想象一下这种情况:您花了很多时间来编写和调试关联规则,而一天后,您发现它们不起作用。 正如他们所说,这从未发生过,再来一次! 事实证明,在晚上,网络再次被升级,并且替换了几台服务器,但是相关规则没有考虑到这一点。 在本文中,我们将向您展示如何教SIEM适应不断变化的基础架构。
我们越来越接近本系列文章的结尾,这些文章致力于开箱即用的自适应相关规则的创建。 文章篇幅很长,任何想要的人都可以立即
得出结论 。
在
“用于标准化事件的方法”一文中,我们总结了有助于最大程度地减少数据丢失和初始事件的不正确标准化的技术。 但是,是否可以说,如果减少归一化错误的作用,则可以使相关规则开箱即用吗? 从理论上讲,是的,如果由SIEM监视的监视对象将是静态的,并且仅按照职责范围中的规定工作,则是可以的。 但实际上,事实证明,在现实世界中并没有什么静态的。
因此,让我们仔细看一下监视对象。 SIEM从源收集日志,从中提取IP地址,用户帐户,对文件和注册表项的访问,网络交互。 如果总结了所有内容,那么无非就是有关自动化系统(以下简称AS)生命周期各个阶段的信息。 因此,SIEM监视对象是一个整体或部分自动化的系统。
扬声器系统不是静态对象,它会不断变化:引入新的作业和服务器,淘汰旧设备并用新设备替换,系统由于错误而“崩溃”并从备份中恢复。 网络级动态,例如动态寻址或路由,每天都会改变演讲者的面貌。 如何检查? 尝试在您的公司中找到完整的当前L3方案,并与网络管理员联系,以了解它反映了当前的状况。
在制定相关规则时,您尝试从现在和现在的说话者那里开始。 通过测试相关规则,您可以将它们优化为一种状态,在这种状态下,它们可以处理当前扬声器配置中最少数量的误报。 由于说话者不断变化,因此相关规则迟早都必须更新。
现在,使任务复杂化,并考虑由外部专家(例如,商业SOC,实施SIEM的集成商或SIEM解决方案开发人员)提供的规则。 这些规则不包括发言人的功能-执行上下文-并未针对他们进行优化。 这个问题是现成的相关规则概念中的另一个绊脚石。 它的解决方案可能是SIEM本身:
- 建立观察到的说话者的模型。
- 始终保持此模型为最新。
- 允许您将此模型用作关联规则中的执行上下文。
上下文-自动化系统模型
首先,我们描述说话者模型的组成。 如果我们转向
GOST 34.003-90中术语的经典定义,那么AS是“一个由人员和一套用于其活动的自动化工具组成的系统,该系统实施信息技术以执行已建立的功能”。 在实施信息技术时,重要的是人员(用户)和自动化工具对数据进行操作。
由于SIEM从许多不同的来源(包括IT,信息安全和业务应用程序)收集信息,因此在事件中我们可以直接看到此定义的所有部分。
接下来,我们将描述为用户这样的实体创建的模型,一组自动化工具(以下称为网络和计算机系统)和数据的样子。
不幸的是,在SIEM框架内对技术过程进行建模是相当困难的,因为此类解决方案并非为此目的。 但是,通过这些实体的行为模型可以看到部分过程。
通用音箱型号此外,我们将考虑每个实体并继续:
- 唯一标识;
- 模型的组成;
- 查找模型所需的数据;
- 实体数据更改的性质;
- 更改时更新模型中的数据。
用户模型
身份证明
AS的用户应被理解为特定的人:公司,承包商或自由职业者的雇员。 他有权访问发言人,这一点很重要。
有关AS用户的信息通常在许多系统中都是零散的。 要组装它,您需要付出努力。 让我们看一个示例,在该示例中可以为特定用户收集哪些信息。
- Microsoft Active Directory和Microsoft Exchange。 从他们中我们可以找到他的主要域登录名和电子邮件地址。
- 思科身份服务引擎(ISE)存储其第二个登录名,以便通过VPN进行远程访问。
- 内部门户网站的数据库存储其第三次登录。
- 如果用户是数据库管理员,则第四个登录名将存储在DBMS中,可能不是一个。
- HR数据库,其中存储了他的全名(以防Active Directory太懒惰而无法根据所有规则吸引用户)。
因此,如果公司没有身份管理或用户权限管理解决方案(至少在某种程度上有助于将这些完全不同的标识信息整合在一起),则您必须自己在SIEM中手动进行操作。
总结一下:
- SIEM需要单个用户ID。
- 当用户帐户出现在任何日志,任何系统中时,我们必须对其进行唯一标识并附加我们自己的唯一用户标识符。
模型组成
组成任何实体的模型,我们将其分为两个模块。 第一个块用于存储有关实体的常规信息,第二个块负责编译实体行为的模型。 相关规则可以使用此配置文件来识别实体行为的异常偏差。
至少,一般用户模型应包括以下内容:
- SIEM中的单个用户ID
- 来自各种系统的所有标识符,包括:
- 外部和内部电子邮件地址;
- 全名
- 本地操作系统帐户
- 域帐户;
- VPN帐号
- 代理账户
- DBMS帐户
- 其他应用程序系统中的帐户。
- 用户所属的Microsoft Active Directory中的组织单位;
- 用户是其成员的Microsoft Active Directory组。
用户的行为模型至少应包括:
- 使用的连接类型(本地,远程)和通信通道类型(有线,无线);
- 用于访问公司网络的设备;
- 二手应用;
- 地理绑定,特别是对于远程用户;
- 用户连接的公司资源;
- 向谁以及什么数据传输(信息流)。
用户模型对信息流进行概要分析是一项艰巨的任务,SIEM常常缺乏便利且简单的机制。 但是建立这样的配置文件可以从使用电子邮件和共享的网络资源开始。
模型的数据源
从哪里获取构建模型所需的数据? 考虑获取大多数SIEM中可用信息的两个主要原则-主动和被动收集方法。
使用
主动方法时, SIEM本身将转向包含构建模型所需数据的源。
使用
被动方法时,将基于SIEM中从源接收到的事件数据填充模型。
通常,为了获得最完整的模型,最好结合两种方法。
重要的是要理解,在模型框架中收集的数据必须不断更新并以自动而不是手动的方式完成。 最初收集时使用的方法完全相同,将适用于更新数据。
考虑哪些来源可以提供用于构建模型的数据,以及您可以从哪些途径获得必要的信息。
网络和计算系统模型
身份证明
所谓网络和计算系统,是指工作站,服务器和网络设备以及信息安全工具。 目前,在SIEM和漏洞管理解决方案中,它们称为资产。
很明显,可以很容易地通过IP地址,MAC地址,FQDN或主机名(以下称为原始标识密钥)来标识此类资产。 总是这样吗? 如上所述,非盟不断发生一些变化。 让我们看一下其中的一些变化,并思考我们原始的识别密钥的行为。
- 在DHCP网络上使用。 资产IP地址正在更改。
- 在集群配置中切换节点。 根据群集的类型,MAC和IP可能会更改。
- 由于严重故障,从另一台服务器上的备份还原系统。 MAC地址会更改,有时会更改IP,FQDN和主机名。
- 计划更换,扬声器设备或零件的现代化。 几乎所有键都可以更改。
在小型公司中,这些更改非常罕见,可以由SIEM负责的专家处理。 但是,如果一家拥有广泛分支机构的公司怎么办? 而且,IS服务与IT服务之间的通信不总是很完善,这意味着SIEM专家可能无法获得有关AS变更的必要信息。
由于不能单独依靠IP,MAC,FQDN或主机名来标识资产,因此可以尝试通过所有4个参数立即标识资产。 在这里,我们面临一个全球性问题:SIEM对事件进行操作,它们几乎永远不会同时包含所有原始标识密钥。
如何解决? 让我们看一些选项:
- 使用配置管理数据库(CMDB)级别的解决方案的主动方法 。 可以从此处获取有关原始标识密钥的信息。 但是CMDB是否包含识别所需资产的所有源密钥? 而且,最重要的是,它是否考虑了上述发言人的变化? 如果数据比发言人的真实状态滞后数十分钟或几小时,则考虑在CMDB中更新数据的时间也很重要-最有可能的是,此解决方案不适合用于SIEM中事件的流相关。
- 使用漏洞管理解决方案的主动方式 。 您可以将其报告上载到SIEM,例如Micro focus ArcSight。 但是,是否可以保证第三方扫描仪会带走用于识别所需的所有数据? 如果每月执行扫描的频率不超过一次(大型公司的平均值),并且扫描范围远不涵盖整个基础架构,那么它们的相关性如何?
- 被动方式 。 从事件中识别资产,尽管它们的数据不完整且不准确。 事件不包含所有键;不同的源发送不同的键集。 但是,这是获取有关扬声器变化信息的最快方法。 通常,在计划中更换设备的情况下,来源通常会在上述所有情况下产生事件。
- 混合方式 。 立即利用所有方法:
- 通过CMDB进行主动收集,可以快速进行初始SIEM资产填充。
- 与漏洞管理集成将添加缺少的信息。
- 对事件的分析将使您可以快速更新模型,同时考虑到每个源的具体情况。
混合方法使您可以解决其他方法的问题,但是很难实现。
目前,我只使用制造商具有实施此方法专业知识的两个解决方案-IBM QRadar(
参考文献一般描述,算法细节已关闭)和Positive Technologies MaxPatrol SIEM(算法细节已关闭)。 目前,两家公司都继续使用和改进混合方法。
因此:
- 必须以混合方式识别工作站,网络和服务器设备,以汇总来自CMDB,漏洞管理系统的数据以及来自源本身的事件。
- 为了正确地组合和更新收集的用于标识的信息,必须具有考虑到每个源特征的专家机制。
模型组成
计算系统(包括安装在其上的系统和应用软件)携带许多必要的信息,以提高关联规则的准确性。
就像用户模型一样,网络和计算系统的模型也包含一个共同的行为部分。
网络和计算系统的通用模型的组成至少应包括:
- 硬件(包括外部设备);
- 伤害用户;
- 安装的服务及其带有开放端口的捆绑包;
- 安装的软件及其版本;
- 已安装的更新;
- 现有漏洞;
- 计划任务
- 用于启动的软件列表;
- 路由表;
- 共享的网络资源。
网络和计算系统的行为模型的组成应至少包括:
- L3和L4的网络交互(与哪些交互以及根据什么协议进行交互);
- 每周平均传输的数据量;
- 哪些用户正在使用;
- 从哪个节点实施远程控制;
- 该主机(网络和本地)安全功能的运行统计信息。
网络和计算系统模型模型的数据源
该模型的信息收集有两种方式:主动和被动。
考虑一般模型:
受保护的数据模型
身份证明
让我们继续进行上下文的最后一个组成部分-受保护的数据模型。
大多数情况下,SIEM不用于监视受保护的数据,因为为此存在针对数据泄漏防护(DLP)类的解决方案。 但是,此知识有助于更准确地评估事件的重要性。 例如,在编写相关规则时,知道该事件不仅发生在某些工作站上,而且还发生在当前存储该年度财务报告或其他机密信息的站点上,将很有用。
机密信息的识别由DLP解决方案本身中的指纹搜索引擎实现。 该机制的特殊性不允许在SIEM内部实现。 因此,就识别受保护数据而言,仅可以与DLP类解决方案紧密集成。
模型组成
由于DLP实施了绝大部分对机密信息的监视和保护,因此SIEM中模型的组成非常紧凑。
至少应在受保护数据的一般模型中包括以下内容:
- 什么资产机密信息存储在;
- 哪些用户可以访问机密信息。
受保护数据的行为模型中至少应包括以下内容:
受保护的数据模型模型的数据源
要构建受保护数据的模型,还可以使用两种获取信息的方法-主动和被动。
考虑一般模型:
SIEM中的模型实现机制
让我们看看如何在SIEM中实现发言人模型。 为此,在SIEM级别上,需要解决两个主要问题:
- 如何实现主动和被动数据收集。
- 在何处以什么形式存储模型。
通常,该模型的
活动数据
收集是由带有安全扫描程序的SIEM集成机制执行的。 而且,可以通过从外部资源(例如数据库)下载数据来进行主动收集。
通过分析通过SIEM的事件
来执行
被动收集 。
通常,在用于存储上述模型数据的当前一代的SIEM中,使用表列表/活动列表/集合的参考集等。 通过主动数据收集,可以创建计划任务以从外部源中填写它们。 通过被动收集,将创建单独的关联规则,在其中,当必要的事件出现(用户创建,软件删除,文件传输等)时,来自事件的数据将插入到表列表中。
在一般情况下,所有现代SIEM解决方案都包含创建和填充所述AC模型数据的所有必要元素。
模型的历史性
AS不断变化,因此,如果不在关联规则本身中,就必须加以考虑,因为它们以接近实时的模式运行并以AS的当前状态运行,因此在调查事件时非常重要。 从事件开始直到调查开始,可能需要几分钟,几小时甚至是几个月的时间。 对于某些攻击,将攻击者引入系统与SIEM检测其活动之间可能需要长达6个月的时间(
Ponemon进行的2018年数据泄露研究成本 )。 在此期间,系统的格局可能发生巨大变化:添加和删除用户,更改设备配置,对调查事件重要的设备停止运行,并且攻击者从一台主机复制的数据已“泄漏”到另一台主机上。 因此,在调查期间,重要的是要在事件发生时的状态下而不是在我们刚刚开始调查时的当前状态下查看系统模型。
所有这一切的结论是:在SIEM内部构建的历史应该具有可以在任何给定时间访问的历史。模型随时间变化结论
总结一下:- 为了使关联规则以最少数量的误报起作用,它们必须考虑它们所处的上下文。
- 相关规则的上下文是公司自动化系统的模型。
- SIEM有义务在其工作过程中建立此模型。
- 自动化系统模型包括三个主要部分:
- 用户模型和行为;
- 网络和计算系统的模型,它们的网络连接和行为;
- 受保护数据及其行为的模型。
- 该模型所需的数据可以通过两种方式收集:
- , . .
- .
- , , , .
- SIEM .
系列文章:SIEM深度:开箱即用的相关性。第1部分:纯粹的行销还是无法解决的问题?SIEM深度:现成的相关性。第2部分。反映SIEM深度 “世界”模型的数据方案:“开箱即用”的相关性。第3.1部分。SIEM深度 事件的分类:现成的相关性。第3.2部分。SIEM深度事件标准化方法:现成的相关性。第4部分。作为关联规则上下文的系统模型(本文)SIEM深度:现成的关联。第5部分。开发相关规则的方法