Правила корреляции SIEM: улучшение обнаружения угроз
Журналы отображают действия в реальном времени в каждом уголке вашего предприятия. Каждый журнал аудита содержит информацию о действиях пользователя, параметрах, ресурсах и времени, что делает их настоящей золотой жилой данных. Однако использование их для защиты предприятий требует больше, чем просто данных: журналы должны быть связаны и идентифицированы как безопасные или вредоносные — и все это до того, как злоумышленник сможет развернуть полезную нагрузку или украсть данные. Вот где сияют правила корреляции.
В аналитике корреляция — это любая связь или отношение между двумя элементами — сопоставляя отношения между каждым фрагментом данных журнала и создавая правила корреляции SIEM, ваш SIEM может слаженно контролировать каждую точку данных по отношению друг к другу. Наконец, эти последовательности идентифицируются как безопасные или потенциально вредоносные путем добавления правил поверх этих данных. Хороший трафик разрешается, в то время как плохой или подозрительный трафик помечается как таковой — и блокируется.
SIEM следующего поколения
Stellar Cyber Next-Generation SIEM как важнейший компонент платформы Stellar Cyber Open XDR...
Испытайте безопасность на основе искусственного интеллекта в действии!
Откройте для себя передовой искусственный интеллект Stellar Cyber для мгновенного обнаружения угроз и реагирования на них. Запланируйте демонстрацию сегодня!
Как работают правила корреляции SIEM
Шаг 1: Централизация журналов
Журналы всех ваших систем собираются и пересылаются в SIEM. Это становится возможным благодаря датчикам и агентам — небольшим программным обеспечениям, установленным на конечных устройствах, сетях и серверах, которые пассивно отслеживают пакеты данных, передаваемые по сети, и действия, выполняемые на устройствах. На этом этапе инструмент SIEM начинает процесс извлечения этих журналов в центральный аналитический механизм.
Шаг 2: Нормализация данных
Хотя журналы охватывают каждый отдельный угол вашей инфраструктуры, они по-прежнему состоят из совершенно разных приложений, серверов и оборудования, каждое из которых имеет свой уникальный формат для перечисления записей журнала. Журналы событий из разных источников могут иметь радикально различающиеся информационные поля и структуры данных. Вторым шагом к корреляции SIEM является их нормализация, которая работает путем анализа различных журналов в единообразный стандартизированный формат.
Чем эффективнее нормализация данных журнала, тем быстрее SIEM сможет начать анализ и применять методы обнаружения угроз.
Шаг 3: Корреляция данных
Теперь, когда все данные журнала приняты, движок корреляции может видеть, как они соответствуют общим шаблонам. Некоторые инструменты SIEM заходят достаточно далеко, чтобы индивидуально идентифицировать отдельные строки, но более продвинутые предложения, такие как Stellar, добавляют второй уровень корреляции, который рассматривает другие атрибуты, такие как параметры запроса и ответа. Это помогает укрепить связь между поведением и вовлеченной сущностью.
Это довольно высокий уровень, поэтому давайте рассмотрим корреляцию данных в контексте реальной атаки: рассмотрим попытки злоумышленника получить доступ к предприятию методом подбора с помощью своего поставщика услуг управления идентификацией и доступом (IAM). Вовлеченное поведение может включать кампанию непрерывных попыток входа для получения доступа (действие A), за которой следует успешный вход (действие B). Затем они могут перейти к доступу к консоли администратора и создать нового пользователя с повышенными привилегиями — или инициировать множество сканирований портов для выявления слабых мест и конфиденциальных ресурсов. Назовем это действие C.
Корреляция на основе правил позволяет размещать каждую технику, тактику и процедуру (TTP) в последовательности: эти последовательные корреляции затем могут запустить действие правила, которое передается аналитику через оповещение. Именно способ, которым эти атрибуты объединяются, определяет идентификационную способность инструмента SIEM.
Корреляция на основе правил и поведенческая корреляция
Действия, задействованные в атаке, которую мы только что рассмотрели, можно обнаружить двумя способами: первый — с помощью правила, которое явно гласит: «если за действием A следует B, а затем C, активировать оповещение». Это работает очень хорошо, если аналитики заранее знают о возможности этой атаки и имеют приблизительное представление о том, какой TTP может предпринять злоумышленник.
Однако это не единственный подход: эта атака методом подбора может быть также обнаружена более общим правилом «если набор действий отклоняется от обычного поведения аутентификации конечного пользователя, активировать оповещение». Это правило основано на том, что SIEM имеет историческое понимание того, как обычно действует конечный пользователь; теперь это возможно благодаря запуску этих централизованных журналов через алгоритм машинного обучения. Благодаря этому становится очень легко устанавливать ежедневные шаблоны поведения пользователя, устройства и трафика — и, следовательно, использовать поведенческую корреляцию в качестве основы для правил SIEM. Поведенческая корреляция часто используется для получения «оценки риска», для которой аналитики устанавливают приемлемый порог.
Поскольку мы удвоили количество различных подходов, которые мы можем использовать для выявления угроз, сейчас как никогда важно активно поддерживать правила SIEM в актуальном состоянии и обеспечивать их высокую эффективность. Ниже мы обсудим, как этого лучше всего добиться.
Преимущества правил корреляции SIEM для обнаружения угроз
Обнаружение угроз на основе сигнатур
Подавляющее большинство атак не являются чем-то уникальным: оппортунистические злоумышленники, копирующие вредоносный код, настолько распространены, что их прозвали «скрипт-кидди». Вот почему подавляющее большинство защиты поверхности атак SIEM осуществляется с помощью обнаружения на основе сигнатур.
Репозитории сайтов сигнатур вредоносных программ постоянно расширяются: одним из самых известных является база данных M&TRE ATTACK. Она определяет конкретные подходы, используемые злоумышленниками, и, следовательно, предоставляет специалистам по безопасности базу данных с открытым исходным кодом для правил SIEM. Эти наборы правил основаны на определении шаблонов известного вредоносного поведения.
Однако чем более распространено правило SIEM, тем больше внимания злоумышленники будут уделять его обходу. Это ставит правила корреляции в непрерывную гонку между злоумышленником и аналитиком безопасности. И если команда безопасности начнет вводить слишком много правил, она рискует быть заваленной ложными срабатываниями SIEM.
Stellar Cyber устраняет старые трудности, с которыми сталкивались SIEM-системы, основанные на чистой корреляции, добавляя еще один уровень анализа ML. Аналитики могут охватить как можно больше баз с помощью правил корреляции, а затем второй уровень анализа оценивает более широкий контекст каждого оповещения, чтобы определить его легитимность.
Предварительно заполненные правила для реальных угроз
Правила корреляции специально созданы для выявления распространенных угроз, которые хакеры используют снова и снова, чтобы попытаться получить доступ к ресурсам. Однако ИТ-отдел одного предприятия может не обладать самым современным пониманием реальных TTP. В конце концов, разведка угроз требует постоянного сбора, обработки и применения данных о злоумышленниках, методах и индикаторах компрометации.
Вот почему заранее упакованные правила корреляции являются таким преимуществом: эти предварительно заполненные подходы построены на основе макро-представления вашей отрасли и более широкого пространства угроз. Каждое изменение поведения может быть помечено и связано с его типом оповещения, тем самым уменьшая спорадическую природу оповещений журнала в более упорядоченное целое.
Соответствие требованиям к данным и доступу
Организации практически в каждой отрасли должны продемонстрировать, что они придерживаются определенных законов, правил и положений, которые меняются в зависимости от отрасли, в которой вы работаете. Европейские филиалы должны следить за GDPR, в то время как любой ориентированный на платежи бизнес должен соответствовать PCI DSS.
GDPR — один из самых строгих и широких регламентов, требующий безопасности данных во всех технических процессах организации. Поскольку журналы SIEM учитывают все активы и учетные записи пользователей организации, он имеет уникальные возможности для достижения этой цели.
Это настоящее преимущество правил корреляции: их универсальная применимость. Отправляя оповещение всякий раз, когда обнаруживается набор ненормальных журналов, он дает аналитикам предварительное предупреждение о потенциальных проблемах соответствия. Возможность составлять собственные правила также позволяет вписывать правила соответствия в вашу структуру безопасности с самого основания. Если PCI DSS требует, чтобы все антивирусные решения для конечных точек были актуальны, внедрите правило SIEM, которое оповещает вас, когда антивирусное решение не было обновлено. Более продвинутые инструменты SIEM позволяют автоматизировать весь этот процесс, сохраняя при этом криминалистический файл о его действиях. Ускорение, предоставляемое SIEM, особенно важно в контексте таких правил, как GDPR, предоставляя небольшое 72-часовое окно для информирования и устранения инцидентов безопасности.
Обнаружение многоэтапных атак и современных постоянных угроз (APT)
Индивидуальные правила корреляции достаточно просты, но абсолютная детализация журналов позволяет добиться гораздо более четкого разрешения и смягчения. Именно здесь составные правила могут быть превосходны для выявления более сложных угроз: они объединяют несколько правил вместе, чтобы сосредоточиться на определенном поведении в определенном контексте. Например, если X попыток входа на одну и ту же рабочую станцию (и один и тот же IP-адрес) терпят неудачу в течение X минут и используют разные имена пользователей, и если успешный вход происходит на любом компьютере в сети и происходит с того же IP-адреса, это вызовет оповещение.
Составные правила могут быть жизненно важны для отсечения точек входа APT. Это когда злоумышленник получает начальный доступ к сети организации, находит безопасную точку доступа, а затем просто ничего с ней не делает. Хотя угроза может выглядеть спящей, она, скорее всего, просто ждет подходящего времени — или даже покупателя для текущего эксплойта. Когда он захочет, злоумышленник может просто проскользнуть мимо брандмауэра и украсть данные или развернуть вредоносное ПО, поскольку его учетная запись или действия считаются безопасными.
Простые правила корреляции традиционно ненадежны при обнаружении APT; если аналитики не знают о потенциальной TTP, они вряд ли обнаружат угрозу.
Итак, наиболее надежный подход — это шаг за пределы составных правил: современные поведенческие модели позволяют включать прошлые действия в механизм анализа. Текущий анализ входящего и исходящего сетевого трафика затем позволяет помечать любое отклонение от ожидаемых действий пользователя как рискованное.
Лучшие практики построения правил корреляции SIEM
Расставьте приоритеты в сценариях использования
При первой адаптации SIEM к вашему предприятию передовые практики SIEM диктуют, что у вас должно быть четкое представление о конкретных вариантах использования, которые будет решать ваш SIEM. Эти варианты использования, ранжированные в порядке приоритета, должны быть отточены, а предварительно упакованные правила оценены на предмет того, насколько хорошо они подходят вашему предприятию. С этого момента вы можете свободно начать редактировать или добавлять в каждый более узкий раздел правил корреляции.
Если вы не знаете, какие конкретные методы атак могут быть использованы против вас, ознакомьтесь с MITRE ATT & CK or Киберубойная цепь LockheedОба они проделывают огромную работу по каталогизации конкретных подходов и эксплойтов злоумышленников с необычайной глубиной.
Используйте свой брандмауэр
-
- A «Мошеннический сервер имен» правило должно отслеживать любые попытки устройств получить доступ к приложению DNS с назначением, отличным от внутренних корпоративных DNS-серверов. Внутренние устройства должны быть настроены на использование только корпоративных DNS-серверов, которые затем по мере необходимости подключаются к Интернету для разрешения неизвестных доменов.
- A «Мошеннический прокси-сервер» правило должно наблюдать за периметральными брандмауэрами для любого трафика из подсети LAN, направленного в Интернет на порты TCP 80/443 или для веб-браузинга и приложений SSL. В идеале должен быть разрешен только трафик с назначенного прокси-сервера; любой другой исходный IP, пытающийся подключиться таким образом, может указывать на попытку обойти безопасность, будь то пользователем или вредоносным ПО.
- A «Трафик БОТНЕТА» правило может идентифицировать старое программное обеспечение командования и управления (C2), которое использует Internet Relay Chat (IRC) для управления. Хотя IRC по своей сути не является вредоносным, его присутствие в корпоративной сети часто подозрительно. Это правило должно вызывать оповещение, если какой-либо исходный или целевой хост использует IRC, хотя некоторым компьютерам сетевого администрирования могут потребоваться исключения.
Минимизировать открытые порты
По умолчанию датчики, прослушивающие порт 514, анализируют входящие журналы; это помогает идентифицировать исходное устройство. Указание более целевого порта для вашего типа журнала вместо использования порта 514 дает несколько преимуществ. Это ускоряет прием данных и анализ журнала, повышая производительность датчика, поскольку датчик может мгновенно идентифицировать исходное устройство. И последнее, но не менее важное: базирование правила корреляции на правильном порте имеет огромное значение для сохранения информации журнала.
Вместо этого выберите соответствующий порт в зависимости от формата:
- Common Event Format (CEF), Log Event Extended Format (LEEF) или JSON: для этих типов журналов пересылайте данные на порт, назначенный для этого стандарта.
- Стандартные журналы формата Syslog: используйте порт, назначенный для конкретного поставщика.
- Для специализированных форматов, таких как Syslog в сочетании с регулярными выражениями, парами «ключ-значение» или CSV, используйте порты, специфичные для поставщика.
Охота за угрозами
Реализация проактивного поиска угроз вместе с хорошо настроенной системой SIEM значительно расширяет ее возможности обнаружения угроз, добавляя значительный вес аналитической мощности автоматизированного анализа журналов. В то время как правильно настроенная SIEM может эффективно отслеживать и оповещать о многих известных угрозах, добавление автоматизированного поиска угроз позволяет обнаруживать сложные, развивающиеся или скрытые атаки, которые могут обойти стандартные правила корреляции.
Система SIEM для поиска угроз, такая как Stellar Cyber, имитирует потенциал атаки в реальном мире для оповещения или аномалии после его генерации: этот непрерывный процесс проверки помогает гарантировать точность, адаптивность и эффективность правил корреляции против новых методов атак. Он также влияет на то, как оповещения приоритизируются, и дает аналитикам основу для ручного поиска угроз. Аналитики могут просматривать записи песочницы вредоносных программ, чтобы идентифицировать попытки атак, что дает им более обоснованное представление об атаке, направленной против них.
Интеграция для быстрого реагирования
Интеграция SIEM в более широкий технологический стек повышает его способность эффективно обнаруживать, анализировать и реагировать на угрозы. Это может включать в себя связывание SIEM с такими инструментами, как обнаружение и реагирование конечных точек (EDR), платформы анализа угроз, системы реагирования на инциденты и решения по оркестровке, автоматизации и реагированию безопасности (SOAR). Еще лучше, интеграция с инструментами безопасности прокладывает путь для автоматизированного реагирования на угрозы — ведущего направления Stellar Cyber.
Выйдите за рамки основных правил с кейсами Stellar Cyber
Stellar Cyber использует мультимодальный подход к созданию правил: предлагая набор правил корреляции и поведенческий анализ на основе машинного обучения, он в полной мере использует все журналы, созданные на вашем предприятии. Оповещения создаются, когда данные журнала запускают отдельные правила, но Stellar сопоставляет их в унифицированные случаи, каждый из которых представляет собой набор потенциально связанных оповещений в рамках единой структуры данных. Оттуда аналитикам предоставляется набор сценариев и вариантов исправления, разработанных для минимизации MTTR.
Перекрестная проверка оповещений Stellar Cyber обеспечивает более глубокий контекст, позволяя аналитикам определить, имеют ли они дело с настоящей атакой, высокорисковым поведением или просто случайными событиями. Узнайте, как настроить автоматизированные ответы и немедленно заблокировать вредоносный трафик с сегодняшней демонстрацией.
