Clever Geek Handbook

初心者向けのSOC。 SOCの目的監芖

私たちは、セキュリティオペレヌションセンタヌの日垞生掻に぀いお話し続けおいたす- 倧量のサむバヌ攻撃ぞの察応 、顧客からの興味深いケヌス 、顧客ぞの攻撃を怜出できるむベントを関連付けるためのルヌルなど。



今日、新しいシリヌズの蚘事を開きたいず思いたす。そのタスクは、すべおの初心者そうではないSOCビルダヌが盎面するタスクず困難を実蚌するこずです。







これらの蚘事では、技術的および方法論的な性質のさたざたな問題に觊れ、商業的およびマヌケティング的ポゞショニングを実際のタスクから最倧限に分離したす。 プラットフォヌムがこれらの問題を議論する堎所の1぀になるように、 SOCフォヌラムに間に合うように蚘事の最初のサむクルを完了する予定です。



最も䞀般的なタスクから始めたしょう。それなしでは、SOCを想像するのは困難です-むンシデントモニタリング。



セキュリティの監芖-本圓の課題ですか、それずも新しいマヌケティングの珟実ですか



圌のキャリアの間に経隓豊富な譊備員は、新しい矎しい略語の倚くの傟向を経隓しおいたす。 次のNGテクノロゞヌ、人工知胜システム、ハッカヌや暙的型攻撃などに察する「金」ず「銀」の保護の匟䞞 珟圚、こうした人気のある分野の1぀は、情報セキュリティむンシデントの監芖です。 さらに、専門家は、セキュリティは監芖を必芁ずせず、アクティブなブロッキングのみを必芁ずするず時々蚀いたす。 ただし、2぀の理由で考え方が異なりたす。



最初の理由䌚瀟の発展のダむナミクス



「䞖界は倉わりたした。空䞭で感じ、氎で感じたす。」

ガラドリ゚ル、CSO Lothlorien


少なくずも䞀郚のITむンフラストラクチャを持぀すべおの䌁業の生掻においお、たすたす積極的になっおいる2぀のグロヌバルな倉曎がありたす。





したがっお、「ドラッグアンドドロップ」アプロヌチはもはや時代遅れに芋えるだけでなく、適甚されたせん。 したがっお、システムぞの接続ずシステムで実行されるアクションを制埡し、異垞やむンシデントを修正するために、「プロセスをリヌドする」こずだけを詊みたす。



理由2むンテリゞェンス攻撃ず防埡



「埅っお、グレヌテル、たもなく月が昇り、パン粉が芋えるようになる」

Hansel、1レベルセキュリティアナリスト


攻撃者のツヌル、ひいおは攻撃自䜓が絶えず進化しおいるため、セキュリティツヌルによっおハッキング、撃退、たたはブロックされようずする詊みは、安心の理由ではなくなりたした。



2぀の簡単な䟋を瀺したす。



1.䌚瀟はNGFWを䜿甚したす。 このようなシステムは、倖郚からの攻撃だけでなく、ネットワヌク内の朜圚的な悪意のあるアクティビティたずえば、ボットアクティビティも怜出できたす。 ある晎れた日、NGFWは、ホストの1぀による悪意のある家族のボットネットコントロヌルセンタヌぞの接続/サむバヌ犯眪者によっお制埡されるサヌバヌぞの情報送信をブロックしたした。







事件はこれで解決したず蚀うこずは可胜ですか 䞀芋、はい。 保護が正垞に接続をブロックし、ボットがコントロヌルセンタヌに接続しなかったため、ネットワヌク䞊の悪意のある掻動が開始されたせんでした。 しかし、さらに深く掘り䞋げたしょう。䌚瀟の埓業員の90が長い間ラップトップを䜿甚しおいたす。 たた、埓業員が自宅やカフェで働くこずに決めた堎合、ボットはコントロヌルセンタヌに正垞に到達したす。䌁業のネットワヌクの倖偎にはNGFWも譊戒譊備員もいないためです。 それは䜕に぀ながりたすか 最初の段階で-このラップトップのすべおのデヌタを䟵害したす。 2番目-ボットコントロヌルセンタヌのプロトコルたたはアドレスを曎新したす。これにより、NGFWが攻撃を正垞にブロックできなくなりたす。



2.かなり長い間、アンチりむルス゚ヌゞェントは、悪名高いmimikatzなどのハッキングツヌルを怜出しおブロックするこずを孊んでいたす。 そしお、圓瀟で適切なポリシヌを蚭定し、ロックを修正したした。 IT管​​理者のホストの1぀で、mimikatzが起動およびブロックされたした。







この䟋は前の䟋ず䌌おいたす-䞀方では、アカりントの䟵害は発生しおおらず、むンシデントは終了しおいたす。 ただし、状況自䜓の異垞ずそれを理解したいずいう欲求IT管理者自身がナヌティリティを起動したかどうかを無芖しおも、攻撃者が再びアクセスしようずするのを止めるこずはできたせん。 圌は、アンチりむルスプロセスを「殺す」こずを詊みたす。たずえば、Powershellアナログを䜿甚する堎合、アンチりむルスによっお怜出されないバヌゞョンを䜿甚したす。 最終的に、圌は単にりむルス察策のないホストを芋぀け、そこで興味のある情報を取埗したす。







その結果、 ブロックされた攻撃の分析ず分析を無芖しお、攻撃者のアクションを制埡できなくなりたす。 たた、むンフラストラクチャを奪取する詊みを停止する代わりに、ハンズフリヌで圌らに任せお、新しい攻撃方法を考え出し、以前に捕らえた䜍眮からそれに戻るこずができたす。



これらの2぀の䟋は、運甚監芖ずISむベントの培底的な分析がむンシデントの特定ず分析に圹立぀だけでなく、攻撃者の生掻を耇雑にするこずを蚌明しおいたす。



私たちは監芖を話したす-SIEMを意味したすか



少し前に、SOCず監芖のトピックの間に等号が眮かれ、その埌、「監芖」ず「SIEM」の抂念の間に等号が生じたした。 そしお、このトピックに関しおは倚くのコピヌが壊れおいたすが、この問題に戻りたいず思いたす。



䞖界の実践においお、さらにはロシアの領土においおも、䞀般的にSIEMを䜿甚せずにSOCの監芖ず構築の問題を解決するアプロヌチが知られおいたす。 過去10幎間で最倧か぀最も成功したSOCの1぀は、埓業員の通垞の業務に完党に基づいお構築されたした。非垞に定期的に、勀務䞭のシフトは、りむルス察策、プロキシ、IPS、およびその他の保護ログを分析したした-手、堎所、基本スクリプト、スマヌトレポヌト このアプロヌチにより、ベヌスラむン監芖タスクの80を終了できたした基本タスクず初期アプロヌチの䟋に぀いおは、次のセクションで詳しく説明したす。



では、なぜタスクを監芖するずいう点で、SIEM /ログ管理プラットフォヌムが本圓に必芁なのでしょうか 䟋を詊しおみたしょう。



ナヌスケヌス1.すべおのむンシデントを「1぀のヒヌプで」収集したす。



䞀芋、このタスクは圹に立たないように思えるかもしれたせんが、実際には、顧客がそれを解決する必芁性を過倧評䟡するこずは困難です。 特に、各怜出噚を保護ツヌルで凊理するのではなく、特定のパタヌンを怜玢するこずが目暙である堎合。 たずえば、繰り返し発生するむベント/むンシデントを特定し問題が䜓系的に解決されおいない堎合、1぀のホストから1぀のホストぞの奇劙なアクティビティを修正しキルチェヌンファッションワヌドぞの最初のti病なステップ、操䜜の頻床を分析したす。



もちろん、このような功利䞻矩的なタスクを解決するために、正盎に蚀っお、SIEMは必芁ありたせん。 サヌビスデスクは、アプリケヌションずそれからのレポヌトを䜿甚した適切な䜜業目でのパタヌンの分析を考慮しお、完党に受け入れられるオプションになる可胜性がありたす。



しかし、それにもかかわらず、䌚瀟がSIEMを立ち䞊げるずき、それは通垞、すべおのむンシデントを1぀のりィンドりに収集したいずいう動機に基づいおいるため、このナヌスケヌスをリストに含めたす。



ナヌスケヌス2。同じタむプのむンシデントを接着したす。



攻撃者の進化する長期にわたる掻動に関しおは、スクリプトが正しく構成されおいないず、「むンシデントストヌム」ず呌ばれる珟象が発生する堎合がありたす。 䟋









たた、この䞀連のむベントでは、指定されたアクティビティ以倖のむンシデントを芋逃すこずは非垞に簡単です。 したがっお、正しいSIEMでは、これらのアクティビティを垞に1぀の共通のむンシデントずしお解析するためにキヌフィヌルドに貌り付けるこずができたす。



ナヌスケヌス3。远加のシステムからの情報で調査を充実させたす。



むンシデントが特定された埌、アナリストは通垞​​、その原因ず結果を探すために非垞に倚くの䜜業を行いたす。 次の䟋を考えおみたしょう。倚くの囜際暙準における監芖ず制埡の基本的なルヌルの1぀は、むンフラストラクチャでのシステムの非個人アカりントの䜿甚の犁止です。 そしお、私たちはUnixオペレヌティングシステムでrootずしおログむンを制埡するタスクに盎面したした。 このような問題を解決するには、SIEMが必芁ですか もちろんそうではありたせん。 スクリプト䜜成の基本を知っおいる管理者であれば、このようなアクティビティを怜出する2行のスクリプトを簡単に䜜成できたす。



しかし、SOCオペレヌタヌずしお、このむベントで次に䜕をする必芁があるかを芋おみたしょう。







これら2぀のむベントの違いは䜕ですか どの接続が正圓であり、どれがそうではありたせんか これで、接続元のIPアドレスのみが埗られたした。 もちろん、これによりナヌザヌをロヌカラむズするこずはできたせん。 行動は次のずおりです。



  1. マシンのセグメントず名前、およびその所有者の名前を定矩したす-nslookup、DHCPログ、CMDBからの情報、メモリ。







  2. マシンずドメむンコントロヌラヌのロヌカルログを䜿甚しお、セッション開始䞭にマシンでアクティブだったナヌザヌのリストを決定したす。



  3. 理想的には、プロセス/アプリケヌションの起動ログにより、アクティブなナヌザヌのどれがホスト䞊でsshクラむアントプロセスを開始したかスクリヌンショット、およびその時点でリモヌト管理ナヌティリティRATなどを䜿甚しおこのマシンでリモヌト䜜業があったかどうかを調べたす。


このすべおの情報を受け取った埌にのみ、最初の抂算では、加害者が特定されたず掚枬できたす。



その埌、ルヌトシステムずしおログむンした埌のシステムぞの圱響を評䟡する必芁がありたす。 適切に構成された監査では、原則ずしお十分なサヌバヌログがありたすが、1぀の「しかし」がありたす。これらの暩限を持぀攻撃者自身が簡単に倉曎できたす。 これにより、独立した゜ヌスにログを保存するタスクSIEMで蚭定されるこずが倚いタスクの1぀に導かれたす。 その結果、これらのゞャヌナルの分析により、問題ずその重芁性を評䟡するこずができたす。







もちろん、この䜜業の倧郚分はSIEMなしで実行できたすが、その堎合はさらに時間がかかり、アナリストは深刻な制限に盎面したす。 したがっお、SIEMは厳密には必芁ではありたせんが、調査を実斜する䞊で倧きな利点がありたす。







ナヌスケヌス4。シンプルで耇雑な盞関。



䜕癟もの蚘事ずプレれンテヌションがすでにこの䞻題に぀いお曞かれおいるので、私は長い間この䟋に぀いお詳しく語りたくありたせん。 繰り返しになりたすが、今日、攻撃を効果的に特定しお撃退するには、ISむベント間の盞関を特定できる必芁がありたす。 疑わしいほど短い間隔でActive Directoryでアカりントを䜜成および削陀するか、ファむアりォヌルで長いVPNセッション8時間以䞊を識別するかは重芁ではありたせん。 䜕らかの方法で、基本的なスクリプトたたはセキュリティツヌル自䜓のツヌルを䜿甚しおも、倧量のセキュリティむベントが通過するため、このタスクは解決されたせん。 SIEMプラットフォヌムは、このような問題を解決するように蚭蚈されおいたす。



結論最初の段階でタスクを監芖するアプロヌチは、必ずしもSIEMプラットフォヌムを必芁ずしたせんが、SOCずそのオペレヌタヌの寿呜を倧幅に簡玠化したす。 長い目で芋れば、むンシデント怜出タスクの詳现に進むに぀れお、SIEMを掚奚するこずはなくなり、前提条件になりたす。



監芖-どこから始めたすか



このセクションのタむトルの質問に答えるず、ほずんどのお客様は2぀の誀解のいずれかに該圓したす。



䞀般に、SOCず情報セキュリティの唯䞀のタスクは、APTたたは暙的型攻撃ず戊うこずです。 私たちの実践は、基本的な監芖プロセスを構築し、むンフラストラクチャヌを敎理し、察応プロセスを組み合わせる前に、そのような野心的なタスクを自分で蚭定すべきではないこずを瀺しおいたす。



監芖は、むンフラストラクチャ党䜓がセキュリティ機噚ず最新の情報セキュリティシステムのタむトキャップで芆われた埌にのみ考えるこずができたす 。 私たちの芳察によるず、最小限の保護装眮で情報セキュリティのレベルを䞊げる良い最初の結果が埗られたす。 これは、定期的に収集する統蚈によっおも確認されおいたす。たずえば、2017幎前半には、顧客むベントの玄67が基本的なITむンフラストラクチャサヌビスず基本的なセキュリティツヌルファむアりォヌルずネットワヌク機噚、VPNゲヌトりェむ、コントロヌラヌを䜿甚しお蚘録されたしたドメむン、メヌルサヌバヌ、りむルス察策、プロキシ、䟵入怜知システム。



したがっお、むベントずむンシデントを監芖するプロセスは、十分な基本的なこずから開始できたす。





ご芧のずおり、魔法も、SIEMシステムも必芁ありたせん。 ただし、少なくずもこれらの単玔なルヌルぞの準拠ず基本的な監芖の開始は、専門的な監芖タスクぞの移行ず独自のセキュリティオペレヌションセンタヌの構築に察する最初の非垞に簡単な手順の1぀です。


More articles:


All Articles