra và ứng phó kịp thời.

Tuy nhiên, việc đảm bảo giải pháp của bạn phù hợp để phát hiện mối đe dọa – mà không đưa ra vô số cảnh báo SIEM cho nhóm bảo mật của bạn – là rất quan trọng. Bài viết này sẽ trình bày chi tiết về các cảnh báo SIEM – những cuộc tấn công nào chúng có thể giúp thấy trước và ngăn chặn; và cách thiết lập SIEM của bạn tốt nhất để thành công.

Cảnh báo SIEM là gì?

Cảnh báo SIEM là thông báo thông báo cho các chuyên gia bảo mật về các sự cố bảo mật tiềm ẩn. Những cảnh báo này được xây dựng từ việc phát hiện, tương quan và tổng hợp siêu dữ liệu tệp và hành vi của người dùng. Để tìm hiểu sâu hơn SIEM là gì, tài nguyên học tập của chúng tôi là một khởi đầu tuyệt vời. Tuy nhiên, tập trung vào quá trình cảnh báo, đây là hướng dẫn từng bước

Tạo sự kiện

Hầu hết mọi tệp trong dịch vụ thuê tại chỗ hoặc trên đám mây của bạn đều tạo ra một luồng nhật ký liên tục. Bằng cách tích hợp với các nguồn nhật ký này, công nghệ SIEM bắt đầu xây dựng nhận thức về các quy trình thời gian thực hỗ trợ tường lửa, hệ thống phát hiện xâm nhập, giải pháp chống vi-rút, máy chủ và các thiết bị bảo mật khác của bạn.

Bộ sưu tập sự kiện

Không phải tất cả nhật ký đều được tạo ra như nhau – nhưng để xác định nhật ký nào đáng xem xét kỹ hơn, trước tiên SIEM phải thu thập nhiều sự kiện từ các nguồn khác nhau này và tập trung chúng vào hệ thống phân tích của mình.

Bình thường hóa

Các sự kiện được thu thập từ các nguồn khác nhau có thể sử dụng các định dạng và tiêu chuẩn khác nhau. Mặc dù các sự kiện lỗi cho biết một sự cố nghiêm trọng như mất dữ liệu hoặc mất chức năng, nhưng các sự kiện cảnh báo có thể chỉ cho biết một sự cố có thể xảy ra trong tương lai. Bên cạnh đó, phạm vi rộng lớn của các định dạng và loại tệp – từ Active Directory đến Hệ điều hành – yêu cầu chức năng chuẩn hóa của SIEM để chuẩn hóa các sự kiện này thành một định dạng chung.

Lưu trữ sự kiện

Các sự kiện chuẩn hóa được lưu trữ trong cơ sở dữ liệu tập trung và an toàn. Điều này cho phép phân tích lịch sử, báo cáo tuân thủ và điều tra pháp y.

Phát hiện

Việc phát hiện bao gồm việc phân tích các sự kiện để xác định các sự cố bảo mật tiềm ẩn. Hệ thống SIEM sử dụng các quy tắc, chữ ký và phân tích hành vi được xác định trước để phát hiện các điểm bất thường hoặc các mẫu biểu thị các mối đe dọa bảo mật. Các quy tắc có thể bao gồm các điều kiện như nhiều lần đăng nhập không thành công, truy cập từ các vị trí bất thường hoặc các chữ ký phần mềm độc hại đã biết.

Tương quan

Tương quan là một bước quan trọng trong quy trình SIEM. Nó liên quan đến việc phân tích nhiều sự kiện liên quan để xác định xem chúng có đại diện chung cho một sự cố bảo mật hay không. Mối tương quan giúp xác định các kiểu tấn công phức tạp có thể không được chú ý khi xem xét các sự kiện riêng lẻ.

aggregation

Việc tổng hợp bao gồm việc kết hợp các sự kiện liên quan để cung cấp cái nhìn tổng hợp về một sự cố bảo mật. Bước này giúp giảm bớt sự mệt mỏi khi cảnh báo bằng cách cung cấp cho các chuyên gia bảo mật một bộ cảnh báo ngắn gọn và dễ quản lý hơn.

Quá trình này lên đến đỉnh điểm trong việc tạo ra một cảnh báo. Khi một sự cố bảo mật tiềm ẩn được xác định thông qua phát hiện, tương quan và tổng hợp, hệ thống SIEM sẽ tạo ra cảnh báo. Cảnh báo bao gồm thông tin chi tiết về sự cố, chẳng hạn như loại mối đe dọa, hệ thống bị ảnh hưởng và mức độ nghiêm trọng của sự cố.

Các loại cảnh báo khác nhau trong SIEM

Thay vì cuộn qua một lượng lớn dữ liệu, cảnh báo SIEM nhằm mục đích cung cấp cái nhìn tập trung và ưu tiên về các mối đe dọa tiềm ẩn. Các ví dụ cảnh báo SIEM phổ biến bao gồm:
  • Hành vi người dùng bất thường: Cảnh báo bảo mật có thể được kích hoạt khi người dùng có hoạt động bất thường, chẳng hạn như nhiều lần đăng nhập không thành công, truy cập trái phép vào tài nguyên hoặc truyền dữ liệu bất thường.

  • Giám sát lỗi hệ thống hoặc ứng dụng: Hệ thống SIEM kiểm tra nhật ký một cách tỉ mỉ, cảnh báo kịp thời về các lỗi hoặc lỗi nghiêm trọng trong hệ thống hoặc ứng dụng, phát hiện các lỗ hổng hoặc cấu hình sai tiềm ẩn.

  • Vi phạm dữ liệu: Để ứng phó với hành vi truy cập trái phép hoặc đánh cắp dữ liệu nhạy cảm, các cảnh báo sẽ được tạo ra, giúp các tổ chức có thể phản ứng kịp thời và giảm thiểu tác động phát sinh.

  • Vi phạm tuân thủ: Có thể định cấu hình trong hệ thống SIEM, cơ chế giám sát đưa ra cảnh báo trong trường hợp vi phạm quy định hoặc vi phạm chính sách nội bộ, đảm bảo tuân thủ các tiêu chuẩn đã thiết lập.
Khi phát hiện một trong những điểm bất thường này, các cảnh báo sẽ được tạo và chuyển tiếp đến Trung tâm điều hành mạng tập trung, SRE hoặc các nhóm DevOps cụ thể để phản hồi nhanh chóng. Từ đó, mức độ nghiêm trọng của sự kiện có thể được lọc, loại bỏ trùng lặp và phân tích cảnh báo – mỗi cách đều giúp giảm số lượng cảnh báo sai. Mặc dù nhân viên CNTT thường dựa vào việc phân loại cảnh báo thủ công để đánh giá mức độ nghiêm trọng của từng vấn đề, nhưng các quy tắc tương quan sẵn có hiện cho phép nền tảng SIEM gánh vác ngày càng nhiều gánh nặng hơn.

Các loại kích hoạt cảnh báo

Trình kích hoạt dựa trên quy tắc thường được sử dụng trong cảnh báo SIEM, dựa vào các điều kiện được xác định trước để xác định các sự kiện cụ thể. Các nhóm bảo mật tận dụng các trình kích hoạt này để thiết lập các quy tắc khác nhau dựa trên các khía cạnh khác nhau, chẳng hạn như các kiểu tấn công đã biết, các dấu hiệu xâm phạm hoặc các hoạt động đáng ngờ. Các quy tắc này hoạt động như các bộ lọc, cho phép hệ thống SIEM tạo cảnh báo khi các sự kiện được quan sát phù hợp với tiêu chí đã chỉ định.

Tương tự quan trọng đối với SIEM, trình kích hoạt dựa trên ngưỡng liên quan đến việc thiết lập các ngưỡng hoặc giới hạn cụ thể cho các sự kiện hoặc số liệu. Khi các giá trị ngưỡng này vượt quá hoặc giảm xuống dưới các tham số đã đặt, hệ thống sẽ tạo cảnh báo. Loại kích hoạt này tỏ ra có giá trị trong việc phát hiện hành vi bất thường hoặc sai lệch trong các mẫu.

Phát hiện bất thường cấu thành một thành phần quan trọng khác của các ví dụ cảnh báo SIEM đó, nhằm xác định những sai lệch so với hành vi được dự đoán trước. Quá trình này đòi hỏi phải phân tích dữ liệu lịch sử để thiết lập hồ sơ cơ sở cho các hoạt động thường ngày. Sau đó, các sự kiện sắp tới sẽ được so sánh với các đường cơ sở này và hệ thống sẽ gắn cờ bất kỳ sai lệch đáng chú ý nào là các điểm bất thường tiềm ẩn. Tính năng phát hiện bất thường có hiệu quả trong việc phát hiện các cuộc tấn công chưa biết trước hoặc các cuộc tấn công zero-day, cũng như xác định các mối đe dọa nội bộ khó nắm bắt hoặc các hoạt động trái phép.

Mỗi trình kích hoạt này kết hợp với nhau để tạo ra một lớp bán vé thích ứng phù hợp hoàn hảo với các nền tảng bán vé hiện có. Một số giải pháp thậm chí còn đi xa hơn, với tính năng lọc AIOps, loại bỏ trùng lặp và chuẩn hóa các cảnh báo từ các hệ thống khác nhau, sử dụng AI/ML để xác định các mẫu tương quan trên rất nhiều cảnh báo.

Các phương pháp hay nhất để quản lý cảnh báo SIEM

Với hy vọng ngăn chặn phần mềm độc hại trước khi nó xâm nhập quá sâu vào mạng, SIEM sử dụng rất nhiều cảnh báo, sự kiện và nhật ký – nhưng giống như đèn cảm biến chuyển động, đôi khi cảnh báo bắt được chuột thay vì Trojan truy cập từ xa.

Một lý do dẫn đến hàng loạt cảnh báo liên tục này là do thiếu sự gắn kết giữa các giải pháp bảo mật trước đó. Trong khi IPS, NIDS và HIDS cung cấp khả năng bảo vệ mạng và điểm cuối tương ứng, chất lượng cảnh báo thấp được đưa ra có thể nhanh chóng tăng vọt - đặc biệt khi các thiết bị bảo mật tích hợp không hoạt động cùng nhau và thay vào đó gửi mọi cảnh báo đến một nhóm bảo mật quá kích động.

Các phương pháp hay nhất về cảnh báo SIEM giúp giảm bớt cảnh báo tiếng ồn bằng cách hợp nhất và tinh chỉnh tất cả các cảnh báo này – nhưng các phương pháp hay nhất là cần thiết để giữ cho cảnh báo phù hợp với mục đích, thay vì góp phần gây ra tình trạng kiệt sức mãn tính.

Đặt quy tắc của riêng bạn

Các quy tắc xác định sự hiểu biết của SIEM giữa hành vi bình thường và hành vi độc hại. Một cảnh báo có thể có một hoặc nhiều quy tắc, tùy thuộc vào cách bạn xác định nó. Mặc dù điều này cung cấp nền tảng vững chắc để nắm bắt kịp thời các sự kiện bảo mật nhưng điều quan trọng là phải thận trọng khi tạo một số lượng lớn cảnh báo tùy chỉnh. Thiết lập nhiều cảnh báo cho cùng một nhóm nhiệm vụ là một cách chắc chắn để làm mờ đi hiểu biết sâu sắc về bảo mật.

Kiểm tra cảnh báo của bạn trước khi phát hành cảnh báo mới

Trước khi triển khai các quy tắc cảnh báo mới, điều cần thiết là phải xem lại các cảnh báo hiện có để xác định xem đã có cảnh báo tích hợp nào phục vụ cùng mục đích hay chưa. Nếu không tồn tại, bắt buộc phải thu thập thông tin về chuỗi sự kiện sẽ diễn ra cả trước và sau khi phát hiện cảnh báo này.

Hãy chính xác khi chọn nội dung cần gắn cờ

Cảnh báo tràn ngập chủ yếu xảy ra do sự mơ hồ hoặc mơ hồ trong các trường mô tả cảnh báo. Bên cạnh đó, việc chọn danh mục hoặc mức độ nghiêm trọng không chính xác có thể khiến các vấn đề tương đối tầm thường xuất hiện trong quy trình làm việc có mức độ ưu tiên cao, khiến các nhóm CNTT sa lầy nghiêm trọng. Mô tả cần phải chính xác nhất có thể, trong khi danh mục cần phản ánh chính xác quy trình làm việc và mức độ ưu tiên của nhóm bảo mật.

Hãy ghi nhớ các quy định

Mọi tổ chức cần phải tuân thủ nhiều luật pháp địa phương, khu vực và liên bang khác nhau để đáp ứng các nghĩa vụ an ninh mạng của mình. Khi tạo quy tắc cảnh báo tùy chỉnh, hãy ghi nhớ từng phần quy định cụ thể đang mong đợi điều gì.

Dựa vào cả quy tắc đơn giản và tổng hợp

Các quy tắc SIEM cơ bản được thiết kế để xác định một loại sự kiện cụ thể và bắt đầu phản hồi được xác định trước. Ví dụ: một quy tắc đơn giản có thể kích hoạt cảnh báo nếu email chứa tệp ZIP đính kèm. Trong khi các quy tắc cơ bản có lợi, các quy tắc tổng hợp nâng cao cho phép kết hợp hai hoặc nhiều quy tắc để xác định các kiểu hành vi phức tạp hơn. Ví dụ: một quy tắc tổng hợp có thể kích hoạt cảnh báo nếu có bảy lần xác thực không thành công đối với cùng một máy tính từ một địa chỉ IP trong vòng mười phút, sử dụng các tên người dùng khác nhau. Ngoài ra, nếu đăng nhập thành công diễn ra trên bất kỳ máy tính nào trong mạng và bắt nguồn từ cùng một địa chỉ IP, quy tắc tổng hợp cũng có thể kích hoạt cảnh báo.

Thử nghiệm

Sau khi bạn tạo cảnh báo, hãy tiến hành nhiều lần chạy thử để xác minh chức năng phù hợp của cảnh báo. Việc kiểm tra nghiêm ngặt các cảnh báo tùy chỉnh cho phép bạn tinh chỉnh các quy tắc tương quan của mình, đảm bảo hiệu suất và hiệu quả tối ưu.

Mặc dù là một phần quan trọng trong phương pháp thực hành tốt nhất của SIEM nhưng các quy tắc tương quan không thông minh—chúng không đánh giá lịch sử của các sự kiện mà chúng đánh giá. Ví dụ, họ không quan tâm liệu ngày hôm qua máy tính có bị nhiễm virus hay không; nó chỉ quan tâm nếu hệ thống bị nhiễm khi quy tắc được thực thi. Ngoài ra, các quy tắc tương quan được đánh giá mỗi khi một tập hợp được thực thi – hệ thống không xem xét bất kỳ dữ liệu nào khác để xác định xem có nên đánh giá quy tắc tương quan hay không.

Đây là lý do tại sao hai hình thức phát hiện mối đe dọa khác lại quan trọng:

Đặt và điều chỉnh ngưỡng

Trình kích hoạt dựa trên ngưỡng liên quan đến việc thiết lập các ngưỡng hoặc giới hạn cụ thể cho các sự kiện hoặc số liệu. Khi các giá trị ngưỡng này vượt quá hoặc giảm xuống dưới các tham số đã đặt, hệ thống sẽ tạo cảnh báo. Loại kích hoạt này tỏ ra có giá trị trong việc phát hiện hành vi bất thường hoặc sai lệch trong các mẫu.

Mặc dù một số quy tắc có thể giữ nguyên nhưng ngưỡng là một số hình thức cảnh báo quan trọng nhất cần điều chỉnh thường xuyên. Một việc đơn giản như mở rộng cơ sở người dùng hoặc nhân viên có thể dẫn đến làn sóng cảnh báo không cần thiết.

Xác định sự bất thường của bạn

Bên cạnh các quy tắc đã đặt, các mô hình hành vi sẽ lập hồ sơ người dùng, ứng dụng hoặc tài khoản dựa trên hành vi tiêu chuẩn của họ. Khi mô hình xác định hành vi bất thường, mô hình sẽ áp dụng các quy tắc để đánh giá và đưa ra cảnh báo. Đảm bảo thiết lập các mô hình với các loại hành vi khác nhau – điều này cho phép chúng tạo ra các cấu hình cảnh báo riêng biệt và tăng tốc đáng kể công việc khắc phục.

Tương tự như các quy tắc tương quan, việc đánh giá mô hình đơn lẻ thường không đưa ra cảnh báo. Thay vào đó, hệ thống sẽ chấm điểm cho mỗi phiên dựa trên mô hình được áp dụng. Khi điểm tích lũy cho một phiên vượt quá ngưỡng xác định trước, hệ thống sẽ kích hoạt cảnh báo. Việc thiết lập và xác định mức độ chấp nhận rủi ro này cho từng mô hình là một khía cạnh quan trọng trong việc quản lý và kiểm soát số lượng cảnh báo được tạo ra.

Cảnh báo SIEM thế hệ tiếp theo

Các giải pháp SIEM đắt tiền và có thể khó triển khai và cấu hình. Tuy nhiên,
thành công của công cụ SIEM được xác định bằng khả năng tích hợp chặt chẽ với nền tảng công nghệ hiện tại của bạn.

Cung cấp hơn 400 tích hợp ngay lập tức, SIEM của Stellar Cyber ​​chuyển cách tiếp cận của bạn từ phản ứng sang chủ động. Ngăn chặn nhân viên an ninh của bạn lội qua
vô số cảnh báo không khớp và lật kịch bản tấn công những kẻ tấn công bằng các khả năng thế hệ tiếp theo
chẳng hạn như săn lùng mối đe dọa tự động và phân tích dựa trên AI. Cảnh báo SIEM thế hệ tiếp theo lấy các nguồn dữ liệu cực kỳ linh hoạt và chuyển đổi chúng thành các phân tích có thể mở rộng.

Khám phá thêm về chúng tôi Nền tảng SIEM thế hệ tiếp theo Khả năng và bắt đầu tập trung vào
sự cố hơn là cảnh báo.

Di chuyển về đầu trang