Geekly articles weekly

Kedalaman SIEM: korelasi out-of-box. Bagian 4. Model sistem sebagai konteks aturan korelasi

Bayangkan situasinya: Anda menghabiskan banyak waktu menulis dan men-debug aturan korelasi, dan sehari kemudian Anda menemukan bahwa itu tidak berfungsi. Seperti yang mereka katakan, ini tidak pernah terjadi dan di sini lagi! Kemudian ternyata pada malam hari jaringan sekali lagi ditingkatkan, dan beberapa server diganti, tetapi aturan korelasinya tidak memperhitungkan ini. Dalam artikel ini, kami akan menunjukkan kepada Anda bagaimana mengajarkan SIEM untuk beradaptasi dengan lanskap infrastruktur yang terus berubah.

Model sistem sebagai konteks aturan interaksi


Kami semakin dekat dengan akhir seri artikel yang ditujukan untuk pembuatan aturan korelasi adaptif yang bekerja di luar kotak. Artikel itu ternyata panjang, siapa pun yang mau bisa langsung melompat ke kesimpulan .

Dalam artikel "Metodologi untuk menormalkan peristiwa" kami merangkum teknik yang akan membantu meminimalkan masalah kehilangan data dan normalisasi yang salah dari peristiwa awal. Namun, dapatkah dikatakan bahwa, jika peran kesalahan normalisasi dikurangi, adalah mungkin untuk membuat aturan korelasi yang berfungsi di luar kotak? Secara teoritis, ya, jika objek pemantauan yang dipantau oleh SIEM akan statis dan bekerja secara eksklusif seperti yang tertulis dalam kerangka acuan. Tetapi dalam praktik ternyata di dunia nyata tidak ada yang statis.

Jadi, mari kita melihat lebih dekat pada objek pemantauan. SIEM mengumpulkan log dari sumber, dari mereka mengekstraksi alamat IP, akun pengguna, akses ke file dan kunci registri, interaksi jaringan. Jika semuanya dirangkum, maka ini tidak lebih dari informasi tentang tahapan siklus hidup sistem otomatis (selanjutnya - AS). Dengan demikian, objek pemantauan SIEM adalah sistem otomatis sebagai keseluruhan atau sebagian dari itu.

Sistem speaker bukan objek statis, cenderung berubah terus-menerus: pekerjaan baru dan server diperkenalkan, peralatan lama dinonaktifkan dan diganti dengan yang baru, sistem "macet" karena kesalahan dan dipulihkan dari cadangan. Dinamika tingkat jaringan, seperti pengalamatan dinamis atau perutean, mengubah wajah pengeras suara setiap hari. Bagaimana cara memeriksanya? Cobalah untuk menemukan di perusahaan Anda skema L3 yang lengkap dan terkini dari jaringan dan tanyakan kepada administrator jaringan seberapa mencerminkan keadaan saat ini.

Ketika mengembangkan aturan korelasi, Anda mencoba untuk melanjutkan dari apa yang terlihat seperti speaker di sini dan sekarang. Dengan menguji aturan korelasi, Anda memperbaikinya ke keadaan di mana mereka dapat bekerja dengan jumlah positif palsu paling sedikit dalam konfigurasi speaker saat ini. Karena speaker terus berubah, aturan korelasinya, cepat atau lambat, harus diperbarui.

Sekarang mari kita mempersulit tugas dan mempertimbangkan aturan yang diberikan oleh para ahli eksternal, seperti SOC komersial, integrator yang mengimplementasikan SIEM, atau pengembang solusi SIEM sendiri. Aturan-aturan ini tidak termasuk fitur speaker Anda - konteks eksekusi - mereka tidak dioptimalkan untuk mereka. Masalah ini adalah batu sandungan lain dalam konsep aturan korelasi yang bekerja di luar kotak. Solusinya mungkin SIEM di dalam dirinya sendiri:

  1. Membangun model speaker yang diamati.
  2. Selalu pertahankan model ini terbaru.
  3. Memungkinkan Anda menggunakan model ini sebagai konteks eksekusi dalam aturan korelasi.

Konteks - Model Sistem Otomatis


Pertama, kami menggambarkan komposisi model speaker. Jika kita beralih ke definisi klasik dari istilah dari GOST 34.003-90 , maka AS adalah "sistem yang terdiri dari personel dan seperangkat alat otomatisasi untuk aktivitasnya yang mengimplementasikan teknologi informasi untuk melakukan fungsi yang telah ditetapkan". Adalah penting bahwa ketika menerapkan teknologi informasi, personel (pengguna) dan alat otomasi beroperasi pada data.

Karena SIEM mengumpulkan informasi dari berbagai sumber, termasuk TI, keamanan informasi, dan aplikasi bisnis, semua bagian dari definisi ini akan "terlihat" oleh kami secara langsung dalam acara tersebut.

Selanjutnya, kami akan menjelaskan bagaimana model yang dibuat untuk entitas seperti pengguna, seperangkat alat otomatisasi (selanjutnya disebut sebagai sistem jaringan dan komputer) dan data.

Sayangnya, agak sulit untuk memodelkan proses teknologi dalam kerangka SIEM, karena kelas solusi semacam itu tidak dimaksudkan untuk ini. Namun demikian, bagian dari proses terlihat melalui model perilaku entitas ini.

Model pembicara umum

Model pembicara umum

Selanjutnya kami akan mempertimbangkan masing-masing entitas dan memikirkan:

  • identifikasi unik;
  • komposisi model;
  • mencari data yang dibutuhkan untuk model;
  • sifat dari perubahan data entitas;
  • memperbarui data dalam model saat mereka berubah.

Model pengguna


Identifikasi


Pengguna AS harus dipahami sebagai orang tertentu: karyawan perusahaan, kontraktor, atau pekerja lepas. Penting bahwa ia memiliki akses yang sah ke speaker.

Informasi tentang pengguna AS biasanya terfragmentasi dalam banyak sistem. Untuk merakitnya, Anda harus berusaha. Mari kita lihat contoh di mana dan informasi apa yang dapat dikumpulkan untuk pengguna tertentu.

  1. Microsoft Active Directory dan Microsoft Exchange. Dari mereka kita bisa mengetahui login domain utama dan alamat emailnya.
  2. Cisco Identity Services Engine (ISE) menyimpan login keduanya untuk akses jarak jauh melalui VPN.
  3. Database portal internal menyimpan login ketiga.
  4. Jika pengguna adalah administrator database, maka login keempat disimpan dalam DBMS, dan mungkin bukan satu.
  5. Database HR, di mana nama lengkapnya disimpan (dalam kasus Direktori Aktif terlalu malas untuk mendapatkan pengguna sesuai dengan semua aturan).

Dengan demikian, jika perusahaan tidak memiliki solusi Manajemen Identitas atau Hak Pengguna yang setidaknya entah bagaimana membantu menyatukan informasi identifikasi yang berbeda ini, Anda harus melakukannya sendiri di SIEM secara manual.

Untuk meringkas:

  1. SIEM membutuhkan ID pengguna tunggal.
  2. Ketika akun pengguna muncul di log apa pun, sistem apa pun, kami harus secara unik mengidentifikasi dan menambahkan pengidentifikasi pengguna unik kami sendiri.

Komposisi Model


Menyusun model entitas apa pun, kami membaginya menjadi dua blok. Blok pertama digunakan untuk menyimpan informasi umum tentang entitas, yang kedua bertanggung jawab untuk menyusun model perilaku entitas. Profil ini dapat digunakan oleh aturan korelasi untuk mengidentifikasi penyimpangan abnormal dalam perilaku suatu entitas.

Minimal, hal-hal berikut harus dimasukkan dalam model pengguna umum:

  • ID pengguna tunggal di SIEM
  • semua pengidentifikasi dari berbagai sistem, termasuk:
    • alamat email eksternal dan internal;
    • Nama lengkap;
    • Akun OS lokal
    • akun domain;
    • Akun VPN
    • Akun proksi
    • Akun DBMS
    • Akun di sistem aplikasi lain.
  • Unit Organisasi di Microsoft Active Directory yang menjadi anggota pengguna;
  • Microsoft Active Directory mengelompokkan ke mana pengguna menjadi anggota.

Minimal, model perilaku pengguna harus mencakup:

  • jenis koneksi yang digunakan (lokal, jarak jauh) dan jenis saluran komunikasi (kabel, nirkabel);
  • perangkat yang digunakan untuk mengakses jaringan perusahaan;
  • aplikasi yang digunakan;
  • pengikatan geografis, terutama untuk pengguna jarak jauh;
  • sumber daya perusahaan tempat pengguna terhubung;
  • kepada siapa dan transfer data apa (arus informasi).


Model pengguna

Model pengguna

Membuat profil arus informasi adalah tugas yang sulit dimana SIEM sering kekurangan mekanisme yang mudah dan sederhana. Tetapi membangun profil semacam itu dapat dimulai dengan email dan sumber daya jaringan bersama yang digunakan.

Sumber Data untuk Model


Di mana mendapatkan data yang dibutuhkan untuk membangun model? Pertimbangkan dua prinsip utama untuk memperoleh informasi yang tersedia di sebagian besar SIEM - metode pengumpulan aktif dan pasif.

Dengan metode aktif, SIEM sendiri beralih ke sumber yang berisi data yang diperlukan untuk membangun model.
Dengan metode pasif, model diisi berdasarkan data dari peristiwa yang diterima di SIEM dari sumber.

Sebagai aturan, untuk mendapatkan model yang paling lengkap, lebih baik menggabungkan dua metode.

Penting untuk dipahami bahwa data yang dikumpulkan dalam kerangka model harus terus diperbarui dan dilakukan dalam mode otomatis daripada mode manual. Metode yang sama persis yang digunakan untuk pengumpulan awal mereka akan cocok untuk memperbarui data.

Pertimbangkan sumber mana yang dapat menyediakan data untuk membangun model dan dengan cara apa Anda bisa mendapatkan informasi yang diperlukan dari mereka.

Untuk model umum


Untuk model perilaku


Model Sistem Jaringan dan Komputer


Identifikasi


Yang dimaksud dengan elemen jaringan dan sistem komputasi yang kami maksudkan adalah workstation, server dan peralatan jaringan, dan alat keamanan informasi. Saat ini, dalam solusi SIEM dan dalam Kerentanan Manajemen, mereka disebut aset.

Tampaknya cukup jelas bahwa aset tersebut dapat dengan mudah diidentifikasi oleh alamat IP, alamat MAC, FQDN atau nama host (selanjutnya disebut sebagai kunci identifikasi asli). Apakah ini selalu terjadi? Seperti ditunjukkan di atas, beberapa perubahan terus-menerus terjadi di AU. Mari kita lihat beberapa perubahan ini dan pikirkan tentang bagaimana kunci identifikasi asli kita berlaku.

  1. Gunakan pada jaringan DHCP. Alamat IP aset berubah.
  2. Berpindah node dalam konfigurasi cluster. Bergantung pada jenis pengelompokan, MAC dan IP dapat berubah.
  3. Mengembalikan sistem dari cadangan di server lain karena kegagalan kritis. Alamat MAC berubah, terkadang IP, FQDN, dan Hostname.
  4. Penggantian terencana, modernisasi peralatan atau bagian-bagian speaker. Hampir semua kunci dapat berubah.

Di perusahaan kecil, perubahan ini bisa sangat langka dan dapat ditangani oleh para ahli yang bertanggung jawab atas SIEM. Tetapi bagaimana jika sebuah perusahaan dengan jaringan cabang yang luas? Dan jauh dari biasanya layanan IS memiliki komunikasi yang mapan dengan layanan TI, yang berarti bahwa pakar SIEM mungkin tidak mendapatkan informasi yang diperlukan tentang perubahan di AS.

Karena Anda tidak dapat mengandalkan IP, MAC, FQDN, atau Hostname secara terpisah untuk mengidentifikasi suatu aset, Anda dapat mencoba mengidentifikasi aset dengan segera dengan keempat parameter. Di sini kita dihadapkan dengan masalah global: SIEM beroperasi pada acara, dan mereka hampir tidak pernah berisi semua kunci identifikasi asli pada saat yang sama.

Bagaimana bisa diselesaikan? Mari kita lihat beberapa opsi:

  1. Metode aktif menggunakan solusi dari level Database manajemen konfigurasi (CMDB) . Informasi tentang kunci identifikasi asli dapat diambil dari sana. Tetapi apakah CMDB mengandung semua kunci sumber dari aset yang diperlukan untuk identifikasi? Dan, yang paling penting, apakah itu memperhitungkan perubahan speaker yang dijelaskan di atas? Penting juga untuk mempertimbangkan waktu memperbarui data dalam CMDB, jika data tertinggal puluhan menit atau jam di belakang keadaan nyata AS - kemungkinan besar, solusi ini tidak akan cocok untuk digunakan dalam korelasi aliran peristiwa di SIEM.
  2. Cara aktif menggunakan solusi Manajemen Kerentanan . Anda dapat mengunggah laporannya ke SIEM, seperti, misalnya, melakukan Micro focus ArcSight. Tetapi apakah ada jaminan bahwa pemindai pihak ketiga akan membawa semua data yang diperlukan untuk identifikasi? Seberapa relevan mereka jika pemindaian dilakukan tidak lebih dari sebulan sekali (rata-rata untuk perusahaan besar), dan jauh dari jangkauan seluruh infrastruktur.
  3. Cara pasif . Identifikasi aset dari peristiwa, meskipun datanya tidak lengkap dan tidak akurat. Peristiwa tidak mengandung semua kunci, sumber yang berbeda mengirim set kunci yang berbeda. Namun, ini adalah cara tercepat untuk mendapatkan informasi tentang perubahan speaker. Sumber, sebagai suatu peraturan, menghasilkan peristiwa dalam semua situasi yang dijelaskan di atas, dengan pengecualian penggantian peralatan yang direncanakan.
  4. Cara hibrid . Manfaatkan semua pendekatan sekaligus:
    • Pengumpulan aktif dengan CMDB memungkinkan pengisian aset SIEM awal yang cepat.
    • Integrasi dengan Manajemen Kerentanan akan menambah informasi yang hilang.
    • Analisis peristiwa akan memungkinkan Anda untuk memperbarui model dengan cepat, dengan mempertimbangkan spesifikasi masing-masing sumber secara terpisah.

    Metode hybrid memungkinkan Anda untuk meratakan masalah yang lain, tetapi sulit untuk diterapkan.

Saat ini, saya hanya bekerja dengan dua solusi di mana produsen memiliki keahlian untuk mengimplementasikan pendekatan ini - IBM QRadar (deskripsi umum dengan referensi , detail algoritma ditutup) dan Positive Technologies MaxPatrol SIEM (detail algoritma ditutup). Saat ini, kedua perusahaan terus menggunakan dan meningkatkan pendekatan hybrid secara tepat.

Jadi:

  1. Stasiun kerja, peralatan jaringan dan server harus diidentifikasi dengan cara hibrid, mengumpulkan data dari CMDB, sistem Manajemen Kerentanan dan peristiwa dari sumber itu sendiri.
  2. Untuk kombinasi yang benar dan pemutakhiran informasi yang dikumpulkan untuk identifikasi, perlu memiliki mekanisme ahli yang mempertimbangkan karakteristik masing-masing sumber.

Komposisi Model


Sistem komputasi, termasuk sistem dan perangkat lunak aplikasi yang diinstal pada mereka, membawa banyak informasi yang diperlukan untuk meningkatkan keakuratan aturan korelasi.

Sama seperti model pengguna, model jaringan dan sistem komputasi terdiri dari bagian umum dan perilaku.

Komposisi model umum jaringan dan sistem komputasi setidaknya harus mencakup:

  • perangkat keras (termasuk perangkat eksternal);
  • mengakhiri pengguna;
  • layanan yang diinstal dan bundel mereka dengan port terbuka;
  • perangkat lunak yang diinstal dan versinya;
  • pembaruan yang diinstal;
  • kerentanan yang ada;
  • tugas yang dijadwalkan
  • daftar perangkat lunak untuk startup;
  • tabel routing;
  • sumber daya jaringan bersama.

Komposisi model perilaku jaringan dan sistem komputasi harus mencakup setidaknya:

  • Interaksi jaringan L3 dan L4 (dengan apa yang berinteraksi dan sesuai dengan protokol apa);
  • Jumlah rata-rata data yang dikirimkan per minggu;
  • pengguna mana yang menggunakan;
  • dari mana node remote control diimplementasikan;
  • statistik pengoperasian fitur keamanan untuk host ini (jaringan dan lokal).

Model Sistem Jaringan dan Komputer
Model Sistem Jaringan dan Komputer

Sumber Data untuk Model


Pengumpulan informasi untuk model ini dimungkinkan dengan dua cara: aktif dan pasif.

Pertimbangkan model umum:

Untuk model umum


Untuk model perilaku


Model Data yang Dilindungi


Identifikasi


Mari kita beralih ke komponen terakhir dari konteks - model data yang dilindungi.

Paling sering, SIEM tidak digunakan untuk memantau data yang dilindungi, karena ada solusi untuk kelas Pencegahan Kebocoran Data (DLP) untuk ini. Namun, pengetahuan ini membantu untuk secara lebih akurat menilai signifikansi insiden tersebut. Misalnya, ketika menulis aturan korelasi, akan berguna untuk mengetahui bahwa insiden tersebut tidak hanya terjadi di beberapa stasiun kerja, tetapi di stasiun yang saat ini menyimpan laporan keuangan untuk tahun tersebut atau informasi rahasia lainnya.

Identifikasi informasi rahasia dilaksanakan oleh mesin pencari sidik jari dalam solusi DLP itu sendiri. Kekhususan mekanisme tidak memungkinkan untuk mengimplementasikannya di dalam SIEM. Dengan demikian, dalam hal identifikasi data yang dilindungi, dimungkinkan untuk hanya menggunakan integrasi ketat dengan solusi kelas DLP.

Komposisi Model


Karena fakta bahwa DLP mengimplementasikan sebagian besar pemantauan dan perlindungan informasi rahasia, komposisi model dalam SIEM cukup kompak.

Minimal, hal-hal berikut harus dimasukkan dalam model umum data yang dilindungi:

  • informasi rahasia tentang aset apa yang disimpan;
  • dimana pengguna memiliki akses ke informasi rahasia.

Setidaknya yang berikut harus dimasukkan dalam model perilaku data yang dilindungi:

  • antara aset mana informasi rahasia dikirim;
  • di mana informasi rahasia pengguna dikirimkan.


Model Data yang Dilindungi

Model Data yang Dilindungi

Sumber Data untuk Model


Untuk membangun model data yang dilindungi, dua metode untuk memperoleh informasi juga tersedia - aktif dan pasif.

Pertimbangkan model umum:

Untuk model umum


Untuk model perilaku


Model mekanisme implementasi dalam SIEM


Mari kita lihat bagaimana mungkin untuk menerapkan model speaker di SIEM. Untuk melakukan ini, pada tingkat SIEM, dua masalah utama perlu ditangani:

  1. Bagaimana menerapkan pengumpulan data aktif dan pasif.
  2. Di mana dan dalam bentuk apa untuk menyimpan model.

Pengumpulan data aktif untuk model, sebagai suatu peraturan, dilakukan oleh mekanisme integrasi SIEM dengan pemindai keamanan. Juga, pengumpulan aktif dapat dilakukan dengan mengunduh data dari sumber eksternal, misalnya, basis data.

Pengumpulan pasif dilakukan dengan menganalisis peristiwa yang melewati SIEM.

Sebagai aturan, dalam SIEM generasi saat ini untuk menyimpan data model di atas, daftar tabel / set Daftar Aktif / Referensi set dan sejenisnya digunakan. Dengan pengumpulan data aktif, tugas yang direncanakan dibuat untuk mengisinya dari sumber eksternal. Dengan pengumpulan pasif, aturan korelasi terpisah dibuat, di mana, ketika acara yang diperlukan muncul (pembuatan pengguna, penghapusan perangkat lunak, transfer file, dll.), Data dari acara tersebut dimasukkan ke dalam daftar tabel.

Dalam kasus umum, semua solusi SIEM modern mengandung semua elemen yang diperlukan untuk membuat dan mengisi data model AC yang dijelaskan.

Historisitas model


AS terus berubah, penting untuk mempertimbangkan, jika tidak dalam aturan korelasi sendiri, karena mereka beroperasi dalam mode waktu nyata dekat dan beroperasi pada keadaan AS saat ini, maka ketika menyelidiki suatu insiden. Menit, jam, dan kadang-kadang berbulan-bulan dapat berlalu dari saat sebuah insiden dimulai sampai penyelidikan. Dengan beberapa serangan, hingga 6 bulan dapat berlalu antara masuknya seorang penyerang ke dalam sistem dan deteksi SIEM dari aktivitasnya ( 2018 Biaya Studi Pelanggaran Data oleh Ponemon ). Selama waktu ini, lanskap sistem dapat berubah secara dramatis: pengguna ditambahkan dan dihapus, konfigurasi peralatan telah berubah, peralatan penting untuk penyelidikan insiden tersebut telah tidak berfungsi, dan data yang disalin oleh penyerang dari satu host telah "tumpah" ke yang lain. Oleh karena itu, selama penyelidikan, penting untuk melihat model sistem di negara di mana ia berada pada saat kejadian, dan bukan pada saat ini, ketika kami baru saja mulai menyelidiki itu.

: , SIEM, , .

Model berubah seiring waktu




Kesimpulan


:

  1. , , .
  2. .
  3. SIEM .
  4. :
    • ;
    • , ;
    • .
  5. , , :
    • ;
    • .
  6. , . .
  7. .
  8. , , , .
  9. SIEM .


:

SIEM: « ». 1: ?

SIEM: « ». 2. «»

SIEM: « ». 3.1.

SIEM: « ». 3.2.

SIEM: « ». 4. ( )

SIEM: « ». 5.

Source: https://habr.com/ru/post/id441098/

More articles:


All Articles