目录
SIEM 日志记录:概述和最佳实践
安全信息和事件管理 (SIEM) 是一种关键的网络安全工具,可集中组织内数千个端点、服务器和应用程序的安全信息。当最终用户和设备与每个应用程序接触点交互时,他们会以日志的形式留下数字指纹。这些文件传统上在错误修复和质量控制方面发挥着重要作用:毕竟,它们直接从源头提供错误信息。然而,2005 年,安全专业人员开始意识到这些小文件的真正潜力。它们提供了大量实时数据,可以将这些数据输入到监控此类 IT 基础设施的 SIEM 日志记录中。从那时起,安全专业人员就一直在威胁可见性和事件日志量之间进行权衡。本文将介绍 SIEM 日志管理的几种最佳实践 - 通过这些实践,您的安全工具可以充分发挥其潜力
为什么 SIEM 很重要
SIEM 日志管理的主要意义在于其能够有效分析大量日志,使安全分析师能够专注于关键威胁。此外,SIEM系统对异构企业环境中的数据进行标准化以简化分析,根据日志数据提供实时和历史威胁分析,在检测到潜在安全威胁时发送按严重程度优先的自动警报,并维护对事件响应和取证至关重要的详细记录调查。从本质上讲,SIEM 日志管理对于在当代 IT 环境错综复杂的环境中建立和维持强大且响应迅速的安全态势至关重要。
什么是 SIEM 日志记录及其工作原理?
为了提供实时安全性,SIEM 软件从多个来源收集日志并将其传输到中央日志系统。和 “SIEM 是什么?” 回答了,可以更深入地研究 SIEM 工具采用的各种方法
基于代理的日志收集
此日志聚合发生在本地级别。这些代理具有日志过滤器和规范化功能,可以提高资源效率。由于日志数据被压缩成批次,代理通常占用较少的网络带宽。
直接连接
无代理日志记录(通常由网络协议或 API 调用促进)是 SIEM 日志记录的另一种形式,SIEM 程序直接从存储中检索日志文件(通常采用 syslog 格式)。好处包括易于部署、无需软件或版本更新——此选项通常有助于降低 SIEM 维护成本。
事件流协议
虽然基于代理和无代理的日志记录方法都提供了不同的数据收集方法,但基于事件的架构将这一过程重新概念化为流经河流的事件流。每个事件都可以被下游消费者捕获并进一步处理。 NetFlow 是 Cisco 设计的一种协议,就是这种方法的一个例子。每当进入或退出接口时,它都会收集 IP 网络流量。 NetFlow 数据的分析使网络管理员能够识别关键信息,包括流量的来源和目的地、所使用的协议以及通信持续时间。这些数据是通过 NetFlow 收集器收集的,它不仅捕获基本的流量详细信息,还记录时间戳、请求的数据包以及 IP 流量的入口和出口接口。
面对日益复杂的攻击,事件流通过将有关网络流量的全面信息传输到安全设备(包括下一代防火墙 (NGFW)、入侵检测和防御系统 (IDS/IPS) 以及安全 Web 网关)而发挥着至关重要的作用。 SWG)。
总体而言,SIEM 日志记录已成为现代网络安全的关键要素,可提供基于日志数据的实时和历史威胁分析。然而,记住普通日志管理和 SIEM 之间的差异至关重要。
面对日益复杂的攻击,事件流通过将有关网络流量的全面信息传输到安全设备(包括下一代防火墙 (NGFW)、入侵检测和防御系统 (IDS/IPS) 以及安全 Web 网关)而发挥着至关重要的作用。 SWG)。
总体而言,SIEM 日志记录已成为现代网络安全的关键要素,可提供基于日志数据的实时和历史威胁分析。然而,记住普通日志管理和 SIEM 之间的差异至关重要。
SIEM 与日志管理:主要区别
虽然日志构成了 SIEM 功能的支柱,但 SIEM 和日志管理的流程之间存在关键区别。日志管理涉及对各种渠道的日志数据进行系统化的收集、存储和分析。该流程提供了所有日志数据的集中视角,主要用于合规性、系统故障排除和运营效率等目的。然而,日志管理系统本身并不对日志数据进行分析,而是由安全分析师来解释这些信息并判断潜在威胁的有效性。
SIEM 通过交叉引用事件日志与有关用户、资产、威胁和漏洞的上下文信息,使这一过程更进一步。这是通过多种威胁识别算法和技术来实现的:
SIEM 通过交叉引用事件日志与有关用户、资产、威胁和漏洞的上下文信息,使这一过程更进一步。这是通过多种威胁识别算法和技术来实现的:
- 事件关联 涉及使用复杂的算法来分析安全事件、识别表明潜在威胁的模式或关系并生成实时警报。
- 用户和实体行为分析(UEBA) 依靠机器学习算法来建立特定于用户和网络的正常活动的基线。任何偏离此基线的行为都会被标记为潜在的安全威胁,从而可以进行复杂的威胁识别和横向移动检测。
- 安全编排和自动化响应 (SOAR) 使 SIEM 工具能够自动响应威胁,无需等待安全技术人员查看警报。这种自动化简化了事件响应,是 SIEM 的一个组成部分。
- 浏览器取证和网络数据分析 利用 SIEM 的高级威胁检测功能来识别恶意内部人员。 这涉及检查浏览器取证、网络数据和事件日志,以揭示潜在的网络攻击计划。
意外的内部攻击
每个组件如何付诸实践的一个例子是意外的内部攻击。
当个人在攻击期间无意中协助外部恶意行为者前进时,就会发生这些攻击。例如,如果员工错误配置防火墙,可能会使组织面临更大的漏洞。认识到安全配置的至关重要性,SIEM 系统可以在每次进行更改时生成一个事件。然后,此事件将提升给安全分析师进行彻底检查,确保更改是有意且正确实施的,从而增强组织抵御因无意的内部行为而造成的潜在违规行为。
在彻底帐户接管的情况下,UEBA 允许检测可疑活动,例如超出其通常模式的帐户访问系统、维护多个活动会话或对 root 访问进行任何更改。如果威胁行为者试图升级权限,SIEM 系统会立即将此信息升级给安全团队,从而促进对潜在安全威胁的快速有效响应。
当个人在攻击期间无意中协助外部恶意行为者前进时,就会发生这些攻击。例如,如果员工错误配置防火墙,可能会使组织面临更大的漏洞。认识到安全配置的至关重要性,SIEM 系统可以在每次进行更改时生成一个事件。然后,此事件将提升给安全分析师进行彻底检查,确保更改是有意且正确实施的,从而增强组织抵御因无意的内部行为而造成的潜在违规行为。
在彻底帐户接管的情况下,UEBA 允许检测可疑活动,例如超出其通常模式的帐户访问系统、维护多个活动会话或对 root 访问进行任何更改。如果威胁行为者试图升级权限,SIEM 系统会立即将此信息升级给安全团队,从而促进对潜在安全威胁的快速有效响应。
SIEM 日志记录最佳实践
SIEM 在组织的网络安全策略中发挥着关键作用,但实施它需要对此类软件核心的日志和关联规则采取精明的方法。
#1. 通过概念验证选择您的需求
在尝试新的 SIEM 工具时,概念验证提供了一个试验场。在 PoC 阶段,亲自将日志定向到 SIEM 系统以衡量解决方案根据特定要求标准化数据的能力至关重要。可以通过在事件查看器中合并来自非标准目录的事件来支持此过程。
通过此 POC,可以确定基于代理的日志收集是否最适合您。如果您希望通过广域网 (WAN) 和防火墙收集日志,则使用代理进行日志收集可能有助于降低服务器 CPU 利用率。另一方面,无代理收集可以减轻您的软件安装需求,并降低维护成本。
通过此 POC,可以确定基于代理的日志收集是否最适合您。如果您希望通过广域网 (WAN) 和防火墙收集日志,则使用代理进行日志收集可能有助于降低服务器 CPU 利用率。另一方面,无代理收集可以减轻您的软件安装需求,并降低维护成本。
#2. 以正确的方式收集正确的日志
确保 SIEM 系统实时收集、聚合和分析来自所有相关来源(包括应用程序、设备、服务器和用户)的数据。虽然数据是 SIEM 能力的重要组成部分,但您可以通过确保覆盖组织的各个方面来进一步支持这一点。
#3。 安全端点日志
端点日志经常遇到的障碍在于,当系统间歇性地与网络断开连接时,例如当工作站关闭或远程使用笔记本电脑时,端点日志会不断变化。此外,端点日志收集的管理负担确实增加了复杂性。为了应对这一挑战,Windows 事件日志转发可用于传输集中式系统,而无需安装代理或其他功能,因为它本质上在基本 Windows 操作系统中可用。
Stellar Cyber 的端点日志方法支持多种端点日志,包括端点检测和响应 (EDR)。通过将不同的警报路径应用于不同 EDR 产品的某些子集,可以进一步准确、精确地清理端点日志信息。
Stellar Cyber 的端点日志方法支持多种端点日志,包括端点检测和响应 (EDR)。通过将不同的警报路径应用于不同 EDR 产品的某些子集,可以进一步准确、精确地清理端点日志信息。
#4。 密切关注 PowerShell
PowerShell 现在从 Windows 7 开始普遍存在于每个 Windows 实例中,已成为攻击者的著名工具。 但是,必须注意的是,默认情况下,PowerShell 不会记录任何活动 - 必须显式启用此功能。
模块日志记录是一种日志记录选项,它提供有关管道的详细执行信息,包括变量初始化和命令调用。相比之下,脚本块日志记录可以全面监视所有 PowerShell 活动,即使是在脚本或代码块中执行时也是如此。需要考虑这两点才能生成准确的威胁和行为数据。
模块日志记录是一种日志记录选项,它提供有关管道的详细执行信息,包括变量初始化和命令调用。相比之下,脚本块日志记录可以全面监视所有 PowerShell 活动,即使是在脚本或代码块中执行时也是如此。需要考虑这两点才能生成准确的威胁和行为数据。
#5。 利用 Sysmon
事件 ID 对于为每个可疑操作提供进一步的背景至关重要。 Microsoft Sysmon 提供深入的事件信息,例如进程创建、网络连接和文件哈希。当正确关联时,这可以帮助检测无文件恶意软件,否则可以逃避防病毒和防火墙。
#6。 警报和响应
尽管机器学习赋予 SIEM 工具强大的分析能力,但将其置于更广泛的整体安全范围中至关重要。其中的负责人是安全分析师 - 事件响应计划为每个利益相关者提供明确的指导方针,从而实现流畅和有效的团队合作。
该计划应指定一名高级领导作为主要负责事件处理的机构。虽然此人可以将权力委托给参与事件处理过程的其他人,但政策必须明确指定对事件响应负有主要责任的特定职位。
从那里开始,这取决于事件响应团队。对于一家大型跨国公司来说,可能有多个公司,每个公司专门负责特定的地理区域并配备了专门的人员。另一方面,较小的组织可能会选择单一的集中式团队,兼职利用来自组织各个部门的成员。一些组织还可能决定外包其事件响应工作的某些或所有方面。
保持所有团队合作是剧本,它为成熟的事件响应奠定了基础。尽管每个安全事件都有独特的性质,但大多数事件都倾向于遵守标准的活动模式,这使得标准化响应非常有益。当这种情况发生时,事件响应沟通计划概述了不同群体在活跃事件期间如何沟通 - 包括当局应何时参与。
该计划应指定一名高级领导作为主要负责事件处理的机构。虽然此人可以将权力委托给参与事件处理过程的其他人,但政策必须明确指定对事件响应负有主要责任的特定职位。
从那里开始,这取决于事件响应团队。对于一家大型跨国公司来说,可能有多个公司,每个公司专门负责特定的地理区域并配备了专门的人员。另一方面,较小的组织可能会选择单一的集中式团队,兼职利用来自组织各个部门的成员。一些组织还可能决定外包其事件响应工作的某些或所有方面。
保持所有团队合作是剧本,它为成熟的事件响应奠定了基础。尽管每个安全事件都有独特的性质,但大多数事件都倾向于遵守标准的活动模式,这使得标准化响应非常有益。当这种情况发生时,事件响应沟通计划概述了不同群体在活跃事件期间如何沟通 - 包括当局应何时参与。
5. 定义和细化数据关联规则
SIEM 关联规则充当系统的指令,指示可能表明异常、潜在安全漏洞或网络攻击的事件序列。当满足特定条件(例如事件“x”和“y”或“x”、“y”和“z”同时发生)时,它会触发向管理员发送的通知。鉴于记录看似平常活动的大量日志,精心设计的 SIEM 关联规则对于筛选噪音并查明表明潜在网络攻击的事件序列至关重要。
SIEM 关联规则与任何事件监控算法一样,有可能产生误报。过多的误报可能会浪费安全管理员的时间和精力,但在正常运行的 SIEM 中实现零误报是不切实际的。因此,在配置 SIEM 关联规则时,必须在最大限度地减少误报警报和确保不会忽视任何表明网络攻击的潜在异常之间取得平衡。目标是优化规则设置,以提高威胁检测的准确性,同时避免误报造成不必要的干扰。
SIEM 关联规则与任何事件监控算法一样,有可能产生误报。过多的误报可能会浪费安全管理员的时间和精力,但在正常运行的 SIEM 中实现零误报是不切实际的。因此,在配置 SIEM 关联规则时,必须在最大限度地减少误报警报和确保不会忽视任何表明网络攻击的潜在异常之间取得平衡。目标是优化规则设置,以提高威胁检测的准确性,同时避免误报造成不必要的干扰。
使用 Stellar Cyber 进行下一代 SIEM 和日志管理
Stellar Cyber 的平台将下一代 SIEM 集成为固有功能,通过将 NDR、UEBA、Sandbox、TIP 等多种工具整合到一个平台中来提供统一的解决方案。 这种集成将操作简化为一个有凝聚力且可访问的仪表板,从而显着降低了资本成本。 我们的 SIEM 日志管理采用自动化技术,使团队能够领先于威胁,而下一代 SIEM 的设计使团队能够有效对抗现代攻击。 要了解更多信息,欢迎您为我们预订演示 下一代 SIEM 平台.