SIEM 关联规则:增强您的威胁检测能力
日志代表企业每个角落的实时活动。每个审计日志都包含用户活动、参数、资源和时间的信息,使其成为名副其实的数据金矿。然而,使用它们来保护企业需要的不仅仅是数据:日志需要串联起来并被识别为安全或恶意的——所有这些都在攻击者能够部署有效载荷或窃取数据之前完成。这就是关联规则发挥作用的地方。
在分析中,相关性是指两个元素之间的任何关系或联系——通过映射每条日志数据之间的关系并创建 SIEM 相关规则,你的 SIEM 能够对每个数据点进行相互关联的综合监控。最后,通过在这些数据之上添加规则,将这些序列识别为安全或潜在恶意流量。正常流量会被允许,而恶意或可疑流量则会被标记并阻止。
亲身体验人工智能驱动的安全!
探索 Stellar Cyber 的尖端 AI,实现即时威胁检测和响应。立即安排您的演示!
创新中心 SIEM 相关规则有效
步骤 1:日志集中化
您所有系统的日志将被收集并转发到 SIEM这一切得益于传感器和代理——安装在终端设备、网络和服务器上的小型软件,它们被动地监控网络中传输的数据包以及设备上正在运行的操作。在此步骤中, SIEM 该工具开始将这些日志导入中央分析引擎。
第 2 步:数据规范化
虽然日志涵盖了基础架构的方方面面,但它仍然由截然不同的应用程序、服务器和硬件组成,每个组件都有其独特的日志条目格式。来自不同来源的事件日志可能包含截然不同的信息字段和数据结构。第二步是…… SIEM 相关性分析是对这些数据进行归一化处理,其原理是将不同的日志解析成一致的、标准化的格式。
日志数据归一化效率越高,速度就越快。 SIEM 可以开始分析和应用威胁检测技术。
步骤 3:数据关联
现在所有日志数据都已导入,关联引擎能够分析这些数据如何符合常见模式。 SIEM 这些工具只能识别单个字符串,但像 Stellar 这样的高级工具则增加了第二层关联分析,会考虑其他属性,例如请求和响应参数。这有助于巩固行为与相关实体之间的关系。
这是相当高级的问题,因此让我们在实际攻击的背景下考虑数据关联:考虑攻击者试图通过其身份和访问管理 (IAM) 提供商强行访问企业。所涉及的行为可能包括连续登录尝试以获取访问权限(操作 A),然后成功登录(操作 B)。接下来,他们可能会继续访问管理控制台并创建具有提升权限的新用户 - 或者启动一系列端口扫描以找出薄弱区域和敏感资源。我们将其称为操作 C。
基于规则的关联允许将每项技术、战术和程序 (TTP) 排列成一个序列:这些顺序关联可以触发规则操作,并通过警报传递给分析人员。正是这些属性的组合方式决定了识别能力。 SIEM 工具。
基于规则与行为相关性
我们刚刚讨论的攻击所涉及的操作可以通过两种方式发现:第一种是通过明确规定“如果操作 A 之后是 B,然后是 C,则触发警报”的规则。如果分析师提前意识到这种攻击的可能性,并且大致了解攻击者可能采取的 TTP,这种方法会非常有效。
然而,这并非唯一的方法:这种暴力破解攻击也可以通过更通用的规则来发现,即“如果一组操作偏离了最终用户的正常身份验证行为,则触发警报”。这条规则依赖于…… SIEM 了解终端用户通常的行为模式已成为可能;这得益于将集中式日志输入机器学习算法进行分析。有了这项技术,就可以轻松地建立用户、设备和流量行为的日常模式,从而将行为关联性作为基础。 SIEM 规则。行为相关性通常用于生成“风险评分”,分析师会为此设定一个可接受的阈值。
由于我们识别威胁的方法数量翻了一番,因此主动保持警惕比以往任何时候都更加重要。 SIEM 规则精简且高效——我们将在下面讨论如何最好地实现这一点。
的好处 SIEM 用于威胁检测的关联规则
基于签名的威胁检测
绝大多数攻击并不特别独特:机会主义攻击者复制粘贴恶意代码的情况非常普遍,以至于他们获得了“脚本小子”的绰号。这就是为什么绝大多数攻击都如此普遍的原因。 SIEM 攻击面防护是通过基于特征的检测来实现的。
恶意软件特征库网站的数量不断增长:其中最知名的数据库之一是 M&TRE ATTACK 数据库。该数据库能够识别攻击者采取的具体攻击方法,从而为安全从业人员提供了一个开源数据库。 SIEM 规则。这些规则集依赖于对已知恶意行为模式的定义。
然而,越是广泛存在的 SIEM 规则是,攻击者越重视规避规则,就越会想方设法规避它。这使得关联规则成为攻击者和安全分析师之间持续博弈的一部分。而且,如果安全团队制定的规则过多,他们就有可能被规则淹没。 SIEM 误报。
Stellar Cyber 消除了纯粹基于相关性的旧方法所面临的困难。 SIEM通过增加一层机器学习分析,分析师可以尽可能多地利用关联规则,然后第二层分析会评估每个警报的更广泛背景,以确定其合法性。
针对现实世界威胁的预填充规则
关联规则专门用于识别黑客反复使用的常见威胁,以尝试访问资源。然而,单个企业的 IT 团队可能对现实世界的 TTP 了解不够及时。毕竟,威胁情报需要持续收集、处理和应用有关恶意行为者、技术和攻击指标的数据。
这就是预打包关联规则如此有益的原因:这些预填充方法是从您所在行业的宏观视角和更广泛的威胁空间构建的。每种行为变化都可以标记并与其警报类型相关联,从而将日志警报的零散性简化为更精简的整体。
数据和访问合规性
几乎每个行业的组织都必须证明其遵守特定的法律、法规和规章制度——这些法律、法规和规章制度会根据您所在的行业而变化。欧洲分支机构需要关注GDPR,而任何以支付为导向的业务都需要遵守PCI DSS。
GDPR是最严格、影响范围最广的法规之一,它要求组织在其所有技术流程中都必须保障数据安全。 SIEM 日志记录了组织的全部资产和用户帐户,因此它在这方面具有得天独厚的优势。
这就是关联规则的真正优势:其普遍适用性。每当发现一组异常日志时,系统都会发出警报,从而为分析人员提供潜在合规性问题的预警。此外,用户还可以自定义规则,从一开始就将合规性法规融入到安全架构中。例如,如果 PCI DSS 要求您保持所有终端反恶意软件的更新,则需要实施相应的措施。 SIEM 一条规则,用于在反恶意软件解决方案未更新时发出警报。更高级 SIEM 工具可以帮助您自动化整个流程,同时保留操作记录。加速功能由……提供。 SIEM在 GDPR 等法规的背景下,这一点尤为重要,它只允许在短短 72 小时内通报和处理安全事件。
多阶段攻击和高级持续性威胁 (APT) 检测
单个关联规则非常简单,但日志的粒度可以实现更精确的解决和缓解。这就是复合规则在识别更高级威胁方面非常出色的地方:这些规则将多个规则嵌套在一起,以在特定上下文中跟踪特定行为。例如,如果在 X 分钟内在同一工作站(和同一 IP 地址)上进行 X 次登录尝试失败并使用不同的用户名 - 并且如果在网络中的任何计算机上成功登录并且来自相同的 IP 地址 - 这将触发警报。
复合规则对于切断 APT 入口点至关重要。入侵者获得对组织网络的初始访问权限,找到安全的访问点,然后不采取任何行动。虽然威胁可能看似潜伏,但他们可能只是在等待合适的时机 - 甚至是等待正在进行的攻击的买家。当他们选择时,入侵者可以轻松绕过防火墙并窃取数据或部署恶意软件,因为他们的帐户或操作被认为是安全的。
传统上,简单的关联规则在发现 APT 方面并不可靠;如果分析师不知道潜在的 TTP,他们就不太可能发现威胁。
因此,最可靠的方法是超越复合规则:现代行为模型允许将过去的行为纳入分析引擎。然后,对传入和传出网络流量的持续分析允许将任何偏离用户预期行为的行为标记为有风险。
构建最佳实践 SIEM 相关规则
确定用例的优先级
首次采用 SIEM 致贵公司, SIEM 最佳实践要求您对具体的用例有清晰的认识。 SIEM 将会解决这些问题。这些用例按优先级排序,需要仔细筛选,并评估预设规则与贵公司实际情况的契合度。之后,您可以根据实际情况,对各个细分领域的关联规则进行编辑或添加。
如果你不知道哪些具体的攻击手段可能会对你造成影响,请查看 斜接 or 洛克希德的网络杀伤链. 两者都做了大量工作,深入记录了攻击者的具体方法和漏洞。
利用防火墙
-
- A “恶意域名服务器” 规则应监控任何试图访问 DNS 应用程序的设备,目标不是内部公司 DNS 服务器。内部设备应配置为仅使用公司 DNS 服务器,然后根据需要访问互联网以解析未知域。
- A “流氓代理服务器” 规则应观察外围防火墙,以检查从 LAN 子网通过 TCP 端口 80/443 流向 Internet 或用于 Web 浏览和 SSL 应用程序的任何流量。理想情况下,只应允许来自指定代理服务器的流量;任何其他尝试此类连接的源 IP 都可能表明有人试图绕过安全措施,无论是用户还是恶意软件。
- A “僵尸网络流量” 规则可以识别使用互联网中继聊天 (IRC) 进行管理的旧命令和控制 (C2) 软件。虽然 IRC 本质上不是恶意的,但它在企业网络中的存在往往是可疑的。如果任何源或目标主机正在使用 IRC,此规则应该会触发警报,尽管某些网络管理计算机可能需要排除。
尽量减少开放端口
默认情况下,监听端口 514 的传感器会分析传入的日志;这有助于识别源设备。为日志类型指定更有针对性的端口而不是使用端口 514 有几个好处。它可以加速数据提取和日志解析,提高传感器性能,因为传感器可以立即识别源设备。最后但并非最不重要的是,根据正确的端口制定关联规则对于保存日志信息至关重要。
相反,根据其格式选择适当的端口:
- 通用事件格式 (CEF)、日志事件扩展格式 (LEEF) 或 JSON:对于这些日志类型,将数据转发到为该标准分配的端口。
- 标准 Syslog 格式日志:使用为特定供应商指定的端口。
- 对于特殊格式(例如 Syslog 与正则表达式、键值对或 CSV 相结合),请使用特定于供应商的端口。
威胁搜寻
实施主动威胁搜寻,并配合精心配置的 SIEM 该系统显著增强了其威胁检测能力,极大地提升了自动化日志分析的分析能力。而经过适当调优的 SIEM 能够有效监控和预警许多已知威胁,增加自动威胁搜寻功能,可以检测出可能绕过标准关联规则的复杂、不断演变或隐蔽的攻击。
威胁猎捕 SIEM 例如,Stellar Cyber 会在警报或异常生成后模拟其在现实世界中的潜在攻击:这种持续的验证过程有助于确保关联规则的精确性、适应性和有效性,从而抵御不断涌现的攻击手段。它还有助于确定警报的优先级,并为分析师手动进行威胁搜寻奠定基础。分析师可以搜索恶意软件沙箱记录,识别攻击尝试,从而更深入地了解针对他们的攻击手段。
集成快速响应
整合一个 SIEM 在更广泛的技术堆栈中,这增强了其有效检测、分析和应对威胁的能力。这可能包括将…… SIEM 借助端点检测与响应 (EDR)、威胁情报平台、事件响应系统以及安全编排、自动化与响应 (SOAR) 解决方案等工具,更重要的是,与安全工具的集成为自动化威胁响应铺平了道路——这也是 Stellar Cyber 的核心关注点。
Stellar Cyber 的案例超越了基本规则
Stellar Cyber 采用多模式方法来创建规则:提供一系列关联规则和 ML 驱动的行为分析,充分利用整个企业生成的所有日志。当日志数据触发单个规则时会创建警报,但 Stellar 会将这些规则关联到统一的案例中,每个案例都代表单个数据结构中可能关联的警报集合。从那里,分析师获得了一套旨在最大限度地缩短平均修复时间 (MTTR) 的剧本和补救选项。
Stellar Cyber 的警报交叉验证提供了更深入的背景信息,使分析师能够确定他们正在处理的是真正的攻击、高风险行为还是仅仅是巧合事件。了解如何设置自动响应并立即阻止恶意流量 今天有一个演示。
