SIEM Правила корреляции: повышение эффективности обнаружения угроз.
Журналы отображают действия в реальном времени в каждом уголке вашего предприятия. Каждый журнал аудита содержит информацию о действиях пользователя, параметрах, ресурсах и времени, что делает их настоящей золотой жилой данных. Однако использование их для защиты предприятий требует больше, чем просто данных: журналы должны быть связаны и идентифицированы как безопасные или вредоносные — и все это до того, как злоумышленник сможет развернуть полезную нагрузку или украсть данные. Вот где сияют правила корреляции.
В аналитике корреляция — это любая взаимосвязь или связь между двумя элементами — путем сопоставления взаимосвязи между каждым фрагментом данных журнала и создания SIEM правила корреляции, ваши SIEM Система способна согласованно отслеживать каждую точку данных во взаимосвязи с другими. Наконец, эти последовательности идентифицируются как безопасные или потенциально вредоносные путем добавления правил к этим данным. Допустимый трафик разрешается, а недопустимый или подозрительный трафик помечается как таковой и блокируется.
Следующее поколение SIEM
Звездная кибер-компания следующего поколения SIEMкак важнейший компонент в рамках Звездной Киберсистемы Open XDR Платформа...
Испытайте безопасность на основе искусственного интеллекта в действии!
Откройте для себя передовой искусственный интеллект Stellar Cyber для мгновенного обнаружения угроз и реагирования на них. Запланируйте демонстрацию сегодня!
Как SIEM Правила корреляции работают
Шаг 1: Централизация журналов
Журналы со всех ваших систем собираются и пересылаются на SIEMЭто становится возможным благодаря датчикам и агентам — небольшим программным обеспечениям, устанавливаемым на конечные устройства, в сети и на серверы, которые пассивно отслеживают передаваемые по сети пакеты данных и действия, выполняемые на устройствах. На этом этапе SIEM Этот инструмент запускает процесс извлечения данных из этих журналов в центральный аналитический механизм.
Шаг 2: Нормализация данных
Хотя журналы охватывают все аспекты вашей инфраструктуры, она все равно состоит из совершенно разных приложений, серверов и оборудования, каждое из которых имеет свой уникальный формат отображения записей. Журналы событий из разных источников могут содержать существенно различающиеся информационные поля и структуры данных. Второй шаг к SIEM Корреляция — это процесс нормализации данных, который заключается в преобразовании различных логов в согласованный, стандартизированный формат.
Чем эффективнее нормализация этих данных журнала, тем быстрее... SIEM можно начать анализировать и применять методы обнаружения угроз.
Шаг 3: Корреляция данных
После обработки всех данных логов механизм корреляции может увидеть, насколько они соответствуют распространенным закономерностям. Некоторые из них SIEM Инструменты позволяют идентифицировать лишь отдельные строки, но более продвинутые решения, такие как Stellar, добавляют второй уровень корреляции, который учитывает другие атрибуты, например, параметры запроса и ответа. Это помогает укрепить связь между поведением и соответствующим объектом.
Это довольно высокий уровень, поэтому давайте рассмотрим корреляцию данных в контексте реальной атаки: рассмотрим попытки злоумышленника получить доступ к предприятию методом подбора с помощью своего поставщика услуг управления идентификацией и доступом (IAM). Вовлеченное поведение может включать кампанию непрерывных попыток входа для получения доступа (действие A), за которой следует успешный вход (действие B). Затем они могут перейти к доступу к консоли администратора и создать нового пользователя с повышенными привилегиями — или инициировать множество сканирований портов для выявления слабых мест и конфиденциальных ресурсов. Назовем это действие C.
Корреляция на основе правил позволяет выстраивать каждый метод, тактику и процедуру (ТТП) в последовательность: эти последовательные корреляции могут затем запускать действие правила, которое передается аналитику через оповещение. Именно способ объединения этих атрибутов определяет возможности идентификации. SIEM инструмент.
Корреляция на основе правил и поведенческая корреляция
Действия, задействованные в атаке, которую мы только что рассмотрели, можно обнаружить двумя способами: первый — с помощью правила, которое явно гласит: «если за действием A следует B, а затем C, активировать оповещение». Это работает очень хорошо, если аналитики заранее знают о возможности этой атаки и имеют приблизительное представление о том, какой TTP может предпринять злоумышленник.
Однако это не единственный подход: атаку методом перебора можно обнаружить и с помощью более общего правила: «если набор действий отклоняется от обычного поведения аутентификации конечного пользователя, следует вызвать оповещение». Это правило основано на SIEM Благодаря обработке централизованных журналов с помощью алгоритма машинного обучения, стало возможным иметь представление об историческом контексте поведения конечных пользователей. Это позволяет легко выявлять ежедневные закономерности поведения пользователей, устройств и трафика, а следовательно, использовать поведенческую корреляцию в качестве основы для дальнейших исследований. SIEM правила. Корреляция между поведением и результатами часто используется для получения «показателя риска», для которого аналитики устанавливают приемлемый пороговый уровень.
Поскольку мы вдвое увеличили количество различных подходов к выявлению угроз, активное отслеживание ситуации становится критически важным. SIEM Упрощенные и высокоэффективные правила — ниже мы обсудим, как лучше всего этого добиться.
Преимущества SIEM Правила корреляции для обнаружения угроз
Обнаружение угроз на основе сигнатур
Подавляющее большинство атак не являются чем-то уникальным: злоумышленники, использующие любую возможность для копирования и вставки вредоносного кода, настолько распространены, что получили прозвище «скрипт-кидди». Именно поэтому подавляющее большинство SIEM Защита от атак осуществляется с помощью обнаружения на основе сигнатур.
Репозитории сайтов с сигнатурами вредоносного ПО постоянно расширяются: одним из самых известных является база данных M&TRE ATTACK. Она идентифицирует конкретные подходы, используемые злоумышленниками, и, следовательно, предоставляет специалистам по безопасности базу данных с открытым исходным кодом для анализа угроз. SIEM правила. Эти наборы правил основаны на определении шаблонов известного вредоносного поведения.
Однако чем шире распространено SIEM Чем больше внимания злоумышленники будут уделять обходу этого правила, тем больше усилий они будут направлять на его обход. Это превращает правила корреляции в постоянную гонку между злоумышленником и аналитиком безопасности. И если команда безопасности начнет создавать слишком много правил, она рискует быть перегружена ими. SIEM ложные срабатывания.
Stellar Cyber устраняет старые трудности, с которыми сталкивались методы, основанные исключительно на корреляции. SIEMпутем добавления еще одного уровня анализа с помощью машинного обучения. Аналитики могут охватить как можно больше аспектов с помощью правил корреляции, а затем второй уровень анализа оценивает более широкий контекст каждого оповещения, чтобы определить его достоверность.
Предварительно заполненные правила для реальных угроз
Правила корреляции специально созданы для выявления распространенных угроз, которые хакеры используют снова и снова, чтобы попытаться получить доступ к ресурсам. Однако ИТ-отдел одного предприятия может не обладать самым современным пониманием реальных TTP. В конце концов, разведка угроз требует постоянного сбора, обработки и применения данных о злоумышленниках, методах и индикаторах компрометации.
Вот почему заранее упакованные правила корреляции являются таким преимуществом: эти предварительно заполненные подходы построены на основе макро-представления вашей отрасли и более широкого пространства угроз. Каждое изменение поведения может быть помечено и связано с его типом оповещения, тем самым уменьшая спорадическую природу оповещений журнала в более упорядоченное целое.
Соответствие требованиям к данным и доступу
Организации практически в каждой отрасли должны продемонстрировать, что они придерживаются определенных законов, правил и положений, которые меняются в зависимости от отрасли, в которой вы работаете. Европейские филиалы должны следить за GDPR, в то время как любой ориентированный на платежи бизнес должен соответствовать PCI DSS.
GDPR — один из самых строгих и широкомасштабных нормативных актов, требующий обеспечения безопасности данных во всех технических процессах организации. Потому что SIEM Журналы событий охватывают все активы организации и учетные записи пользователей, поэтому они обладают уникальными возможностями для достижения этой цели.
Это истинное преимущество правил корреляции: их универсальность. Отправляя оповещение при обнаружении набора аномальных записей в журналах, они заблаговременно предупреждают аналитиков о потенциальных проблемах с соответствием требованиям. Возможность создавать собственные правила также позволяет заложить требования соответствия в структуру безопасности с самого начала. Если стандарт PCI DSS требует от вас обновления всего антивирусного ПО на конечных устройствах, внедрите соответствующее решение. SIEM Правило, которое оповещает вас, когда антивирусное решение не было обновлено. Более продвинутая версия. SIEM Инструменты позволяют автоматизировать весь этот процесс, сохраняя при этом подробную информацию о его действиях. Ускорение, обеспечиваемое SIEMЭто особенно важно в контексте таких правил, как GDPR, поскольку предоставляет небольшой, 72-часовой период для информирования о происшествиях в сфере безопасности и их устранения.
Обнаружение многоэтапных атак и современных постоянных угроз (APT)
Индивидуальные правила корреляции достаточно просты, но абсолютная детализация журналов позволяет добиться гораздо более четкого разрешения и смягчения. Именно здесь составные правила могут быть превосходны для выявления более сложных угроз: они объединяют несколько правил вместе, чтобы сосредоточиться на определенном поведении в определенном контексте. Например, если X попыток входа на одну и ту же рабочую станцию (и один и тот же IP-адрес) терпят неудачу в течение X минут и используют разные имена пользователей, и если успешный вход происходит на любом компьютере в сети и происходит с того же IP-адреса, это вызовет оповещение.
Составные правила могут быть жизненно важны для отсечения точек входа APT. Это когда злоумышленник получает начальный доступ к сети организации, находит безопасную точку доступа, а затем просто ничего с ней не делает. Хотя угроза может выглядеть спящей, она, скорее всего, просто ждет подходящего времени — или даже покупателя для текущего эксплойта. Когда он захочет, злоумышленник может просто проскользнуть мимо брандмауэра и украсть данные или развернуть вредоносное ПО, поскольку его учетная запись или действия считаются безопасными.
Простые правила корреляции традиционно ненадежны при обнаружении APT; если аналитики не знают о потенциальной TTP, они вряд ли обнаружат угрозу.
Итак, наиболее надежный подход — это шаг за пределы составных правил: современные поведенческие модели позволяют включать прошлые действия в механизм анализа. Текущий анализ входящего и исходящего сетевого трафика затем позволяет помечать любое отклонение от ожидаемых действий пользователя как рискованное.
Лучшие практики строительства SIEM Правила корреляции
Расставьте приоритеты в сценариях использования
При первой адаптации SIEM вашему предприятию, SIEM Передовые методы работы диктуют необходимость четкого понимания конкретных сценариев использования вашего устройства. SIEM Решит проблему. Эти варианты использования, ранжированные по приоритету, необходимо уточнить, а готовые правила оценить на предмет их соответствия потребностям вашего предприятия. После этого вы можете начать редактировать или дополнять каждый более узкий раздел правил корреляции.
Если вы не знаете, какие конкретные методы атак могут быть использованы против вас, ознакомьтесь с MITRE ATT & CK or Киберубойная цепь LockheedОба они проделывают огромную работу по каталогизации конкретных подходов и эксплойтов злоумышленников с необычайной глубиной.
Используйте свой брандмауэр
-
- A «Мошеннический сервер имен» правило должно отслеживать любые попытки устройств получить доступ к приложению DNS с назначением, отличным от внутренних корпоративных DNS-серверов. Внутренние устройства должны быть настроены на использование только корпоративных DNS-серверов, которые затем по мере необходимости подключаются к Интернету для разрешения неизвестных доменов.
- A «Мошеннический прокси-сервер» правило должно наблюдать за периметральными брандмауэрами для любого трафика из подсети LAN, направленного в Интернет на порты TCP 80/443 или для веб-браузинга и приложений SSL. В идеале должен быть разрешен только трафик с назначенного прокси-сервера; любой другой исходный IP, пытающийся подключиться таким образом, может указывать на попытку обойти безопасность, будь то пользователем или вредоносным ПО.
- A «Трафик БОТНЕТА» правило может идентифицировать старое программное обеспечение командования и управления (C2), которое использует Internet Relay Chat (IRC) для управления. Хотя IRC по своей сути не является вредоносным, его присутствие в корпоративной сети часто подозрительно. Это правило должно вызывать оповещение, если какой-либо исходный или целевой хост использует IRC, хотя некоторым компьютерам сетевого администрирования могут потребоваться исключения.
Минимизировать открытые порты
По умолчанию датчики, прослушивающие порт 514, анализируют входящие журналы; это помогает идентифицировать исходное устройство. Указание более целевого порта для вашего типа журнала вместо использования порта 514 дает несколько преимуществ. Это ускоряет прием данных и анализ журнала, повышая производительность датчика, поскольку датчик может мгновенно идентифицировать исходное устройство. И последнее, но не менее важное: базирование правила корреляции на правильном порте имеет огромное значение для сохранения информации журнала.
Вместо этого выберите соответствующий порт в зависимости от формата:
- Common Event Format (CEF), Log Event Extended Format (LEEF) или JSON: для этих типов журналов пересылайте данные на порт, назначенный для этого стандарта.
- Стандартные журналы формата Syslog: используйте порт, назначенный для конкретного поставщика.
- Для специализированных форматов, таких как Syslog в сочетании с регулярными выражениями, парами «ключ-значение» или CSV, используйте порты, специфичные для поставщика.
Охота за угрозами
Внедрение проактивного поиска угроз наряду с хорошо настроенной системой SIEM Система значительно расширяет свои возможности по обнаружению угроз, существенно повышая аналитическую мощность автоматизированного анализа журналов. При правильной настройке SIEM Система может эффективно отслеживать и оповещать о многих известных угрозах, а добавление автоматического поиска угроз позволяет обнаруживать сложные, развивающиеся или скрытые атаки, которые могут обходить стандартные правила корреляции.
Поиск угроз SIEM Подобно Stellar Cyber, система имитирует реальный потенциал атаки, связанный с оповещением или аномалией, после того, как оно было сгенерировано: этот непрерывный процесс проверки помогает гарантировать точность, адаптивность и эффективность правил корреляции против новых методов атак. Он также влияет на приоритизацию оповещений и предоставляет аналитикам основу для ручного поиска угроз. Аналитики могут просматривать записи в песочнице вредоносного ПО, чтобы выявить попытки атак, что дает им более полное представление об атаке, направленной против них.
Интеграция для быстрого реагирования
Интеграция SIEM Интеграция в более широкий технологический стек повышает его способность эффективно обнаруживать, анализировать угрозы и реагировать на них. Это может включать в себя связывание различных систем. SIEM с помощью таких инструментов, как системы обнаружения и реагирования на угрозы на конечных устройствах (EDR), платформы анализа угроз, системы реагирования на инциденты и решения для оркестрации, автоматизации и реагирования в сфере безопасности (SOAR). Более того, интеграция с инструментами безопасности открывает путь к автоматизированному реагированию на угрозы — это одно из главных направлений деятельности Stellar Cyber.
Выйдите за рамки основных правил с кейсами Stellar Cyber
Stellar Cyber использует мультимодальный подход к созданию правил: предлагая набор правил корреляции и поведенческий анализ на основе машинного обучения, он в полной мере использует все журналы, созданные на вашем предприятии. Оповещения создаются, когда данные журнала запускают отдельные правила, но Stellar сопоставляет их в унифицированные случаи, каждый из которых представляет собой набор потенциально связанных оповещений в рамках единой структуры данных. Оттуда аналитикам предоставляется набор сценариев и вариантов исправления, разработанных для минимизации MTTR.
Перекрестная проверка оповещений Stellar Cyber обеспечивает более глубокий контекст, позволяя аналитикам определить, имеют ли они дело с настоящей атакой, высокорисковым поведением или просто случайными событиями. Узнайте, как настроить автоматизированные ответы и немедленно заблокировать вредоносный трафик с сегодняшней демонстрацией.
