みなさんこんにちは。
過去数年間、SIEM Arcsight ESMを1つの主要な電気通信プロバイダーに実装するプロセスに費やしていました。 私はそれを非常にうまくやったと思います、そして結果として、わずかに異なる道に行きました。 ロシア全体で安全の方向にある特定の天井にぶつかりました。 読者からの誤った理解を防ぐために、システムインテグレーターからのプロジェクトではなく、社内で正確に働いたことを明確にします。SIEMは、社内のセキュリティオペレーションセンター(以下SOC)を作成するためではなく、社内のニーズ専用です。 一般に、SIEMの実装と使用のトピックはあまりカバーされておらず、一般に、私が見たこれらのインストールは、それを実装した人に十分な効率をもたらさなかった。 私の意見では、同僚と私は自分のSOCコアであるSIEMを実装することができました。これは、情報セキュリティ部門だけでなく、特に他の部門や経営陣を含む会社全体にとっても大きなメリットがあります。
この記事は、SIEMの導入を検討している情報セキュリティ部門の長、および会社でSIEMの運用と開発に携わっている情報セキュリティの専門家に役立ちます。 記事は次のようにいくつかの部分で構成されます。 私は多くの言葉遣いになります:)。 記事の前半では、SIEMのハードウェアの選択とログの効率的な収集について説明します。後半では、インフラストラクチャの機能について説明します。後半では、ログの相関と視覚化について説明します。第3部では、SIEMを適切に管理し、その健全性を監視する方法、どのプロセスをSIEMに結び付けることができるか、どのように行う必要があるか、どのような人員が必要か、インシデント調査プロセスがどのように実施されたか、会社全体および経営陣にどのようなメリットがあるかについて説明します インテグレーターの営業担当者のマーケティングプレゼンテーションではなく、実際にSIEMからのニュース。
行こう
まず、アーキテクチャの機能を説明します。 その主な特徴は、非常に大きく地理的に分散していることでしたが、同時にクラスとしてのユーザーワークステーションはなく、保護されたインフラストラクチャは絶えず成長していました。 SIEMアーキテクチャを構築するときは、このことに留意してください。
SIEMアーキテクチャに移りましょう。 ここで最初に理解する必要があるのは、どのSIEMを実装するか、それに必要なサーバーの数、およびどのハードウェア要件であるかは重要ではありません。SIEMによっては、異なる数のサーバーが必要になる場合があります。 たとえば、Arcsightでは、ログを収集するためのソフトウェアをインストールした別個のサーバーを使用し、データベースとログ相関器は他のサーバーにありました。 SIEMアーキテクチャの主なポイントは、データストレージシステム(SHD)です。 すぐにわかります。1人のインテグレーターが実際にいくつのログを持っているかを計算することはできません。ここでは誰も信じないで、自分で考えてください。 ここでは、容量が大きいほど、高速で高速なディスクも必要になります。できれば、SIEMを使用してストレージシステムに直接接続してください。 また、バックアップシステム(SRK)に接続する必要があります。 私の意見では、ホットでのログの最適な保存時間は1か月で、IBSでの保存は少なくとも6か月です。 ここで待ち望んでいる主な問題は、読み取りと書き込みの速度に対するプレッシャーです。これは、必要なログをアップロードする速度や、複数の人がSIEMを使用するタイミングに大きく影響します。 したがって、ストレージが高速であるほど優れています。 そのため、記事の最初の部分の2番目の質問、つまりログの管理にスムーズにアクセスできました。
Arcsight SIEMの用語でのログ管理、および一般的に、SIEMはログの収集(収集)、イベントの正規化、イベントの集約、イベントのフィルター処理、イベントの分類、イベントの優先順位付けの各段階に分割すると非常に便利だと思います。 Arcsightでは、これらすべてのタスクはコネクタによって実行されます;一部のイベントソースについては、すぐに使用できますが、一部は自分で作成する必要があります。
ログを取得する機能-主な機能は、特にSYSLOGを使用する場合、ネットワークの負荷を計画する必要があることです。 スパムが発生する可能性があるため、ログを送信するための最適なオプションを検討するには、ネットワーク担当者と協力する必要があります。
イベントの正規化-ログ解析、つまり 受信したイベントを、SIEMのフードの下で回転している人間とデータベースが理解できる形式にします。 イベントをより詳細に取り上げる場合は、イベントを細かく分割して、SIEMデータベーステーブルのセルにドロップします。 イベントソースアドレスは、データベースイベントソース列に移動します。 一般に、すべてのイベントは正規化する必要があります。
イベントの集約は非常に興味深く有用な瞬間です(すべてのSIEMがこの機能をサポートしているわけではありません)。これにより、ログ内のゴミの量を減らすことができます。 集約とは、いくつかの同一のイベントを1つにまとめることです。たとえば、1つのIPアドレスからサーバーへの30秒間に30の呼び出しがあり、境界ファイアウォールが修正しました。データベースでは、30行になり、30イベントはただ一つのことです。 集約は、ファイアウォール、ネットフロー、IDS / IPS、Webサーバーのログに最も効果的です。
イベントのフィルタリング-不要なものを捨てるか、必要なものだけを残します。 特にオペレーティングシステム、ウイルス対策、IDS / IPSからのログに非常に便利です。 イベントがあなたにとって面白くないと判断するために最も効果的なことは何ですか。 シートに書き込まれるルールを作成する必要があります(Arcsightの用語では、競合他社がそのような機能を持っているかどうかはわかりません)、または各ソースからの1週間のすべてのイベントに関するレポートを作成し、情報の観点から分析する必要があります。 この分析の結果は、イベントソースのログレベルを変更するか、SIEMログコレクターでフィルターを構成します。 今後は、ファイアウォールログをフィルタリングしない方が良いと言えます。 インシデントの調査に非常に役立ちます。
イベントの分類-同じカテゴリの異なるソースから同じタイプのイベントを割り当てて、処理を容易にします。 さまざまなソースがあり、分類を正しく設定する時間がない場合、実際よりも有望に見えるとすぐに言わなければなりません。 インフラストラクチャの成長が遅い人にとっては、役に立つと思います。
優先順位付け-SIEMフレームワーク内のイベントの優先順位付け。 たとえば、重大度CRITのイベントを受信しましたが、情報セキュリティのために重要ではないことを知っており、INFOに設定します。
ログの最も有益な情報源について練習し、話しましょう。
私の明確なリーダーは脆弱性スキャナーです。これにより、ネットワーク上のインベントリ、開いているポートのリスト、サービス、脆弱性を取得できます。 ここでは、いくつかのツールを一度に使用して、すべてをシートまたはレポートに収集してから、このすべてをITILにリンクすることをお勧めします。 内部チケットを作成し、内部情報セキュリティポリシーに従って問題を解決します。 SIEM自体は、すべてのスキャナーが情報を収集するツールであり、アナリストはすべてのレポートを1か所で表示することで既に分析しています。 また、ここでは、インターネットからDNSBL、C&Cサーバーから情報を収集できる自己記述スクリプトを使用します。
2番目の場所は、ファイアウォール、ネットフロー、VPNゲートウェイ、およびIPS / IDS / WAFです。これにより、あらゆる種類のスキャン、DDoS攻撃の試行、その他のネットワークセキュリティ違反を特定できます。 内部ユーザーと保護装置の動作を最適化します。
3位-オペレーティングシステム、オペレーティングシステムのログから、ハッキングされたか、管理者がいたずらであることがわかります。
4番目の場所はデータベースによって取得されます;彼らの要求に応じて、重要な情報を私たちからそらす試みを見ることができます。
5位-アンチウイルス。
最初の部分はこれで終了できると思います。 2つ目を待ちます。ここでは、視覚化する方が良いもの、相関させるもの、通知するもの、応答できるスクリプトとその理由について説明します。