SIEMの実装と使用に関する記事を続けます( パート1 )。 約束したように、第2部では、イベントの相関と視覚化について説明します。 相関関係の理解に関するリーダーシップの主な誤解について説明し、本当に重要なこととそうでないことについて議論し、イベントの効果的および非効果的な相関関係の例を挙げます。
SIEM内の相関-後続の応答を目的とした、さまざまなイベントからの情報の比較。 応答方法-新しいイベントを作成し、管理者に電子メールまたはコンソールで通知を送信し、スクリプトを実行し、SIEM内でケースを作成し、シート(リスト)に情報を書き込みます。
視覚化-さまざまなイベントの情報をグラフ、チャート、リストの形式でリアルタイムまたは一定期間表示します。
私の仕事では、相関関係があるという理解の中で、同僚や経営者の側で多くの誤解に遭遇しました。 まず、相関は、イベントのさまざまなソースからのイベントの比較です。 これは絶対に間違っています、なぜなら VPNゲートウェイおよび侵入防止システムでもあるファイアウォールからのイベント、またはさまざまな方法でのWebサーバーからのイベントの例として、1つのソースから異なるタイプのイベントを取得することもできます。 2番目の大きな誤解-相関はその場で実行されます。 イベントの発生時間は短いです。 3番目の誤解は、相関関係はインシデントを識別するためにのみ必要であるというものです。 4番目のエラーは、すべてが書面で対応可能であり、また対応する必要があることです。
視覚化に関する主な誤解は、管理者に美しい写真を見せるためだけに必要であるということです。
それでは、なぜ相関関係が本当に必要なのですか、その主な原則は何ですか? 主なものは、興味深いイベントを追加情報で充実させることです。 例として、DHCPサーバーがクライアントに配布したソースのベアIPアドレスがあり、ファイアウォール上のこのアドレスからボットネットサーバーへの呼び出しが表示されますが、ユーザー名に関する情報はなく、DHCPサーバーを長時間登るのは退屈です、すぐに知りたいですユーザー名
これを行うには、ワークステーションからログを取得して、IPアドレスが割り当てられたユーザーまたはマシン名を把握します。これは、ボットネットへの接続試行でキャッチされ、すでにスキャンされたイベントで、誰がそれを行ったかについての完全な情報が表示されます。 これは効果的な相関関係の例です。
無効な相関関係の例としては、まず、多くの場合起動し、有用な情報を運ばないイベントの相関関係があります。たとえば、ファイアウォールでのルールの起動を許可することに関するイベントと組み合わせた、IPSに対する攻撃のブロック/検出に関するイベントです。 大量のスパムが存在するという事実のため、このルールは効果的ではありませんが、原則として、IDS / IPSは署名の精度に違いはありません。つまり、多数の誤検知が発生します。 効果のない相関の主な基準は、情報価値のないイベント(通知)によるスパムです。
SIEMを使用する際のもう1つの大きな頭痛の種は、何が重要で何が重要でないかを判断することです。 多くの場合、この選択は純粋に個別になりますが、主なポイントを強調することができます。 私たちが思い出すように、情報セキュリティに対する主な脅威は、完全性、アクセシビリティ、機密性の侵害です。 同時に、収入の損失のために長期的に機密性の違反が評判リスクを伴う場合、整合性とアクセシビリティの違反がここでストライキをします。
このロジックに基づいて、次のイベントに迅速に対応することが重要です:ファイアウォール、ルーター、スイッチ、ネットフローのイベントを分析することで監視できるDDoS攻撃、IT監視システム(zabbix、nagiosなど)からのハードウェアステータスイベントの収集、ホスト感染ウイルス、インターネットからネットワークの境界上の機器へのブルートフォース攻撃、サーバーの誤動作(停止、サービスの開始、ユーザー権限の変更、潜在的に危険な管理コマンド)、ポートが開いた理由(スキャナーからのイベント)、 送信を停止する保護されていない - 相互作用(ポートTFTPによって監視は、telnet、ファイアウォール上などのイベント)プロトコルを使用してログを遮断しました。
VPNなどに関するISポリシーの違反によりアカウントがブロックされているという特定のイベントをユーザーに通知するサードパーティのスクリプトを積極的に使用することも非常に効果的です。 多くの場合、手動で行われ、エラーのコストがそれほど高くないルーチンタスク。
視覚化が効果的なのはなぜですか? 可視化は非常に効果的なツールであり、主に統計を監視する必要がある同じタイプの多数のログを分析するために使用します。 例を挙げます。 優れた視覚化の例は、IDS / IPS、ITU、NetFlowオペレーションとGoogleMapsの統合です。つまり、最も多くのリクエスト、署名トリガー、トラフィックがある場所と場所(インフラストラクチャが分散している場合)の視覚化です。リクエストが増えると、状況は変わりました。 たとえば、小さなラウンドは、1時間あたり1〜100リクエスト、平均で最大1000リクエストなどです。
どういうわけか、内部プロセスに縛られずに良好な相関の原則について多くを書くことは不可能だったので、パート3は2番目と一緒になります。
だから、パート3を満たしてください。
SIEMで簡素化および解決できる主要なプロセス。
1.インベントリおよび脆弱性管理
これは、あらゆる組織の情報セキュリティシステムを構築するための重要なプロセスの1つであると考えています。これはステップ1です。
実装方法-スキャンをSIEMに送信し、ITUログまたはnetflowログからNAT変換をコンパイルし、さまざまなディレクトリ(AD、Sharepointなど)から情報をダウンロードし、分類された資産のリストを維持します。 スキャンは、自作のスクリプト、脆弱性スキャナー、ネットワークスキャナーを使用して実行できます。
利点-必要なすべての情報を1か所に集め、それを操作し、レポートを作成し、視覚化し、比較するのに便利です。
ここに追加のスクリプトを追加するか、インシデント管理システムとの統合を許可するルールを記述して、管理者による脆弱性またはセキュリティの問題を後で閉じることができます。
2.ネットワーク境界制御
ITU、IDS / IPS、DNSルール、C&Cサーバーへのアクセス制御などのトリガーの可視化...これらのケースは、日中に情報セキュリティアナリストによって監視されるべきであり、インシデントの対応と事前分析が必要です。
このような場合、アラート通知を設定することはお勧めできません。 彼らにとって、リアルタイムで最も効果的な毎日の分析。
このようなケースの分析の途中で、ログの分析中に推奨事項を作成することにより、すべての保護装置の効率を高めます。 救済策の対応内容と必要性を理解し、最もよく機能し、まったく機能しないITUルールのリストを作成し、ITU全体の作業を最適化します。 アンチウイルスがキャッチしなかった感染ホストを見つけることができます。
3.コンプライアンス
SIEMの助けを借りて、オペレーティングシステム、ネットワーク機器、VPNアクセス、つまり 解析のために解析および送信できる構成。 一般的に、現代のスキャナーはこれを行うことができますが、少し巧妙なものがあります。多くの場合、過剰な機能を持ち、この機能にうまく対応できず、必要な設定を引き出して分析のためにSIEMに送信するスクリプトを使用します。 さらに、SIEMでは、特定のチェックに対応していないサーバー、サーバーグループを視覚化して通知することができます。
4.インターネットからの攻撃に対する保護。
これがそれであると理解するのに最も緊急かつ十分に長い分析が必要です-これらはDDoS攻撃であり、システムの動作を真剣に無効にする特性を持っています。 ITUログ、Webサーバー、DNS、netflowの分析により、送信元アドレスの数と送信するトラフィックのタイプの急激な変化を確認できます。これにより、DDoS攻撃の開始を知らせることができ、応答時間を短縮できます。
5.ログ送信の制御。
これは、SIEMで行う最も重要なことの1つです。 過去2時間を送信するソースのリストを効果的に維持し、リスト内のエントリの有効期限が切れたことを通知します。 また、ログによってITUを通過しなかったログを確認することも効果的です。
それでは、フレームについて少し話しましょう。
実践が示すように、SIEMでの作業に関しては、2つの大きな領域があります。1つ目と2つ目の直接監視の操作と開発、およびコンソールでの作業です。 処理します。
異なる人々がこれらの方向に従事する必要があり、組み合わせは不可能です。
搾取と開発には何が含まれますか? まず、SIEM自体のサポート、テクニカルサポートとの通信などです。2番目の重要なタスクは、ログと相関ルールを収集し、テストと運用を開始する既存のツールを作成および開発することです。 。
処理部分には、新しいサーバーの監視の設定、イベントへの応答、視覚化ツールによるログの分析、新しい視覚化ツールの設定、および新しい相関ルールの作成要求の生成が含まれます。
これら2つの役割を組み合わせると、インストール全体の有効性が失われることを理解することが重要です。 従業員とは異なる個人的資質を必要とするあまりに異なる役割であり、1人では両立しません。
結論の代わりに、ここで重要なリンクである高レベルの専門家のスタッフを維持するのに十分な予算がある大企業では、SIEMの実装をお勧めします。 常に非常に宣伝されているイベントの悪名高い相関関係は、多数のサーバーとネットワーク機器を持つ大企業にとっても重要です。 ほとんどの小規模企業は、通常のログ管理を行う必要があります。ログ管理は、オープンソースソリューションとWebUIセキュリティツール、およびさまざまなスキャナーで生成できるレポートを使用して見事に実装できます。
SIEMの成功した実装。 パート2
All Articles