SIEM Quy tắc tương quan: Nâng cao khả năng phát hiện mối đe dọa
Nhật ký đại diện cho các hoạt động thời gian thực của từng góc riêng lẻ trong doanh nghiệp của bạn. Mỗi nhật ký kiểm tra chứa thông tin về hoạt động, tham số, tài nguyên và thời gian của người dùng, khiến chúng trở thành một mỏ vàng dữ liệu thực sự. Tuy nhiên, việc sử dụng những thứ này để bảo vệ doanh nghiệp đòi hỏi nhiều hơn là chỉ dữ liệu: nhật ký cần được xâu chuỗi lại với nhau và xác định là an toàn hoặc độc hại - tất cả trước khi kẻ tấn công có thể triển khai tải trọng hoặc đánh cắp dữ liệu. Đây là nơi các quy tắc tương quan tỏa sáng.
Trong phân tích dữ liệu, hệ số tương quan là bất kỳ mối quan hệ hoặc kết nối nào giữa hai yếu tố – bằng cách lập bản đồ mối quan hệ giữa từng phần dữ liệu nhật ký và tạo ra SIEM các quy tắc tương quan của bạn SIEM Hệ thống có khả năng giám sát một cách nhất quán từng điểm dữ liệu liên quan đến nhau. Cuối cùng, các chuỗi này được xác định là an toàn hoặc có khả năng độc hại bằng cách thêm các quy tắc vào dữ liệu này. Lưu lượng truy cập tốt được cho phép, trong khi lưu lượng truy cập xấu hoặc đáng ngờ được đánh dấu và chặn.
Thế hệ kế tiếp SIEM
Thế hệ tiếp theo của Stellar Cyber SIEM, như một thành phần quan trọng trong Stellar Cyber Open XDR Nền tảng...
Trải nghiệm hoạt động bảo mật được hỗ trợ bởi AI!
Khám phá AI tiên tiến của Stellar Cyber để phát hiện và ứng phó ngay lập tức với mối đe dọa. Lên lịch demo của bạn ngay hôm nay!
Làm thế nào SIEM Các quy tắc tương quan hoạt động
Bước 1: Tập trung nhật ký
Nhật ký từ tất cả các hệ thống của bạn được thu thập và chuyển tiếp đến... SIEMĐiều này được thực hiện nhờ các cảm biến và tác nhân – những phần mềm nhỏ được cài đặt trên các thiết bị đầu cuối, mạng và máy chủ, có chức năng giám sát thụ động các gói dữ liệu được truyền tải qua mạng và các hành động đang diễn ra trên thiết bị. Trong bước này, SIEM Công cụ này bắt đầu quá trình thu thập các nhật ký này vào một công cụ phân tích tập trung.
Bước 2: Chuẩn hóa dữ liệu
Mặc dù nhật ký bao quát mọi khía cạnh của cơ sở hạ tầng của bạn – nhưng nó vẫn được tạo thành từ các ứng dụng, máy chủ và phần cứng rất khác nhau, mỗi ứng dụng, máy chủ và phần cứng lại có định dạng riêng để liệt kê các mục nhật ký. Nhật ký sự kiện từ các nguồn khác nhau có thể có các trường thông tin và cấu trúc dữ liệu khác nhau đáng kể. Bước thứ hai để SIEM Hệ số tương quan là quá trình chuẩn hóa các dữ liệu này, hoạt động bằng cách phân tích các nhật ký khác nhau thành một định dạng nhất quán, được tiêu chuẩn hóa.
Việc chuẩn hóa dữ liệu nhật ký càng hiệu quả thì tốc độ càng nhanh. SIEM có thể bắt đầu phân tích và áp dụng các kỹ thuật phát hiện mối đe dọa.
Bước 3: Tương quan dữ liệu
Sau khi thu thập toàn bộ dữ liệu nhật ký, công cụ phân tích tương quan có thể nhận thấy mức độ phù hợp của chúng với các mẫu phổ biến. Một số SIEM Các công cụ hiện tại chỉ có thể xác định từng chuỗi ký tự riêng lẻ, nhưng các sản phẩm tiên tiến hơn như của Stellar bổ sung thêm một lớp tương quan thứ hai, xem xét các thuộc tính khác – chẳng hạn như các tham số yêu cầu và phản hồi. Điều này giúp củng cố mối quan hệ giữa hành vi và thực thể liên quan.
Đây là cấp độ khá cao, vì vậy hãy xem xét mối tương quan dữ liệu trong bối cảnh của một cuộc tấn công thực tế: hãy xem xét các nỗ lực của kẻ tấn công nhằm truy cập bằng vũ lực vào một doanh nghiệp thông qua nhà cung cấp Quản lý danh tính và truy cập (IAM) của chúng. Các hành vi liên quan có thể bao gồm một chiến dịch liên tục cố gắng đăng nhập để giành quyền truy cập (hành động A), sau đó là một lần đăng nhập thành công (hành động B). Tiếp theo, chúng có thể tiến hành truy cập bảng điều khiển quản trị và tạo một người dùng mới có đặc quyền nâng cao - hoặc bắt đầu một loạt các lần quét cổng để xác định các khu vực yếu và tài nguyên nhạy cảm. Chúng ta hãy gọi hành động này là C.
Phương pháp tương quan dựa trên quy tắc cho phép mỗi Kỹ thuật, Chiến thuật và Quy trình (TTP) được sắp xếp theo trình tự: các tương quan tuần tự này sau đó có thể kích hoạt một hành động theo quy tắc, được chuyển đến nhà phân tích thông qua một cảnh báo. Chính cách thức các thuộc tính này được kết nối với nhau sẽ xác định khả năng nhận dạng của một hệ thống. SIEM công cụ.
Tương quan dựa trên quy tắc so với tương quan hành vi
Các hành động liên quan đến cuộc tấn công mà chúng ta vừa xem xét có thể được phát hiện theo hai cách: cách đầu tiên là thông qua một quy tắc nêu rõ 'nếu hành động A tiếp theo là B và sau đó là C, hãy kích hoạt cảnh báo'. Điều này hoạt động rất tốt nếu các nhà phân tích nhận thức được khả năng xảy ra cuộc tấn công này trước thời hạn và có ý tưởng sơ bộ về TTP mà kẻ tấn công có thể thực hiện.
Tuy nhiên, đó không phải là cách tiếp cận duy nhất: cuộc tấn công vét cạn cũng có thể bị phát hiện bằng một quy tắc tổng quát hơn là 'nếu một tập hợp các hành động lệch khỏi hành vi xác thực thông thường của người dùng cuối, hãy kích hoạt cảnh báo'. Quy tắc này dựa trên... SIEM Việc hiểu rõ lịch sử hoạt động thường ngày của người dùng cuối giờ đây đã trở nên khả thi nhờ việc sử dụng thuật toán Học máy để xử lý các nhật ký tập trung đó. Nhờ vậy, việc xác định các mô hình hoạt động hàng ngày của người dùng, thiết bị và lưu lượng truy cập trở nên rất dễ dàng – và do đó, có thể sử dụng mối tương quan hành vi làm cơ sở cho việc phân tích. SIEM các quy tắc. Tương quan hành vi thường được sử dụng để tạo ra 'điểm rủi ro', trong đó các nhà phân tích đặt ra một ngưỡng chấp nhận được.
Vì chúng ta đã tăng gấp đôi số lượng các phương pháp khác nhau có thể áp dụng để xác định các mối đe dọa, nên việc chủ động bảo vệ thông tin của bạn trở nên quan trọng hơn bao giờ hết. SIEM Các quy tắc được tinh giản và hoạt động hiệu quả cao – chúng ta sẽ thảo luận về cách tốt nhất để đạt được điều này ở phần dưới đây.
Lợi ích của SIEM Các quy tắc tương quan để phát hiện mối đe dọa
Phát hiện mối đe dọa dựa trên chữ ký
Đa số các cuộc tấn công không có gì đặc biệt độc đáo: những kẻ tấn công cơ hội sao chép và dán mã độc hại là điều phổ biến đến mức chúng được đặt biệt danh là "script kiddies" (những kẻ tấn công nghiệp dư). Đó là lý do tại sao phần lớn các cuộc tấn công này đều không có gì đặc biệt. SIEM Việc bảo vệ bề mặt tấn công được thực hiện thông qua phát hiện dựa trên chữ ký.
Các kho lưu trữ chữ ký phần mềm độc hại ngày càng mở rộng: một trong những kho nổi tiếng nhất là cơ sở dữ liệu M&TRE ATTACK. Cơ sở dữ liệu này xác định các phương pháp cụ thể mà kẻ tấn công đang sử dụng, và do đó cung cấp cho các chuyên gia bảo mật một cơ sở dữ liệu mã nguồn mở để phòng chống chúng. SIEM các quy tắc. Các bộ quy tắc này dựa trên việc xác định các mẫu hành vi độc hại đã biết.
Tuy nhiên, mức độ phổ biến càng cao thì... SIEM Nguyên tắc là, kẻ tấn công càng tập trung vào việc né tránh nó. Điều này khiến các quy tắc tương quan rơi vào cuộc đua không ngừng giữa kẻ tấn công và chuyên gia phân tích bảo mật. Và nếu nhóm bảo mật bắt đầu thiết lập quá nhiều quy tắc, họ có nguy cơ bị quá tải. SIEM dương tính giả.
Stellar Cyber khắc phục những khó khăn cũ mà các phương pháp dựa trên tương quan thuần túy gặp phải. SIEMBằng cách thêm một lớp phân tích học máy nữa, các nhà phân tích có thể bao quát càng nhiều khía cạnh càng tốt bằng các quy tắc tương quan, và sau đó lớp phân tích thứ hai sẽ đánh giá bối cảnh rộng hơn của mỗi cảnh báo để xác định tính hợp lệ của nó.
Các quy tắc được điền sẵn cho các mối đe dọa trong thế giới thực
Các quy tắc tương quan được xây dựng có mục đích để xác định các mối đe dọa phổ biến mà tin tặc sử dụng nhiều lần để cố gắng truy cập vào các tài nguyên. Tuy nhiên, nhóm CNTT của một doanh nghiệp có thể không có hiểu biết mới nhất về TTP trong thế giới thực. Xét cho cùng, tình báo về mối đe dọa đòi hỏi phải liên tục thu thập, xử lý và áp dụng dữ liệu về các tác nhân độc hại, kỹ thuật và chỉ số xâm phạm.
Đây là lý do tại sao các quy tắc tương quan được đóng gói sẵn lại có lợi như vậy: các phương pháp tiếp cận được điền sẵn này được xây dựng từ góc nhìn vĩ mô về ngành của bạn và không gian đe dọa rộng hơn. Mỗi biến thể hành vi có thể được gắn nhãn và liên kết với loại cảnh báo của nó, do đó giảm bản chất không thường xuyên của cảnh báo nhật ký thành một tổng thể hợp lý hơn.
Tuân thủ dữ liệu và quyền truy cập
Các tổ chức trong hầu hết mọi ngành đều phải chứng minh rằng họ tuân thủ một số luật, quy tắc và quy định nhất định – và những điều này thay đổi tùy thuộc vào ngành mà bạn đang hoạt động. Các chi nhánh ở Châu Âu cần theo dõi GDPR, trong khi bất kỳ doanh nghiệp nào hướng đến thanh toán đều cần tuân thủ PCI DSS.
GDPR là một trong những quy định nghiêm ngặt và có phạm vi ảnh hưởng rộng nhất, đòi hỏi bảo mật dữ liệu trên toàn bộ các quy trình kỹ thuật của tổ chức. Bởi vì SIEM Vì nhật ký ghi lại toàn bộ tài sản và tài khoản người dùng của một tổ chức, nên nó có vị thế độc đáo để đạt được điều này.
Đây là một lợi ích thực sự của các quy tắc tương quan: tính ứng dụng phổ quát của chúng. Bằng cách gửi cảnh báo bất cứ khi nào phát hiện một tập hợp nhật ký bất thường, nó cung cấp cho các nhà phân tích cảnh báo sớm về các vấn đề tuân thủ tiềm ẩn. Khả năng tự xây dựng các quy tắc cũng cho phép các quy định tuân thủ được tích hợp vào cấu trúc bảo mật của bạn ngay từ đầu. Nếu PCI DSS yêu cầu bạn cập nhật tất cả phần mềm chống phần mềm độc hại trên thiết bị đầu cuối, hãy triển khai một quy tắc riêng. SIEM Quy tắc cảnh báo bạn khi giải pháp chống phần mềm độc hại chưa được cập nhật. Nâng cao hơn SIEM Các công cụ cho phép bạn tự động hóa toàn bộ quy trình này, đồng thời lưu giữ hồ sơ pháp y về các hoạt động của nó. Tốc độ được tăng cường bởi SIEMĐiều này đặc biệt quan trọng trong bối cảnh các quy định như GDPR, chỉ cho phép một khoảng thời gian ngắn 72 giờ để thông báo và giải quyết các sự cố bảo mật.
Phát hiện các cuộc tấn công nhiều giai đoạn và các mối đe dọa dai dẳng nâng cao (APT)
Các quy tắc tương quan riêng lẻ khá đơn giản, nhưng mức độ chi tiết tuyệt đối của nhật ký cho phép giải quyết và giảm thiểu sắc nét hơn nhiều. Đây là nơi các quy tắc tổng hợp có thể tuyệt vời trong việc xác định các mối đe dọa nâng cao hơn: các quy tắc này lồng nhiều quy tắc lại với nhau để tập trung vào một hành vi cụ thể trong một bối cảnh cụ thể. Ví dụ: nếu X lần đăng nhập tại cùng một máy trạm (và cùng một địa chỉ IP) không thành công trong vòng X phút và sử dụng các tên người dùng khác nhau - và nếu một lần đăng nhập thành công xảy ra trên bất kỳ máy tính nào trong mạng và đến từ cùng một địa chỉ IP - điều này sẽ kích hoạt cảnh báo.
Các quy tắc tổng hợp có thể rất quan trọng để cắt đứt các điểm vào APT. Đó là khi kẻ xâm nhập có được quyền truy cập ban đầu vào mạng của tổ chức, tìm thấy một điểm truy cập an toàn và sau đó không làm gì với nó. Mặc dù mối đe dọa có vẻ như đang ngủ yên, nhưng chúng có thể chỉ đang chờ thời cơ thích hợp – hoặc thậm chí là chờ người mua khai thác đang diễn ra. Khi chúng chọn, kẻ xâm nhập có thể dễ dàng vượt qua tường lửa và đánh cắp dữ liệu hoặc triển khai phần mềm độc hại, vì tài khoản hoặc hành động của chúng được cho là an toàn.
Các quy tắc tương quan đơn giản theo truyền thống không đáng tin cậy trong việc phát hiện APT; nếu các nhà phân tích không nhận thức được TTP tiềm ẩn, họ sẽ khó có thể phát hiện ra mối đe dọa.
Vì vậy, cách tiếp cận đáng tin cậy nhất là một bước vượt xa các quy tắc tổng hợp: các mô hình hành vi hiện đại cho phép các hành động trong quá khứ được đưa vào công cụ phân tích. Phân tích liên tục lưu lượng mạng đến và đi sau đó cho phép bất kỳ sự sai lệch nào so với các hành động dự kiến của người dùng được đánh dấu là rủi ro.
Các phương pháp tốt nhất để xây dựng SIEM Quy tắc tương quan
Ưu tiên các trường hợp sử dụng
Khi mới bắt đầu thích nghi với một SIEM gửi đến doanh nghiệp của bạn, SIEM Các phương pháp thực hành tốt nhất yêu cầu bạn phải có hiểu biết rõ ràng về các trường hợp sử dụng cụ thể của mình. SIEM sẽ giải quyết. Được xếp hạng theo thứ tự ưu tiên, các trường hợp sử dụng này cần được tinh chỉnh và các quy tắc được đóng gói sẵn cần được đánh giá xem có phù hợp với doanh nghiệp của bạn hay không. Từ đó, bạn có thể tự do bắt đầu chỉnh sửa hoặc thêm vào từng phần nhỏ hơn của các quy tắc tương quan.
Nếu bạn không biết những kỹ thuật tấn công cụ thể nào có thể được sử dụng để chống lại bạn, hãy xem MITER ATT & CK or Chuỗi tiêu diệt mạng của LockheedCả hai đều thực hiện công việc to lớn để lập danh mục các phương pháp tiếp cận và khai thác cụ thể của kẻ tấn công ở mức độ cực kỳ sâu sắc.
Sử dụng Tường lửa của bạn
-
- A “Máy chủ tên giả mạo” quy tắc phải giám sát mọi thiết bị cố gắng truy cập ứng dụng DNS với đích đến khác ngoài máy chủ DNS nội bộ của công ty. Các thiết bị nội bộ phải được định cấu hình để chỉ sử dụng máy chủ DNS của công ty, sau đó sẽ truy cập Internet khi cần để giải quyết các miền không xác định.
- A “Máy chủ Proxy lừa đảo” quy tắc nên tuân thủ tường lửa chu vi cho bất kỳ lưu lượng nào từ mạng con LAN hướng đến Internet trên các cổng TCP 80/443 hoặc cho các ứng dụng duyệt web và SSL. Lý tưởng nhất là chỉ cho phép lưu lượng từ máy chủ proxy được chỉ định; bất kỳ IP nguồn nào khác cố gắng kết nối loại này có thể chỉ ra nỗ lực vượt qua bảo mật, cho dù là của người dùng hay phần mềm độc hại.
- A “Lưu lượng truy cập BOTNET” quy tắc có thể xác định phần mềm chỉ huy và điều khiển (C2) cũ hơn sử dụng Internet Relay Chat (IRC) để quản lý. Mặc dù IRC không phải là phần mềm độc hại, nhưng sự hiện diện của nó trong mạng công ty thường đáng ngờ. Quy tắc này sẽ kích hoạt cảnh báo nếu bất kỳ máy chủ nguồn hoặc đích nào đang sử dụng IRC, mặc dù một số máy tính quản trị mạng có thể cần loại trừ.
Giảm thiểu các cổng mở
Theo mặc định, các cảm biến lắng nghe trên cổng 514 sẽ phân tích các bản ghi đến; điều này giúp xác định thiết bị nguồn. Việc chỉ định một cổng mục tiêu hơn cho loại nhật ký của bạn thay vì sử dụng cổng 514 mang lại một số lợi thế. Nó tăng tốc quá trình thu thập dữ liệu và phân tích nhật ký, cải thiện hiệu suất của cảm biến vì cảm biến có thể xác định ngay lập tức thiết bị nguồn. Cuối cùng nhưng không kém phần quan trọng, việc dựa trên quy tắc tương quan trên cổng chính xác là vô cùng quan trọng để bảo toàn thông tin nhật ký.
Thay vào đó, hãy chọn cổng phù hợp tùy theo định dạng của chúng:
- Định dạng sự kiện chung (CEF), Định dạng mở rộng sự kiện nhật ký (LEEF) hoặc JSON: đối với các loại nhật ký này, chuyển tiếp dữ liệu đến cổng được chỉ định cho tiêu chuẩn đó.
- Nhật ký theo định dạng Syslog chuẩn: sử dụng cổng được chỉ định cho nhà cung cấp cụ thể.
- Đối với các định dạng chuyên biệt như Syslog kết hợp với biểu thức chính quy, cặp khóa-giá trị hoặc CSV, hãy sử dụng các cổng dành riêng cho nhà cung cấp.
Săn Đe Dọa
Triển khai hoạt động săn lùng mối đe dọa chủ động cùng với một hệ thống được cấu hình tốt. SIEM Hệ thống này tăng cường đáng kể khả năng phát hiện mối đe dọa, bổ sung thêm sức mạnh phân tích đáng kể cho việc phân tích nhật ký tự động. Trong khi một hệ thống được tinh chỉnh đúng cách, nó sẽ cải thiện đáng kể khả năng phát hiện mối đe dọa, tăng cường đáng kể sức mạnh phân tích của việc phân tích nhật ký tự động. Trong khi một hệ thống được tinh chỉnh đúng cách, nó sẽ cải thiện đáng kể khả năng phát hiện mối đe dọa, bổ sung thêm sức mạnh phân tích đáng kể cho việc phân tích nhật ký tự động. Trong khi một hệ thống được tinh chỉnh đúng SIEM Hệ thống có thể giám sát và cảnh báo hiệu quả nhiều mối đe dọa đã biết, việc bổ sung tính năng săn lùng mối đe dọa tự động cho phép phát hiện các cuộc tấn công tinh vi, đang phát triển hoặc lén lút có thể vượt qua các quy tắc tương quan tiêu chuẩn.
Săn lùng mối đe dọa SIEM Giống như Stellar Cyber, nó mô phỏng tiềm năng tấn công thực tế của một cảnh báo hoặc sự bất thường sau khi nó được tạo ra: quá trình xác thực liên tục này giúp đảm bảo rằng các quy tắc tương quan chính xác, dễ thích ứng và hiệu quả chống lại các phương pháp tấn công mới nổi. Nó cũng ảnh hưởng đến cách ưu tiên các cảnh báo – và cung cấp nền tảng cho các nhà phân tích để săn lùng mối đe dọa thủ công. Các nhà phân tích có thể tìm kiếm trong hồ sơ hộp cát phần mềm độc hại để xác định các cuộc tấn công đã được thực hiện, giúp họ có cái nhìn toàn diện hơn về cuộc tấn công nhắm vào họ.
Tích hợp để phản ứng nhanh
Tích hợp một SIEM Trong hệ thống công nghệ rộng lớn hơn, việc tích hợp nó giúp tăng cường khả năng phát hiện, phân tích và phản hồi các mối đe dọa một cách hiệu quả. Điều này có thể bao gồm việc liên kết các yếu tố sau: SIEM Với các công cụ như phát hiện và phản hồi điểm cuối (EDR), nền tảng tình báo mối đe dọa, hệ thống phản ứng sự cố và các giải pháp điều phối, tự động hóa và phản hồi bảo mật (SOAR). Hơn nữa, việc tích hợp với các công cụ bảo mật mở đường cho các phản ứng mối đe dọa tự động – một trọng tâm định hướng của Stellar Cyber.
Vượt qua các quy tắc cơ bản với các trường hợp của Stellar Cyber
Stellar Cyber áp dụng phương pháp tiếp cận đa phương thức để tạo quy tắc: cung cấp một bộ quy tắc tương quan được xếp chồng lên nhau và phân tích hành vi theo ML, tận dụng tối đa tất cả các nhật ký được tạo trên toàn doanh nghiệp của bạn. Cảnh báo được tạo khi dữ liệu nhật ký kích hoạt các quy tắc riêng lẻ, nhưng Stellar liên kết các trường hợp này thành các trường hợp thống nhất, mỗi trường hợp đại diện cho một tập hợp các cảnh báo có khả năng được kết nối trong một cấu trúc dữ liệu duy nhất. Từ đó, các nhà phân tích được cấp một bộ sách hướng dẫn và tùy chọn khắc phục được thiết kế để giảm thiểu MTTR.
Việc xác minh chéo các cảnh báo của Stellar Cyber cung cấp ngữ cảnh sâu hơn, cho phép các nhà phân tích xác định xem họ đang xử lý một cuộc tấn công thực sự, hành vi rủi ro cao hay chỉ là các sự kiện ngẫu nhiên. Xem cách thiết lập phản hồi tự động và chặn lưu lượng truy cập độc hại ngay lập tức với bản demo ngày hôm nay.
