Geekly articles weekly

SIEM深度:现成的相关性。 第1部分:纯粹的行销还是无法解决的问题?

您多久听到一次有关SIEM制造商提供的关联规则不起作用并且在安装产品后立即被删除或禁用的说法? 在信息安全事件中,SIEM专用的任何部分均以一种或另一种方式解决此问题。

让我们抓住机会,尝试找到解决问题的方法。

SIEM开箱即用


最常见的主要问题是,SIEM制造商的关联规则最初并未适应特定客户的特定基础结构。
通过分析在不同地点提出的问题,可以感觉到该问题没有解决方案。 实施SIEM仍然必须要么非常完善制造商提供的产品,要么放弃所有规则并重新编写自己的规则,而这个问题是Gartner象限中任何部分的所有解决方案所固有的。

你不由自主地问自己,一切是否真的那么糟糕,这种高迪安结无法割断? “开箱即用的相关规则”这个表述只是一个不花钱的营销口号吗?

在以下情况下,您可能会感兴趣的文章:

  • 您已经在使用某种SIEM解决方案。
  • 只是计划实施它。
  • 我们决定使用基于ELK堆栈或其他东西的二十一点和相关性来构建SIEM。

这些文章将是关于什么的


在本系列文章的框架内,我们列出了阻碍实现“开箱即用的相关规则”概念的主要问题,并尝试描述解决这些问题的系统方法。

我必须马上说,这篇文章可以被技术专家描述为:“水”,“几乎没有”。 一切都是这样,但并非完全如此。 在处理任何困难的任务之前,我想先找出它为什么产生以及它给我们带来的解决方案。

为了更好地理解将要提出的所有问题,我将给出整个系列文章的总体结构:

  • 第一条:本条。 让我们讨论问题的陈述,并尝试理解为什么我们通常需要规则“即开即用的相关规则”。 该文章本质上是意识形态的,如果完全无聊,则可以跳过。 但是,我不建议这样做,因为 在以后的文章中,我会经常提到它。 在这里,我们将讨论阻碍我们前进的主要问题以及解决这些问题的方法。
  • 第2条:万岁! 这是我们到达提出的解决问题方法的第一个细节的地方。 让我们描述一下安全的SIEM信息系统应该如何“看到”。 让我们讨论规范化事件所需的字段集。
  • 第3条:我们描述了事件分类的作用以及如何基于事件构建事件标准化的方法。 我们将说明IT事件与IS事件有何不同,以及为什么它们应具有不同的分类原则。 我们为这种方法的工作提供了生动的例子。
  • 第4条:仔细研究构成我们的自动化系统的资产,并了解它们如何影响规则的执行。 我们将确保它们也不是那么简单:它们需要被识别并不断更新。
  • 第5条:一切从此开始。 我们根据前几篇文章中介绍的所有内容,描述了编写相关规则的方法。

问题陈述及其重要性


让我们尝试用简单的话来概述我们的任务:“作为客户,我购买了SIEM解决方案,订阅了更新规则库并支付给制造商(有时是集成商)的支持,我想迅速获得已建立的关联规则对我的SIEM很有用。” 对于我来说,这是一个很好的愿望,没有任何建筑或结构技术限制。

现在,注意,让我们假设我们已经解决了所有问题,并且我们的任务已经完成。 这给了我们什么?

  • 首先 ,我们节省了专家的人工成本。 现在,他们不必花时间研究每条新规则的逻辑并使之适应特定自动化系统的实际情况。
  • 其次 ,我们节省了预算,因为 我们不要求集成商或其他人为我们编写或修改规则,但要付费。
  • 第三 ,所有重要的SIEM市场参与者都有研究部门和部门,专门研究信息安全威胁。 利用他们的经验很重要,特别是如果我们为此付出代价的话。
  • 第四 ,我们正在缩短对新威胁的反应。 我不会谈论威胁的出现,针对特定客户的特定产品中检测和实施威胁的相关规则的发展之间的永恒关系,有关该主题的文章很多。
  • 第五 ,这当然使我们所有人都可以在特定的SIEM解决方案的框架内共享对任何客户都适用的统一规则。

遇到问题的解决方案并认真阅读这一点的许多技术专家将立即提出反对:“是的,当然有优点,但这在技术上不可行。” 我个人认为,这项任务是“艰巨的”任务,现在,在西方和俄罗斯市场,都有SIEM包含解决该问题所需的所有要素。 我想将您的注意力集中在此-产品不允许您解决问题,而仅包含所有必要的功能块,如设计师一样,您可以从中组装我们正在寻找的解决方案。

我认为这很重要,因为 稍后将描述的所有内容都可以在几乎任何现有的和成熟的SIEM中实施。

足够的歌词之后,我们将更详细地讨论解决问题时出现的问题。

我们面临的挑战


在寻找上述问题的解决方案时,让我们看看我们必须面对哪些问题。 突出主要问题将有助于更好地理解问题,并开发出系统的方法来解决它们。
我们面临的问题是滚雪球,每一个问题都会使局势进一步恶化。 其中许多问题导致创建“开箱即用的相关规则”非常困难。

通常,问题分为以下四个大块:

  1. 在标准化过程中与“世界”模型转换相关的数据丢失。
  2. 缺乏明确且普遍接受的规范事件的规则。
  3. 保护对象的不断“变异”-我们的自动化系统。
  4. 缺乏编写关联规则的规则。


SIEM相关问题


现在让我们更详细地研究这些问题。

世界模式转型


使用以下类比最容易描述此问题。
我们周围的世界是多种多样的,但是我们的听觉和视觉只能固定有限的辐射范围。 看到或听到某种现象后,我们已经在脑中构建了事件的图像,并且已经使用了截断的模型。 例如,我们的眼睛看不到红外光谱,耳朵听不到16 Hz以下的振动。 这是原始现象的第一次转变。 在此模型中,我们的想象力带来了某些原始现象所没有的东西。 我们可以通过口头演讲将这种现象的所有局限性和特征告诉对话者。 这是模型的第二次转换。 最后,用我们的话说,对话者决定将这种现象写给信使中的同事。 就信息丢失而言,这是该模型的第三次也是最有可能发生的最戏剧性的转变。

SIEM模型转换

在上面描述的示例中,我们观察到一个经典问题,原始的“概念模型”( Sovetov B. Ya。,Yakovlev S. A.,系统建模 )通过简化转换为另一个模型,但又不详细介绍。
在由软件或硬件生成的事件世界中,确实发生了同样的事情。

在这里可以提供的解释是已经从我们的主题领域得到的简化图片:

  • 模型的第一次转换。 可执行文件被加载到RAM中,操作系统开始执行其中描述的指令。 操作系统将有关此操作的一些信息传递到守护程序/日志记录服务(auditd,eventlog等)。 如果您未启用对操作的扩展审核,则某些信息将不属于此守护程序。 但是,即使在扩展审核中,某些信息仍将被丢弃,因为 操作系统开发人员认为,如此大量的信息足以了解正在发生的事情。
  • 模型的第二次转换。 现在,守护程序/服务创建了一个事件,将信息写入磁盘,在这里我们了解到事件行的长度可以受到一定数量的字节的限制。 如果守护程序/服务维护结构化日志,则它包含具有某些字段的某种事件方案。 如果有太多信息不适合“有线”方案,该怎么办? 正确地,此信息很可能会被简单地丢弃。

现在看起来像是我们任务的一部分。
我们已经有了一个简化的模型(已经丢失了很多细节),该模型简化了由日志文件中的记录表示的某种现象-事件。 SIEM读取此事件,并通过在其方案的各个字段之间分配数据来对其进行规范化。 先验方案中的字段数量不能包含它们的数量,以覆盖来自所有来源的所有事件的所有可能语义,即在此步骤中转换模型并丢失数据。


重要的是要了解,由于这个问题,专家在分析SIEM中的日志或描述相关规则时,不会看到初始事件本身,而是会看到至少两次扭曲的模型,从而丢失了很多信息。 并且,如果丢失的信息在事件调查中非常重要,并且由于编写规则,则必须从某个地方提取该信息。 专家可以通过参考原始源(原始事件,内存转储等)或通过根据自己的经验在脑海中对丢失的数据进行建模来找到丢失的信息,这实际上是无法直接从关联规则中得出的。

一个很好的指标,如果不是很奇怪的话,是客户设备字符串,数据字段或其他类似字段。 这些字段代表一种“转储”,它们会将自己不知道的数据放在哪里,或者何时将所有其他合适的字段简单地泛洪。

通常,分类标准字段集反映了SIEM开发人员看到主题区域时的“世界”模型。 如果模型非常“狭窄”,则其中只有少量字段,并且在某些事件归一化后,它们将被完全遗漏。 具有最初固定且动态不可扩展的字段集的SIEM通常会出现此问题。

另一方面,如果字段太多,则会因缺乏了解而需要将原始事件的某些数据放入哪个字段中而产生问题。 当在语义上将初始事件的相同数据立即放入多个字段中时,这种情况就可能出现语义重复。 在解决方案中经常会观察到这种情况,在该解决方案中,任何规范化模块都可以在新源的支持下动态扩展架构字段集。

如果您手头有一个“战斗” SIEM,请查看您的事件。 在规范化过程中,您多久使用一次保留的其他字段(自定义设备字符串,数据字段等)? 填充了其他字段的许多类型的事件表明您正在观察第一个问题。 现在记住或询问您的同事,由于没有足够的保留字段,他们不得不在新资源的支持下多久添加一次新字段? 这个问题的答案是第二个问题的指标。

事件规范化方法


重要的是要记住谁和如何规范事件,因为 它起着重要作用。 SIEM解决方案的开发人员直接支持部分资源,一部分是为您实施SIEM的集成商,一部分是您的。 这是下一个问题在等待我们的地方:每个参与者都以自己的方式解释事件模式字段的含义,因此以不同的方式进行规范化。 因此,不同的参与者可以将语义相同的数据分解为不同的字段。 当然,有许多字段,其名称不允许双重解释。 假设src_ip或dst_ip,但是即使存在它们,仍然存在困难。 例如,在网络事件中,当标准化同一会话中的传入和传出连接时,是否有必要将src_ip更改为dst_ip?

基于以上所述,有必要创建一种明确的方法来支持来源,并在其框架内明确指出:

  1. 需要什么电路领域?
  2. 哪些数据类型对应于哪些字段。
  3. 在每种事件类型的框架内,什么信息对我们很重要。
  4. 填写字段的规则是什么。

保护对象的模型及其变异


作为任务解决方案的一部分,保护的对象是我们的自动化系统(AS)。 是的,它是GOST 34.003-90定义中的AU,包括其所有流程,人员和技术。 这是重要的一点,我们将在后面的文章中稍后再讨论。

此处并非偶然选择单词“突变”。 让我们回想一下,在生物学中,突变被理解为基因组中的持续变化。 什么是AC基因组? 在本系列文章的框架中,在AS基因组下,我将了解其架构和结构。 而“持久的变化”仅是系统管理员,网络工程师,信息安全工程师的日常工作的结果。 在这些变化的影响下,AC每分钟从一种状态变为另一种状态。 有些州的特点是安全性高,有些则少。 但是,现在对我们来说没关系。

重要的是要了解,AC模型不是静态的,其所有参数均在技术和工作文档中进行了描述,而是动态的,不断变化的对象。 SIEM在其内部建立保护对象的模型,必须考虑到这一点,并能够及时有效地更新它,以跟上突变率。 而且,如果我们想使关联规则“开箱即用”,则必须考虑到这些变异,并始终以最相关的“世界”形象来进行操作。

制定相关规则的方法


从上面介绍的“金字塔”中可以明显看出,在制定相关规则时,我们被迫为处于较低级别的所有问题而苦苦挣扎。 在处理这些问题时,规则具有附加的逻辑:附加的事件过滤,检查空值,转换数据类型并转换这些数据(例如,从完全合格的域名用户名中提取域名),隔离有关与谁以及与谁进行交互以及与谁进行交互的信息事件框架。

在所有这些之后,规则被大量的catch表达式,搜索子字符串和正则表达式所包围,以至于他们的工作逻辑只对作者有意义,直到下一个假期。 此外,自动化系统的不断变化-变更要求定期更新防欺诈规则。 熟悉的照片吗?

最后


作为本系列文章的一部分,我们将尝试了解如何使相关规则开箱即用。

为了解决这个问题,我们必须面对以下问题:

  1. 在标准化阶段“世界”模型转换期间的数据丢失。
  2. 缺少对标准化方法的明确定义。
  3. 在人和过程的影响下,保护对象的永久变异。
  4. 缺乏编写相关规则的方法。

这些问题中的许多问题在于构建正确的事件方案的平面(一组字段和事件规范化的过程),这是相关规则的基础。 问题的另一部分通过组织和方法论方法解决。 如果我们设法找到这些问题的解决方案,那么开箱即用规则的概念将产生广泛的积极影响,并将SIEM制造商所积累的专业知识提高到一个新的水平。

接下来是什么? 在下一篇文章中,我们将尝试处理“世界”模型转换过程中的数据丢失,并考虑完成任务所需的一组字段的外观-图表。


系列文章:

SIEM深度:现成的相关性。 第1部分:纯粹的行销还是无法解决的问题? ( 本文

SIEM深度:现成的相关性。 第2部分。数据模式反映“世界”模型

SIEM深度:现成的相关性。 第3.1部分。 事件分类

SIEM深度:现成的相关性。 第3.2部分。 事件规范化方法

SIEM深度:现成的相关性。 第4部分。系统模型作为关联规则的上下文

SIEM深度:现成的相关性。 第5部分。开发相关规则的方法

Source: https://habr.com/ru/post/zh-CN423431/

More articles:


All Articles