Продукты программного обеспечения и службы SIEM объединяют
Ссылка скрыта от гостей
(
Ссылка скрыта от гостей
(SIM)) и менеджмент событий безопасности ((security event management)SEM). Они предоставляют анализ предупреждений о безопасности в режиме реального времени, создаваемых сетевым оборудованием и приложениями.Поставщики продают SIEM в качестве программного обеспечения, в качестве устройств или в качестве управляемых служб; эти продукты также используются для регистрации данных безопасности и создания отчетов в целях согласования.
Несмотря на то, что индустрия решила использовать термин ‘
Ссылка скрыта от гостей
’ в качестве всеобъемлющего термина для этого типа программного обеспечения безопасности, он развился из нескольких различных (но дополнительных) технологий, которые были до него.- LMS“Log Management System”– система, которая собирает и хранит файлы журналов (из операционных систем, приложений и т. д.) из нескольких хостов и систем в одном месте, обеспечивая централизованный доступ к журналам, а не к их доступу от каждой системы по отдельности.
- SLM /SEM “Security Log/Event Management”– LMS, который продаётся аналитикам в сфере безопасности вместо системных администраторов. SEM - это выделение записей журнала в качестве более важных для безопасности, чем другие.
- SIM “Security Information Management”– система управления активами, которая обладает функциями для объединения информации о безопасности. У хостов могут быть отчеты об уязвимостях, перечисленные в их сводках, оповещения об обнаружении вторжений и предупреждения AntiVirus могут отображаться в соответствующих системах.
- SEC “Security Event Correlation”– Для определенного программного обеспечения три неудачных попытки входа в одну учетную запись пользователя из трех разных клиентов составляют всего три строки в своем файле журнала. Для аналитика это определенная последовательность событий, заслуживающих расследования и корреляции журнала (поиск шаблонов в файлах журналов), что в свою очередь является способом поднять тревогу, когда происходит описанное выше.
- SIEM “Security Information and Event Management”– SIEM включает в себя все вышеуказанные опции, и по мере того, как вышеупомянутые технологии объединяются в отдельные продукты, они становятся обобщенным термином для управления информацией, созданной с помощью элементов управления безопасностью и инфраструктуры. Мы будем использовать термин SIEM в оставшейся части этой презентации.
- Data aggregation:
Ссылка скрыта от гостейобъединяет данные из многих источников, включая сеть, безопасность, серверы, базы данных, приложения, обеспечивая возможность консолидировать контролируемые данные, чтобы избежать упущения важных событий.
- Корреляция (Correlation): ищет общие атрибуты и связывает события вместе в значимые связки. Эта технология обеспечивает возможность использовать различные методы корреляции для интеграции разных источников, чтобы превратить данные в полезную информацию. Корреляция обычно является функцией части управления событиями безопасности (the Security Event Management) SIEM.
- Механизм предупреждений (Alerting): автоматизированный анализ взаимосвязанных событий и создание предупреждений, чтобы немедленно сообщить получателям о проблемах. Предупреждение может быть отображено на приборной панели или отправлено через сторонние каналы, такие как электронная почта.
- Инструментальная панель (Dashboards): Инструменты могут принимать данные о событиях и превращать их в информационные диаграммы, чтобы помочь увидеть шаблоны или определить активность, которая выходит за рамки деятельности, проводимой стандартным шаблоном.
- Совместимость (Compliance): Приложения могут использоваться для автоматизации сбора данных совместимости, подготовки отчетов, которые адаптируются к существующим процессам безопасности, управления и аудита.
- Сохранение (Retention): использует долгосрочное хранение данных для облегчения их дальнейшей корреляции данных с течением времени и обеспечивает удержание, необходимое для соблюдения требований совместимости. Долгосрочное сохранение данных журнала имеет решающее значение в судебных расследованиях, поскольку маловероятно, что обнаружение нарушений в работе сети произойдет именно в момент её взлома.
- Криминалистический анализ (Forensic analysis): Представляет собой возможность расширенного поиска в журналах на разных узлах и в различных периодах времени на основе определенных критериев. Это уменьшает необходимость агрегировать информацию журнала в вашей голове или выполнять поиск по тысячам из многих тысяч журналов.
Возможно, вы заметили слово «Взаимосвязь/Корреляция» (“Co-Relation”). Да, на вопрос «Как работает SIEM», можно дать твердый ответ, что это взаимосвязь. Но не только это, само собой.
В основном, инструмент SIEM собирает журналы с устройств, присутствующих в инфраструктуре организации. Некоторые решения также собирают NetFlow и необработанные пакеты. С собранными данными (в основном, журналами, пакетами) инструмент предоставляет реальное видение событий в сети.
Он предоставляет данные для каждого события, происходящего в сети, и, таким образом, действует как полностью централизованная система мониторинга безопасности.
В дополнение к этому инструмент SIEM может быть настроен для обнаружения конкретного
Ссылка скрыта от гостей
. Например, пользователь пытается войти на сервер AD. В течение первых 3-х раз аутентификация завершилась неудачно, и в 4-й раз это удалось. Теперь эта именно тот случай, который следует рассмотреть.Есть много возможностей. Возможно, человек пытается угадать пароль другого пользователя и успешно справился с поставленной задачей, что, само по себе является серьезным нарушением. Или, может быть, пользователь просто забыл свой пароль, но, в конце концов, получил его и так далее. Здесь и происходит взаимосвязь/корреляция.
В таком случае правило взаимосвязи может быть выполнено таким образом, что если событие проверки подлинности происходит 3 раза подряд, за которым следует успех в определенный период времени, появляется предупреждение.
Это может быть дополнительно исследовано путем анализа журналов с соответствующих машин. Поэтому мое определение взаимосвязи: «Это правило объединяет события в инцидент, который определяется конкретным приложением или сценарием».
Компоненты для SIEM – Список всех компонентов, которые вам понадобятся для корректного развертывания SIEM
Журналы и предупреждения:
Контроль безопасности
- Обнаружение вторжений
- Сигнатурная технология защиты (Endpoint Security (Antivirus, и т.д.))
- Предотвращение потери данных
- VPN Концентраторы
- Веб фильтры
- Honeypots
- Брандмауэры
- Сопоставление конфигураций
- Местоположение
- Владельцы
- Карты сетей
- Отчеты об уязвимостях
- Инвентаризация программного обеспечения
- Роутеры/маршрутизаторы
- Коммутаторы/переключатели (Switches)
- Контроллеры домена
- Беспроводной доступ
- Сервера приложений
- Базы данных
- Программное обеспечение внутренней сети (Intranet Applications)
- Бизнес
- Точки соприкосновения
- Партнеры
-
Ссылка скрыта от гостей- это сердце и душа SIEM - чем больше источников, отправляющих журналы в SIEM, тем более существенные результаты могут быть достигнуты с помощью SIEM.
- Журналы сами по себе редко содержат информацию, необходимую для понимания их содержания в контексте вашего бизнеса.
- Аналитики безопасности имеют ограниченную пропускную способность для того, чтобы быть ознакомленными с каждой последней системой, от которой зависит ваша ИТ-операция.
- Только со всеми журналами, которые видит аналитик, это может называться «Подключение от хоста A к хосту B».
- Тем не менее, для администратора этой системы это становится «Ежедневным переносом транзакций из точки продажи в дебиторскую задолженность».
- Аналитик нуждается в этой информации, чтобы провести обоснованную оценку любого предупреждения безопасности, связанного с этим соединением.
- Истинное значение журналов коррелирует с получением действительной информации.
- Нормальную активность
- Состояние ошибок
- Изменение в конфигурациях
- Изменения в политике
- Доступ пользователей к активам
- Предупреждения об инцидентах
- Неавторизированное использование ресурсов
- Непривилегированный доступ к файлам
- Шаблоны поведения пользователей
- Очистка конфиденциальных данных
- Доступ к аудиторским следам
Каким образом журналы попадают в SIEM?
Журналы выбираются в SIEM двумя разными способами. На основе агента (Agent-based) и не основанные на агенте (Non-Agent based). В подходе, основанном на агенте, агент продвижения/предоставления журнала устанавливается на клиентской машине, с которой собираются журналы.
Затем этот агент настроен на пересылку журналов. В более позднем типе клиентская система отправляет журналы самостоятельно, используя службу, такую как Syslog или Windows Event Collector и т. д.
Существуют также специальные приложения и устройства, которые могут быть интегрированы с помощью ряда конкретных процедур поставщика.
Каким именно образом SIEM будет поднимать тревогу?
Итак, теперь вы знаете, что журналы с разных устройств отправляются в SIEM. Возьмем пример: сканирование портов инициируется на определенном компьютере. В таком случае машина создаст много необычных журналов.
Анализируя журналы, будет ясно, что ряд отказов соединений происходит с различными портами в определенные промежутки времени.
Если возможно видеть информацию о пакете, мы можем обнаруживать запросы SYN, отправляемые с одного и того же IP-адреса на один и тот же IP-адрес, однако на разные порты через регулярные интервалы. Это приводит нас к выводу о том, что кто-то инициировал сканирование SYN против наших ресурсов.
SIEM автоматизирует этот процесс и поднимает тревогу. Различные решения делают это по-разному, но дают одинаковые результаты.
Путь к успешному использованию SIEM
Путь к успешному использованию SIEM выглядит примерно так:
- Собирайте журналы из стандартных источников безопасности.
- Наполните журналы как можно большими дополнительными данными.
- Определение глобальных угроз (черные списки).
- Управление персоналом, а именно управление контентом, загружаемым их Интернета.
- Корреллировать - поиск пресловутых игл в журнальных стогах сена.
- Расследовать - следить и исправлять.
- Документировать - Стандартные рабочие процедуры, Соглашения об уровне обслуживания, Неисправности.
- Объединение данных - создавать белые списки и новый контент.
С растущим использованием решений SIEM коммерческие предприятия стремятся решить ряд проблем безопасности и бизнеса, которые можно наблюдать во время повседневной работы. В этом сообщении мы рассмотрим 10 лучших случаев использования SIEM с обзором того, как вы можете использовать его для обнаружения такого поведения в вашей инфраструктуре
Ниже перечислены 10 самых лучших случаев:
1. Аутентификация или нестандартные попытки входа
Нестандартные попытки аутентификации, попытки аутентификации в нерабочее время и т. д., с использованием данных из Windows, Unix и любого другого приложения для аутентификации.
2. Общие/совместные учетные записи
Несколько источников (внутренние/внешние), которые выполняют сеансовые запросы для определенной учетной записи пользователя в течение заданного периода времени, используя данные входа из таких источников, как Windows, Unix и т. д.
3. Деятельность, связанная с сеансом
Длительность сеанса, неактивные сеансы и т. д., используя данные, связанные с сеансом для входа в систему, особенно с сервера Windows.
4. Детали соединений
Соединения могут быть подлинными или фиктивными. Подозрительное поведение может включать себя попытки подключения к закрытым портам, блокированные внутренние подключения, подключение к ненадежным адресам и т. д., используя данные из брандмауэров, сетевых устройств или данных потока. Внешние источники могут быть дополнительно насыщенны данными для того, чтобы обнаружить доменное имя, страну и географические данные.
5. Аномальное/нестандартное административное поведение
Мониторинг неактивных учетных записей, учетных записей с неизменными паролями, ненормальные действия по управлению учетными записями и т. д., используя данные из связанных с управлением учетными записями административного домена (AD).
6. Кража информации
Попытка эксфильтрации данных, утечка информации через электронные письма и т. д., с использованием данных с почтовых серверов, а также приложений для совместного использования файлов и т. д.
7. Сканирование на наличие уязвимостей и корреляция
Идентификация и корреляция уязвимостей безопасности, обнаруженных такими приложениями, как Qualys, против других подозрительных событий.
8. Статистический анализ
Статистический анализ может быть проведен для изучения характера данных. Для этой цели можно использовать такие функции, как среднее значение (average), медиана (median), квантиль (quantile), квартиль (quartile) и т. д. Численные данные из всех источников могут использоваться для мониторинга таких отношений, как соотношение входящего и исходящего трафика, использование данных для каждого приложения, сравнение времени ответа и т. д.
9. Обнаружение вторжений и заражений
Это можно сделать, используя данные из IDS / IPS, антивирусного программного обеспечения, приложений по работе с вредоносным ПО и т. д.
10. Деятельность, связанная с изменением системы
Это можно сделать, используя данные для изменений в конфигурациях, изменения конфигурации аудита, изменения политики, нарушения правил и т. д.
Критический контроль и SIEM
Критический контроль 1: Инвентаризация авторизованных и неавторизованных устройств
SIEM может сопоставлять активность пользователя с правами и ролями пользователей, чтобы выявлять нарушения соблюдения минимальных привилегий, которые требуются для этого элемента управления.
Критический контроль 2: Инвентаризация авторизованного и неавторизованного программного обеспечения
SIEM следует использовать в качестве базы данных инвентаризации авторизованного программного обеспечения для корреляции с сетевой деятельностью и активностью приложений.
Критический контроль 3: Защищенные конфигурации аппаратного и программного обеспечения на ноутбуках, рабочих станциях и серверах
Известные уязвимости по-прежнему являются ведущим средством успешных эксплойтов. Если инструмент автоматического сканирования устройств обнаруживает неправильно сконфигурированную сетевую систему во время пересчета конфигурации (Common Configuration Enumeration (CCE)), об этой ошибке следует сообщить SIEM в качестве центрального источника для подобного рода предупреждений. Это помогает в устранении инцидентов, а также в улучшении общей позиции безопасности.
Критический контроль 4: Безопасные конфигурации для сетевых устройств, таких как брандмауэры, маршрутизаторы и коммутаторы
Любую неверную конфигурацию на сетевых устройствах следует также передавать в SIEM для консолидированного анализа
Критический контроль 5: Защита границ
Нарушения сетевых правил, такие как раскрытие CCE, также должны сообщаться одному центральному источнику (SIEM) для корреляции с авторизованными инвентарными данными, хранящимися в решении SIEM
Критический контроль 6: Техническое обслуживание, мониторинг и анализ журналов аудита
Шестой пункт контроля - это в основном контроль над SIEM, которые являются ведущим средством сбора и централизации критических данных журнала; на самом деле, существует даже субконтроль для анализа, который специально изучает SIEM. Данные SIEM являются основным механизмом анализа, который может анализировать события журнала по мере их возникновения.
Критический контроль 7: Безопасность программного обеспечения приложений
Как и результаты проверки CCE, уязвимости, обнаруженные в программном обеспечении приложений, также должны сообщаться в центральный источник, где эти уязвимости могут быть сопоставлены с другими событиями, относящимися к конкретной системе. SIEM - это хорошее место для хранения подобного рода результатов сканирования и корреляции информации с сетевыми данными, записанными через журналы, с целью определения того, используются ли уязвимости в реальном времени.
Критический контроль 8: Контролируемое использование административных привилегий/прав доступа
Когда принципы этого контроля не выполняются (например, те случаи, когда администратор, работающий в веб-браузере, неразумно использует и учетную запись администратора), SIEM может сопоставлять журналы доступа для обнаружения нарушения и генерации предупреждения.
Критический контроль 9: Контролируемый доступ, основанный на принципе необходимого знания (Need to Know)
SIEM может сопоставлять активность пользователя с правами и ролями пользователей, чтобы выявлять нарушения в соблюдении минимальных привилегий, которые требуются для этого элемента управления.
Критический контроль 10: Непрерывный критический контроль
SIEM может соотнести контекст уязвимости с фактической активностью системы, чтобы определить, используются ли уязвимости на самом деле.
Критический контроль 11: Мониторинг и контроль учетных записей
Аномальная активность учетной записи может быть обнаружена только по сравнению с базой уже известных стандартных действий. Базовый уровень для удовлетворения этого контроля должен регистрироваться SIEM; и, поскольку записываются будущие алгоритмы поведения или базовые линии, их можно сравнить с уже утвержденной базой в SIEM.
Критический контроль 12: Защита от вредоносного программного обеспечения
Вредоносные программы, которые обнаруживаются, должны регистрироваться в соответствии с политикой этого контроля. Централизованные средства защиты от вредоносных программ должны сообщать о своих выводах в SIEM, который сопоставляет данные системы и уязвимости, чтобы определить, какие именно системы представляют больший риск из-за обнаруженного в этой системе вредоносного программного обеспечения.
Критический контроль 13: Ограничение и контроль сетевых портов, протоколов и служб
Если в системе есть работающий порт, протокол или служба, которые не были авторизованы, то об этом также следует сообщать в центральный источник, где эти уязвимости могут быть сопоставлены с другими событиями, относящимися к конкретной системе. SIEM может отслеживать данные журнала для обнаружения трафика по ограниченным портам, протоколам и службам. Организации могут использовать эти элементы управления для определения того, какие именно порты и службы полезны для бизнеса, а какие нет, а какие типы трафика и порты следует ограничить.
Критический контроль 14: Контроль беспроводного устройства
О некорректных настройках устройства, как и о беспроводных вторжениях, следует сообщать в центральную базу данных с целью обработки данных инцидентов. SIEM является идеальным кандидатом для консолидации этой информации и использования ее для корреляции или обнаружения угроз для беспроводной инфраструктуры
Критический контроль 15: Предотвращение потери данных
Нарушения правил потери данных, такие как раскрытие CCE, также должны сообщаться одному центральному источнику, например SIEM, который может коррелировать события потери данных с информацией об инвентаре или активах, а также с другими действиями системы и пользователя для обнаружения комплексных нарушений конфиденциальных данных.
Источник:
Ссылка скрыта от гостей