SIEM 日志记录:概述与最佳实践
- 关键要点:
-
是什么 SIEM 日志记录的最佳实践是什么?
从关键系统收集日志,规范格式并确保集中可见性。 -
为什么组织应该优先考虑日志质量而不是数量?
相关的高保真日志可减少噪音并提高威胁检测的准确性。 -
日志保留的主要考虑因素是什么?
合规要求、存储效率和取证要求。 -
为什么日志丰富很重要?
它为原始数据添加了背景,使检测和调查更加有效。 -
常见的日志记录错误有哪些?
过度收集而缺乏规范,忽略关键来源,保留政策薄弱。 -
Stellar Cyber 如何优化 SIEM 登录?
它使用 Interflow™ 来丰富日志的元数据,并将它们有效地存储在集中式数据湖中。
安全信息和事件管理(SIEM是一款关键的网络安全工具,它集中管理组织内数千个终端、服务器和应用程序周围的安全信息。当最终用户和设备与每个应用程序交互时,它们都会以日志的形式留下数字指纹。这些文件历来在漏洞修复和质量控制中发挥着重要作用:毕竟,它们提供了来自源头的错误信息。
然而,到了2005年,安全专家开始意识到这些小文件蕴藏的真正潜力。它们提供了大量可以输入到系统中的实时数据。 SIEM 日志记录用于监控此类 IT 基础设施。自那时起,安全专家一直在谨慎权衡威胁可见性和事件日志量之间的利弊。本文将介绍几个最佳实践。 SIEM 日志管理——让您的安全工具充分发挥其潜力
亲身体验人工智能驱动的安全!
探索 Stellar Cyber 的尖端 AI,实现即时威胁检测和响应。立即安排您的演示!
SIEM 事项
主要意义 SIEM 日志管理的关键在于其能够高效分析海量日志,使安全分析师能够专注于关键威胁。此外, SIEM 系统能够规范异构企业环境中的数据以简化分析,基于日志数据提供实时和历史威胁分析,在检测到潜在安全威胁时发送按严重程度排序的自动警报,并维护对事件响应和取证调查至关重要的详细记录。本质上, SIEM 在当今错综复杂的 IT 环境中,日志管理对于建立和维持强大且响应迅速的安全态势至关重要。
什么是 SIEM 日志记录及其工作原理?
为了提供实时安全保障, SIEM 软件从多个来源收集日志,并将其传输到中央日志系统。 “什么是 SIEM? 答案是,可以深入探究各种采用的方法。 SIEM 模具
基于代理的日志收集
直接连接
事件流协议
虽然基于代理和无代理的日志记录方法提供了不同的数据收集方式,但基于事件的架构将此过程重新概念化为事件流经河流。每个事件都可以被下游消费者捕获并进一步处理。NetFlow 是思科设计的一种协议,它就是这种方法的一个示例。每当有人进入或退出接口时,它都会收集 IP 网络流量。通过分析 NetFlow 数据,网络管理员能够识别关键信息,包括流量的来源和目的地、所使用的协议以及通信时长。这些数据通过 NetFlow 收集器收集,该收集器不仅捕获必要的流量详细信息,还记录时间戳、请求的数据包以及 IP 流量的入口和出口接口。
面对日益复杂的攻击,事件流通过将有关网络流量的全面信息传输到安全设备(包括下一代防火墙 (NGFW)、入侵检测和防御系统 (IDS/IPS) 以及安全 Web 网关)而发挥着至关重要的作用。 SWG)。
总体而言, SIEM 日志记录已成为现代网络安全的关键要素,它能够基于日志数据提供实时和历史威胁分析。然而,必须牢记传统日志管理与高级日志管理之间的区别。 SIEM.
SIEM 与日志管理:主要区别
原木构成了……的骨架 SIEM 能力方面,流程之间存在关键区别: SIEM 以及日志管理。日志管理涉及系统地收集、存储和分析来自各种渠道的日志数据。此过程提供了一个集中化的日志数据视图,主要用于合规性、系统故障排除和运营效率等目的。然而,日志管理系统本身并不对日志数据进行分析——相反,安全分析师需要负责解读这些信息并判断潜在威胁的有效性。
SIEM 该系统更进一步,将事件日志与用户、资产、威胁和漏洞相关的上下文信息进行交叉比对。这是通过一系列用于威胁识别的算法和技术实现的:
- 事件关联 涉及使用复杂的算法来分析安全事件、识别表明潜在威胁的模式或关系并生成实时警报。
- 用户和实体行为分析(UEBA) 依靠机器学习算法来建立特定于用户和网络的正常活动的基线。任何偏离此基线的行为都会被标记为潜在的安全威胁,从而可以进行复杂的威胁识别和横向移动检测。
- 安全编排和自动化响应 (SOAR) 使 SIEM 用于自动响应威胁的工具,无需等待安全技术人员审核警报。这种自动化简化了事件响应流程,并且是不可或缺的组成部分。 SIEM.
- 浏览器取证和网络数据分析 利用 SIEM具备先进的威胁检测能力,能够识别恶意内部人员。这包括检查浏览器取证、网络数据和事件日志,以揭示潜在的网络攻击计划。
意外的内部攻击
每个组件如何付诸实践的一个例子是意外的内部攻击。
这些攻击发生在个人无意中协助外部恶意行为者推进攻击的过程中。例如,如果员工错误配置了防火墙,可能会使组织面临更大的安全漏洞。鉴于安全配置的重要性, SIEM 系统每次进行更改时都会生成一个事件。该事件随后会提交给安全分析师进行彻底审查,以确保更改是故意的且已正确实施,从而加强组织抵御因内部人员无意行为而导致的潜在安全漏洞。
在账户被彻底接管的情况下, UEBA 允许检测可疑活动,例如帐户以非正常模式访问系统、维持多个活动会话或更改 root 访问权限。如果威胁行为者试图提升权限, SIEM 系统会立即将此信息上报给安全团队,以便对潜在的安全威胁做出迅速有效的反应。
SIEM 日志记录最佳实践
#1. 通过概念验证选择您的需求
尝试新事物时 SIEM 工具“概念验证”提供了一个测试平台。在概念验证阶段,亲自将日志定向到该工具至关重要。 SIEM 该系统用于评估解决方案根据特定要求规范化数据的能力。通过将来自非标准目录的事件纳入事件查看器,可以增强此过程。
通过此 POC,可以确定基于代理的日志收集是否最适合您。 如果您希望通过广域网 (WAN) 和防火墙收集日志,则使用代理进行日志收集可能有助于降低服务器 CPU 利用率。 另一方面,无代理收集可以减轻您的软件安装需求,并降低维护成本。
#2. 以正确的方式收集正确的日志
#3。 安全端点日志
端点日志经常遇到的障碍在于,当系统间歇性地与网络断开连接时,例如当工作站关闭或远程使用笔记本电脑时,端点日志会不断变化。 此外,端点日志收集的管理负担确实增加了复杂性。 为了应对这一挑战,Windows 事件日志转发可用于传输集中式系统,而无需安装代理或其他功能,因为它本质上在基本 Windows 操作系统中可用。
Stellar Cyber 的端点日志方法支持多种端点日志,包括端点检测和响应 (EDR)。 通过将不同的警报路径应用于不同 EDR 产品的某些子集,可以进一步准确、精确地清理端点日志信息。
#4。 密切关注 PowerShell
PowerShell 现在从 Windows 7 开始普遍存在于每个 Windows 实例中,已成为攻击者的著名工具。 但是,必须注意的是,默认情况下,PowerShell 不会记录任何活动 - 必须显式启用此功能。
模块日志记录是一种日志记录选项,它提供有关管道的详细执行信息,包括变量初始化和命令调用。 相比之下,脚本块日志记录可以全面监视所有 PowerShell 活动,即使是在脚本或代码块中执行时也是如此。 需要考虑这两点才能生成准确的威胁和行为数据。
#5。 利用 Sysmon
#6。 警报和响应
尽管机器学习赋予了 SIEM 使用工具时,将其置于上下文中至关重要。
更广泛地涵盖您的整体安全。其中最重要的是您的安全分析师——事件响应计划为每个利益相关者提供了明确的指导方针,从而实现流畅有效的团队合作。
该计划应指定一名高级领导作为主要负责事件处理的机构。 虽然此人可以将权力委托给参与事件处理过程的其他人,但政策必须明确指定对事件响应负有主要责任的特定职位。
从那里开始,这取决于事件响应团队。 对于一家大型跨国公司来说,可能有多个公司,每个公司专门负责特定的地理区域并配备了专门的人员。 另一方面,较小的组织可能会选择单一的集中式团队,兼职利用来自组织各个部门的成员。 一些组织还可能决定外包其事件响应工作的某些或所有方面。
保持所有团队合作是剧本,它为成熟的事件响应奠定了基础。 尽管每个安全事件都有独特的性质,但大多数事件都倾向于遵守标准的活动模式,这使得标准化响应非常有益。 当这种情况发生时,事件响应沟通计划概述了不同群体在活跃事件期间如何沟通 - 包括当局应何时参与。
5. 定义和细化数据关联规则
A SIEM 关联规则作为系统的指令,指示可能暗示异常、潜在安全漏洞或网络攻击的事件序列。当满足特定条件(例如事件“x”和“y”或“x”、“y”和“z”同时发生)时,它会触发通知发送给管理员。鉴于大量日志记录了看似平常的活动,一个设计良好的关联规则至关重要。 SIEM 相关性规则对于筛选噪声、找出可能预示潜在网络攻击的事件序列至关重要。
SIEM 与任何事件监控算法一样,关联规则也有可能产生误报。过多的误报会浪费安全管理员的时间和精力,但在一个运行良好的系统中实现零误报是至关重要的。 SIEM 不切实际。因此,在配置时 SIEM 在关联规则中,必须在最大限度减少误报和确保不遗漏任何可能预示网络攻击的异常情况之间取得平衡。目标是在提高威胁检测准确性的同时,优化规则设置,避免因误报而造成不必要的干扰。
下一代 SIEM 以及使用 Stellar Cyber 进行日志管理
Stellar Cyber的平台集成了下一代技术 SIEM 作为一项固有能力,通过整合包括 NDR 在内的多种工具,提供统一的解决方案。 UEBA我们将 Sandbox、TIP 等功能整合到一个统一的平台中。这种整合将操作简化到一个统一且易于访问的控制面板中,从而显著降低了资本成本。 SIEM 日志管理采用自动化技术,使团队能够领先于威胁,而下一代的设计则体现了这一点。 SIEM 助力团队有效应对现代攻击。如需了解更多信息,欢迎预约演示。 下一代 SIEM 平台.
