目录
SIEM 警报:常见类型和最佳实践
当网络犯罪分子获得网络、设备或帐户的访问权限时,损害控制就变成了与时间的赛跑。然而,构成平均技术堆栈的应用程序和帐户的数量可能使攻击者的行为成为一根非常锋利的针——埋在几英亩的干草中。
通过持续监控和分析安全事件,SIEM 技术可以检测发生的异常模式或行为,并提醒安全人员攻击者的准确行踪。这些事件包括未经授权的访问尝试、异常网络流量或系统漏洞等活动。一旦发现潜在威胁,SIEM系统可以生成警报或通知,以促使安全人员及时调查和响应。
然而,确保您的解决方案适合威胁检测(而不是向您的安全团队发出无休止的 SIEM 警报)至关重要。本文将介绍 SIEM 警报的详细信息 – 它们可以帮助预见和预防哪些攻击;以及如何最好地设置您的 SIEM 以取得成功。
通过持续监控和分析安全事件,SIEM 技术可以检测发生的异常模式或行为,并提醒安全人员攻击者的准确行踪。这些事件包括未经授权的访问尝试、异常网络流量或系统漏洞等活动。一旦发现潜在威胁,SIEM系统可以生成警报或通知,以促使安全人员及时调查和响应。
然而,确保您的解决方案适合威胁检测(而不是向您的安全团队发出无休止的 SIEM 警报)至关重要。本文将介绍 SIEM 警报的详细信息 – 它们可以帮助预见和预防哪些攻击;以及如何最好地设置您的 SIEM 以取得成功。
什么是 SIEM 警报?
SIEM 警报是向安全专业人员通报潜在安全事件的通知。这些警报是根据文件元数据和用户行为的检测、关联和聚合而构建的。为了更深入地了解 SIEM 是什么,我们的学习资源是一个美妙的开始。不过,重点关注警报过程,这里有一个逐步的步骤
事件生成
本地或云租赁中的几乎每个文件都在创建持续的日志流。通过与这些日志源集成,SIEM 技术开始建立对支持防火墙、入侵检测系统、防病毒解决方案、服务器和其他安全设备的实时进程的认识。
活动收集
并非所有日志都是一样的,但为了确定哪些日志值得仔细研究,SIEM 必须首先从这些不同来源收集大量事件,并将它们集中在其分析系统中。
正常化
从不同来源收集的事件可能使用不同的格式和标准。虽然错误事件表明存在严重问题,例如数据丢失或功能丢失,但警告事件可能仅表明未来可能出现的问题。除此之外,从 Active Directory 到操作系统的各种文件格式和类型都要求 SIEM 的标准化功能将这些事件标准化为通用格式。
事件存储
标准化事件存储在安全的集中式数据库中。这样可以进行历史分析、合规报告和取证调查。
检测
检测涉及分析事件以识别潜在的安全事件。 SIEM 系统使用预定义的规则、签名和行为分析来检测表明安全威胁的异常或模式。规则可能包括多次失败的登录尝试、来自异常位置的访问或已知的恶意软件签名等条件。
相关
关联是 SIEM 流程中的关键步骤。它涉及分析多个相关事件以确定它们是否共同代表安全事件。相关性有助于识别复杂的攻击模式,这些模式在单独查看单个事件时可能会被忽视。
聚合
聚合涉及组合相关事件以提供安全事件的综合视图。此步骤通过向安全专业人员提供更简洁且易于管理的警报集来帮助减少警报疲劳。
此过程最终会生成警报。一旦通过检测、关联和聚合识别出潜在的安全事件,SIEM 系统就会生成警报。警报包括有关事件的详细信息,例如威胁类型、受影响的系统以及事件的严重性。
此过程最终会生成警报。一旦通过检测、关联和聚合识别出潜在的安全事件,SIEM 系统就会生成警报。警报包括有关事件的详细信息,例如威胁类型、受影响的系统以及事件的严重性。
SIEM 中不同类型的警报
SIEM 警报的目的不是滚动浏览大量数据,而是提供针对潜在威胁的集中且按优先级排序的视图。常见的 SIEM 警报示例包括:
- 异常用户行为:当用户表现出异常活动(例如多次登录尝试失败、未经授权访问资源或不规则数据传输)时,可能会触发安全警报。
- 监控系统或应用程序错误: SIEM 系统仔细检查日志,及时对系统或应用程序中的严重错误或故障发出警报,揭示潜在的漏洞或错误配置。
- 数据泄露:针对未经授权的访问或敏感数据的泄露,系统会生成警报,使组织能够迅速做出反应并最大程度地减少由此产生的影响。
- 违规行为:可在 SIEM 系统内配置,监控机制在违反监管或违反内部政策的情况下发出警报,确保遵守既定标准。
当发现其中一种异常情况时,系统会生成警报并将其转发到集中式网络运营中心、SRE 或特定 DevOps 团队,以便及时响应。从那里,事件的严重性可以进行警报过滤、重复数据删除和分析——每一项都有助于减少误报的数量。虽然 IT 人员传统上依赖于手动警报分类来评估每个问题的严重性,但内置的关联规则现在允许 SIEM 平台承担越来越多的责任。
警报触发器的类型
基于规则的触发器经常在 SIEM 警报中使用,依靠预定义的条件来识别特定事件。安全团队利用这些触发器根据不同方面(例如已知的攻击模式、妥协指标或可疑活动)建立各种规则。这些规则充当过滤器,使 SIEM 系统能够在观察到的事件符合指定条件时生成警报。
对于 SIEM 同样重要的是,基于阈值的触发器涉及为事件或指标建立特定阈值或限制。当这些阈值超过或低于设定参数时,系统会生成警报。事实证明,这种类型的触发器在检测异常行为或模式偏差方面很有价值。
异常检测是 SIEM 警报示例的另一个重要组成部分,旨在识别与预期行为的偏差。此过程需要分析历史数据以建立日常活动的基线概况。然后将传入事件与这些基线进行比较,系统将任何值得注意的偏差标记为潜在异常。异常检测可有效检测以前未知的攻击或零日攻击,以及识别难以捉摸的内部威胁或未经授权的活动。
这些触发器中的每一个都结合起来创建了一个自适应票务层,可以很好地适应现有的票务平台。一些解决方案甚至更进一步,通过 AIOps 过滤、重复数据删除和规范化来自不同系统的警报,利用 AI/ML 识别大量警报中的相关模式。
对于 SIEM 同样重要的是,基于阈值的触发器涉及为事件或指标建立特定阈值或限制。当这些阈值超过或低于设定参数时,系统会生成警报。事实证明,这种类型的触发器在检测异常行为或模式偏差方面很有价值。
异常检测是 SIEM 警报示例的另一个重要组成部分,旨在识别与预期行为的偏差。此过程需要分析历史数据以建立日常活动的基线概况。然后将传入事件与这些基线进行比较,系统将任何值得注意的偏差标记为潜在异常。异常检测可有效检测以前未知的攻击或零日攻击,以及识别难以捉摸的内部威胁或未经授权的活动。
这些触发器中的每一个都结合起来创建了一个自适应票务层,可以很好地适应现有的票务平台。一些解决方案甚至更进一步,通过 AIOps 过滤、重复数据删除和规范化来自不同系统的警报,利用 AI/ML 识别大量警报中的相关模式。
管理 SIEM 警报的最佳实践
为了在恶意软件深入网络之前将其阻止,SIEM 运用了大量的警报、事件和日志,但就像运动传感器灯一样,有时警报会捕获老鼠而不是远程访问特洛伊木马。
持续不断的警报的原因之一是先前的安全解决方案之间缺乏凝聚力。虽然 IPS、NIDS 和 HIDS 分别提供网络和端点保护,但发出的低质量警报可能会迅速上升,特别是当集成安全设备无法协同工作,而是将每个警报都投给过度兴奋的安全团队时。
SIEM 警报最佳实践通过整合和完善所有这些警报来缓解警报噪音,但最佳实践对于使其符合目的至关重要,而不是导致长期倦怠。
持续不断的警报的原因之一是先前的安全解决方案之间缺乏凝聚力。虽然 IPS、NIDS 和 HIDS 分别提供网络和端点保护,但发出的低质量警报可能会迅速上升,特别是当集成安全设备无法协同工作,而是将每个警报都投给过度兴奋的安全团队时。
SIEM 警报最佳实践通过整合和完善所有这些警报来缓解警报噪音,但最佳实践对于使其符合目的至关重要,而不是导致长期倦怠。
制定自己的规则
规则定义了 SIEM 对正常行为和恶意行为的理解。单个警报可以有一个或多个规则,具体取决于您如何定义它。虽然这为及时捕获安全事件提供了坚实的基础,但对创建大量自定义警报保持警惕也很重要。为同一组任务设置多个警报肯定会混淆安全洞察力。
在发出新警报之前检查您的警报
在实施新的警报规则之前,必须检查现有警报以确定是否已存在具有相同目的的内置警报。如果不存在,则必须收集有关检测到此警报之前和之后将发生的事件序列的信息。
选择要标记的内容时要准确
警报泛滥主要是由于警报描述字段中的模糊性或歧义而发生的。除此之外,选择不正确的类别或严重性可能会导致高优先级工作流程中出现相对平常的问题,从而极大地让 IT 团队陷入困境。描述需要尽可能精确,而类别需要准确反映安全团队的工作流程和优先级。
牢记法规
每个组织都需要遵守各种地方、地区和联邦法律,以履行其网络安全义务。创建自定义警报规则时,请记住每项特定法规的期望。
依赖简单和复合规则
基本 SIEM 规则旨在识别特定事件类型并启动预定义响应。例如,如果电子邮件包含附加的 ZIP 文件,则简单的规则可能会触发警报。虽然基本规则是有益的,但高级复合规则可以组合两个或多个规则来识别更复杂的行为模式。例如,如果十分钟内从单个 IP 地址使用不同的用户名对同一计算机进行七次身份验证尝试失败,则复合规则可能会触发警报。此外,如果在网络内的任何计算机上成功登录并且来自同一 IP 地址,则复合规则也可以触发警报。
测试
创建警报后,请进行多次测试运行以验证其功能是否正确。对自定义警报的严格测试使您能够完善关联规则,确保最佳性能和有效性。
虽然关联规则是 SIEM 最佳实践的重要组成部分,但它并不智能——它们不会评估所评估事件的历史记录。例如,他们不在乎昨天计算机是否感染了病毒;他们不在乎。它只对规则执行时系统是否被感染感兴趣。此外,每次执行一组时都会评估关联规则 - 系统不会考虑任何其他数据来确定是否评估关联规则。
这就是为什么其他两种形式的威胁检测至关重要:
虽然关联规则是 SIEM 最佳实践的重要组成部分,但它并不智能——它们不会评估所评估事件的历史记录。例如,他们不在乎昨天计算机是否感染了病毒;他们不在乎。它只对规则执行时系统是否被感染感兴趣。此外,每次执行一组时都会评估关联规则 - 系统不会考虑任何其他数据来确定是否评估关联规则。
这就是为什么其他两种形式的威胁检测至关重要:
设置和调整阈值
基于阈值的触发器涉及为事件或指标建立特定阈值或限制。当这些阈值超过或低于设定参数时,系统会生成警报。事实证明,这种类型的触发器在检测异常行为或模式偏差方面很有价值。
虽然某些规则可以保持不变,但阈值是需要定期调整的一些最重要的警报形式。像用户群或员工的扩展这样简单的事情可能会导致一波又一波不必要的警报。
虽然某些规则可以保持不变,但阈值是需要定期调整的一些最重要的警报形式。像用户群或员工的扩展这样简单的事情可能会导致一波又一波不必要的警报。
定义你的异常情况
除了设定的规则之外,行为模型还根据用户、应用程序或帐户的标准行为来对其进行分析。当模型识别出异常行为时,它会应用规则进行评估,然后发出警报。确保建立具有不同类别行为类型的模型——这使它们能够生成不同的警报配置文件并大大加快补救工作的速度。
与关联规则类似,孤立模型评估通常不会提示警报。相反,系统根据所应用的模型为每个会话分配分数。当会话的累积积分超过预定义阈值时,系统就会触发警报。为每个模型建立和定义这种风险承受能力是管理和控制生成的警报量的一个关键方面。
与关联规则类似,孤立模型评估通常不会提示警报。相反,系统根据所应用的模型为每个会话分配分数。当会话的累积积分超过预定义阈值时,系统就会触发警报。为每个模型建立和定义这种风险承受能力是管理和控制生成的警报量的一个关键方面。
下一代 SIEM 警报
SIEM 解决方案价格昂贵,并且难以部署和配置。但是,那
SIEM 工具的成功取决于其与当前技术堆栈紧密集成的能力。
Stellar Cyber 的 SIEM 提供 400 多个开箱即用的集成,将您的方法从被动转变为主动。阻止保安人员涉水通过
无尽的不匹配警报,并针对具有下一代功能的攻击者翻转脚本
例如自动威胁搜寻和人工智能驱动的分析。下一代 SIEM 警报采用超灵活的数据源并将其转换为可扩展的分析。
了解更多关于我们的 下一代 SIEM 平台 能力并开始关注
事件而不是警报。