كثير من أولئك الذين صادفوا SIEM على دراية بتطوير قواعد الارتباط. يقوم مصنعو حلول SIEM و SOCs التجارية والمتكاملون - كلهم ​​يقترحون قواعدهم الخاصة ويدعون أنهم أفضل من الآخرين. هل هذا حقا هكذا؟ كيفية اختيار مزود للقواعد؟ ما هي خبرة SIEM؟ دعونا نفكر في هذه المواضيع تحت الخفض.



كما هو الحال دائمًا ، يحتوي الاستنتاج على جميع النقاط الرئيسية في المقالة.

يبدأ أي متخصص في أمن المعلومات عاجلاً أم آجلاً في استخدام أنظمة SIEM أو بعض العناصر الفردية للأنظمة في هذه الفئة.

جزء مهم من SIEM هو قواعد الارتباط - المعرفة التي تسمح لك بحل مشكلة تحديد حوادث أمن المعلومات. يمكن تطويرها من تلقاء نفسها ، أو تفويضها إلى الدمج ، أو ، في حالة الاتصال بشركة نفط الجنوب التجارية ، استخدام المعرفة من المتخصصين فيها. كما ترون ، هناك العديد من مصادر قواعد الارتباط في SIEM ، وبالتالي فإن السؤال الذي يطرح نفسه هو الاختيار بطبيعة الحال. هذه المهمة ذات صلة خاصة إذا لم يكن لدى شركتك متخصصون متخصصون في مهام SIEM. في هذه الحالة ، يتعين عليك أنت أو زملائك إدارة عدة أدوات أمان في آن واحد بالإضافة إلى SIEM.

بعد مرور شهر تقريبًا على تنفيذ SIEM ، يتبين لنا أن هذه الفئة من الحلول تتطلب تكاليف عمالية كبيرة. فن الهجمات على نظم المعلومات يتطور باستمرار. يستغرق تتبع الاتجاهات الحديثة وتحليلها وتقييم مدى قابليتها للتطبيق على بنيتها الأساسية ، وكذلك كتابة قواعد الارتباط لتحديد الهجمات. وكقاعدة عامة ، لا يتوفر للمتخصصين وقت كافي لهذا الغرض.

في مواجهة مثل هذه المشكلات ، تقرر الشركات إما بناء شركة نفط الجنوب وجذب متخصصين متخصصين ، أو لإيجاد موردين خارجيين لقواعد الارتباط. بعد ذلك ، سنناقش كيفية اختيار المورد وما إذا كان العميل النهائي يحتاج فقط إلى قواعد الارتباط.

الفحص وخصائصه

من خلال الخبرة نعني مجموعة من قواعد الارتباط ومعرفة الخبراء والبيانات الضرورية للحد الأدنى من الحوادث والتعرف عليها. يتم توفير الخبرة من قبل المورد (الشركة المصنعة لحل SIEM أو SOC) ، والعميل هو المستهلك.

يمكن توفير قواعد الارتباط من قبل مطوري SIEM ومقدمي MSSP / SOCs والمتكاملين والمجتمع. يفترض الجميع أن قواعد الارتباط الخاصة بهم نوعية. صحيح ، غالبًا ما يتم استبدال مفهوم الجودة ببساطة بعدد القواعد المتاحة. هل الكمية مؤشر للجودة؟ في الحالة العامة ، هذا هو بيان مثير للجدل. الفحص النوعي له الخصائص التالية:

1. يحدد بدقة الانتهاكات في بنية أساسية محددة للعملاء.
2. يكشف تهديدات عالمية المستوى الحالية. يحدد التهديدات المحددة لبلد معين وعامل الصناعة.
3. أنه يحتوي على عنصر رد الفعل واستباقية.
4. يشرح للعميل نتائج استنتاجه المنطقي.
5. يقدم توضيحًا للخطوات التالية في الاستجابة لحادث تم تحديده.

بعض هذه الخصائص تفرض متطلبات على مطور الفحص ، والبعض الآخر على نتيجة عمله - قواعد الارتباط والمواد ذات الصلة.

مطور الخبرة والكفاءات

بناءً على معايير اختيار المورد؟ لقد قمنا بصياغة ستة خصائص أساسية تميز الخبرة في الجودة. للتأكد من ذلك ، يجب على مزود القاعدة:

• تحديد التهديدات العالمية الحالية . قد يكون هؤلاء موردون لديهم مراكز تحليلية خاصة بهم متخصصة في الكشف عن الهجمات وتحليلها. يجب عليهم مراقبة أحدث أنواع الهجمات ومناهج انتهاك أمن المعلومات للأنظمة.
• تحديد التهديدات المحددة لبلد معين وصناعة العميل . في كل بلد ، قد يكون لمنظر التهديدات وقائمة أنواع الهجمات تفاصيل خاصة بهما. لذلك ، عند اختيار أحد الموردين ، من المهم أن يكون لمركز التحليل الخاص به تركيز واضح على تتبع التهديدات الكامنة في البلد الذي توجد به البنية الأساسية لشركتك بالضبط. يجب ألا يفهم اختصاصيو المركز تفاصيل التهديدات في بلد معين فحسب ، بل يجب أن يكونوا قادرين أيضًا على الرد عليها بسرعة. لا ينبغي أن يكون المورد يستجيب لتهديد إقليمي جديد بعد أسبوع من حدوثه ، فقط لأن منطقتك ليست أولوية بالنسبة لها من حيث ممارسة الأعمال التجارية.
• لديك كل من رد الفعل ومكون استباقي . لا يكفي تجنيد محللي بنتستر في المركز. من المهم أن هؤلاء الخبراء لا يفهمون فقط ويعرفون كيفية كسر الأنظمة ، ولكنهم يعرفون أيضًا كيفية اكتشاف محاولات القرصنة ومنعها أو إيقافها في المراحل المبكرة. تدل الممارسة على أنه لا يتم إيلاء اهتمام كبير لهذا الجانب: فغالبًا ما يتم إنشاء مراكز تحليلية من الخبراء ، إما فقط في مجال الهجوم ، أو فقط في مجال الدفاع ، مما سيؤثر بالتأكيد على مستوى الخبرة التي ينتجونها.
• تحديد الانتهاكات بدقة في بنية أساسية محددة للعملاء . يجب أن يكون لدى المورد منهجية لتطوير قواعد الارتباط التي يمكن أن تتكيف مع البنية التحتية المحددة للعميل. هذا ضروري من أجل تقليل عدد الإيجابيات الخاطئة للقواعد. تم تخصيص مجموعة كبيرة من المقالات بعنوان "قواعد الارتباط التي تعمل خارج الصندوق" لهذه المشكلة. من المهم أن نتذكر أن عملية "التطوير الصناعي" بدقة لقواعد الارتباط يجب أن تبنى لدى المورد. ويترتب على ذلك ما يلي:
  
  • يجب اختبار القواعد على الأنظمة الحية ، وليس الأنظمة الاصطناعية ؛
  • أثناء عملية الاختبار ، يجب إعادة إنتاج هذه الأنواع من الهجمات مباشرة ، بحيث يتم اكتشاف قاعدة الارتباط المختبرة ؛
  • يجب إجراء اختبارات الحمل والانحدار لتأكيد توافق القواعد مع SIEM ؛
  • يجب على المورد إصدار تحديثات للقواعد التي تم إصدارها مسبقًا إذا تبين أن القواعد تحتوي على عدد كبير من الإيجابيات الخاطئة ؛
  • يجب أن يكون لدى SIEM والمورد نفسه قنوات للتسليم الفوري للتحديثات وقواعد الارتباط الجديدة للعملاء النهائيين.

مجموعة المتطلبات واسعة جدًا. لسوء الحظ ، إذا استثنينا أحد المختصين الذين سيقضون ساعتين في اليوم في هذا النشاط لتطوير قواعد الارتباط ، فإن هذا لن يسمح بتحقيق نفس الجودة العالية.

قواعد الارتباط وبيئتهم

الآن دعونا نلقي نظرة على قواعد الارتباط بأنفسهم من خلال عيون العميل. إنه يريد الحصول على قواعد الجودة من المورد وتفعيلها دون مشاكل في SIEM الخاص به. في الواقع ، ليس كل شيء في غاية البساطة.

لكي تعمل القواعد ، تحتاج إلى توصيل المصادر المطلوبة بـ SIEM. يجب تكوينها لإنشاء الأحداث اللازمة للقواعد. بالنظر إلى القاعدة نفسها ، من المهم أن نفهم منطق عملها. بالإضافة إلى ذلك ، يحتاج العميل إلى فهم كيفية الرد إذا نجحت القاعدة.

قواعد الارتباط وحدها ليست كافية ليتم استدعاؤها بالخبرة. الفحص هو قواعد الارتباط ، إلى جانب بيئة إضافية ، جميع عناصرها مترابطة ويمكن دمجها في دائرة مغلقة - ما يسمى بفحص الحلقة المغلقة.


الخبرة حلقة مغلقة

النظر في كل وصلة في هذه السلسلة:

1. المورد / الصانع SIEM . يبدأ الفحص بحقيقة أن المورد ذي الكفاءات ذات الصلة يطور قواعد الارتباط وفقًا للعملية التكنولوجية.
2. قائمة وإعدادات المصدر . يتم توفير قواعد الارتباط المتقدمة مع وصف لتلك المصادر التي تعمل على أساسها قاعدة الارتباط. يصف الموفر أيضًا بالتفصيل كيفية تكوين المصدر بحيث يوفر إنشاء أنواع الأحداث المطلوبة. سيكون شكلًا جيدًا إذا قدم المورد مثيلًا للأحداث نفسها.
3. وصف لمنطق القاعدة . من أجل أن يفهم العميل ما هي مبادئ التشغيل المنصوص عليها في قواعد الارتباط ، يصف المورد منطق كل قاعدة في شكل مخططات تدفق أو أوصاف نصية.
4. قواعد الارتباط . قواعد الارتباط أنفسهم ومنهجية لتحديد أولويات الحوادث الناتجة عن لهم مباشرة.
5. خطط الاستجابة . يمكن أن تكون قاعدة الارتباط التي تسبب حادث أمن المعلومات. من المهم أن يفهم العميل كيفية الاستجابة لهذا الحادث من أجل تقليل تأثيره على البنية التحتية. أيضًا ، يجب تضمين التفسيرات في الخطة التي يجب جمع البيانات بشكل إضافي في حالة وقوع حادث. مما لا شك فيه ، يجب على العميل تكييف قواعد الاستجابة مع تفاصيل شركته. ومع ذلك ، كجزء من خطط الاستجابة ، يجب أن يعكس المورد توصيات عامة بشأن تصرفات المستخدم في حالة وقوع حادث بسبب قاعدة محددة. لذلك سيكون لدى العميل شيء يدفعه ، مع تكييف عملية الاستجابة الشاملة لنفسه.
6. القياس عن بعد . لا تعمل قواعد الارتباط في فراغ كروي ، ولكن في الظروف المحددة لشركة العميل. المورد مسؤول عن جودة القواعد المقدمة ويجب أن يفهم كيفية عملها. لذلك ، يجب جمع إحصائيات حول تشغيل القواعد في SIEM.
7. المورد / الصانع SIEM . يجب إعادة إرسال القياس عن بُعد الذي تم جمعه في شكل مجهول إلى المورد. تساعده الإحصائيات في إجراء تغييرات سريعة على القواعد ، في حالة وجود إيجابيات كاذبة. كما يسمح لك بتحديد التقنيات والتكتيكات الجديدة للهجمات والإفراج الفوري عن قواعد الارتباط الجديدة للكشف عنها.

يُطلق على مجموعة المتطلبات الخاصة بالمورد ، وكذلك جميع روابط السلسلة المذكورة أعلاه ، مجتمعة الخبرة. كما ترى ، تم إغلاق السلسلة ، وبالتالي تم تعيين هذا النهج على أنه "خبرة حلقة مغلقة".

في الوقت الحاضر ، يتم استخدام هذا النهج من قبل القادة الأجانب الرئيسيين لسوق SIEM: IBM QRadar ، Micro focus ArcSight. في روسيا ، يتم استخدامه في شركتنا Positive Technologies في منتج MaxPatrol SIEM. هناك مشروع مثير للاهتمام مستقل عن البائع يتطور داخل المجتمع - Atomic Threat Coverage ، يعزز إيديولوجية مماثلة. بعد ذلك ، سأقدم وصفًا له ، مأخوذ من صفحة المشروع.

تتيح لك التغطية الذرية للتهديدات إنشاء قاعدة بيانات تحليلية مصممة تلقائيًا لمواجهة التهديدات الموضحة في MITER ATT & CK من منظور الكشف عن التهديدات والاستجابة لها ومنعها ومحاكاتها. ويشمل:

1. قواعد الكشف - قواعد الكشف المستندة إلى Sigma (الارتباط) ، تنسيق عام لوصف قواعد الارتباط لأنظمة SIEM.
2. البيانات المطلوبة - البيانات التي يجب جمعها للكشف عن تهديد محدد.
3. سياسات التسجيل - إعدادات التسجيل التي يجب إجراؤها على الجهاز لجمع البيانات اللازمة للكشف عن تهديد محدد.
4. التخصيب - البيانات اللازمة الإعدادات اللازمة لتنفيذ بعض قواعد الكشف.
5. المشغلات - البرامج النصية لمحاكاة الهجوم استنادًا إلى فريق Atomic Red Team - سيناريوهات الاختبارات الذرية / تنفيذ التهديد من MITER ATT & CK.
6. إجراءات الاستجابة - خطوات الاستجابة للحوادث الذرية.
7. Playbooks للاستجابة - سيناريوهات الاستجابة للحوادث التي تم إنشاؤها أثناء اكتشاف تهديد محدد ، بناءً على إجراءات الاستجابة.
8. سياسات التصلب - إعدادات النظام التي تسمح لك بمستوى تهديد محدد.
9. أنظمة التخفيف - الأنظمة والتقنيات التي تتيح لك تحديد مستوى تهديد محدد.

بشكل منفصل ، ألاحظ لحظة غالبًا ما تكون بعيدة عن أنظار العملاء والموردين. في بعض الأحيان تحدث حوادث معقدة لا يمكن كشفها بواسطة متخصصي العميل. يجب ألا يترك المورد العميل وجهاً لوجه مع مشكلته: "نحن نقدم لك القواعد ، ويعملون ، والباقي ليس مشاكلنا". في رأيي ، ينبغي أن يكون لدى موردي الخبرة الجادين خدمات للتحقيق في الحوادث في حافظة الأوراق المالية الخاصة بهم ، والتي يمكن للعميل استخدامها في أي وقت على مدار الساعة طوال أيام الأسبوع في حالة حدوث موقف حرج.

النتائج

لتلخيص:

1. غالبًا ما لا تتاح للعميل الذي قام بشراء SIEM الفرصة لتخصيص متخصصين فرديين للعمل مع حل بنسبة 100٪ من وقت العمل. في هذه الحالة ، يتوقف استخدام SIEM بعد مرور بعض الوقت.
2. قواعد الارتباط وحدها ليست كافية لضمان تحديد تهديدات الأمان الفعلية. في هذا الصدد ، قواعد الارتباط وحدها لا يمكن أن يسمى الخبرة. الفحص - مجموعة من قواعد الارتباط ومعرفة الخبراء والبيانات الضرورية للحد الأدنى من الحوادث والتعرف عليها.
3. يجب أن يحتوي الفحص على الخصائص التالية:
   
   • يحدد بدقة الانتهاكات في البنية التحتية المحددة للعميل ؛
   • يحدد التهديدات الحالية ذات المستوى العالمي ، وكذلك التهديدات الخاصة بعميل معين من البلدان والصناعة ؛
   • يحتوي على مكون تفاعلي واستباقي ؛
   • يشرح للعميل نتائج استنتاجه المنطقي ؛
   • يقدم توضيحات حول الخطوات الإضافية للرد على حادث تم تحديده.
4. لا يكفي توفير قواعد Sigma الجاهزة لكي تعتبر مورّدًا خبيرًا. يجب أن يستوفي مورد الخبرة عددًا من المتطلبات .
5. تتكون الخبرة المقدمة من العناصر المترابطة التالية:
   
   • قائمة وإعدادات المصادر ؛
   • أوصاف منطق القاعدة ؛
   • قواعد الارتباط ؛
   • خطط الاستجابة ؛
   • القياس عن بعد لتحريك القواعد.
6. يجب أن يكون لدى مقدمي الامتحانات في خدمات التحقيق في محفظتهم التي يمكن للعميل استخدامها إذا لم يكن لديه صلاحياته الخاصة لتحليل حادث معقد.