SIEM Ведение журналов: обзор и лучшие практики.

  • Основные выводы:
  • Каковы SIEM Передовые методы ведения журналов?
    Собирайте журналы из критически важных систем, нормализуйте форматы и обеспечьте централизованную видимость.
  • Почему организациям следует отдавать приоритет качеству журналов, а не количеству?
    Актуальные, высокоточные журналы снижают уровень шума и повышают точность обнаружения угроз.
  • Каковы основные соображения по хранению журналов?
    Требования к соблюдению нормативных требований, эффективности хранения и судебно-медицинской экспертизе.
  • Почему важно обогащение журнала?
    Он добавляет контекст к необработанным данным, делая обнаружение и расследование более эффективными.
  • Каковы типичные ошибки при ведении журнала?
    Избыточный сбор данных без нормализации, игнорирование критических источников и слабая политика хранения.
  • Как компания Stellar Cyber ​​осуществляет оптимизацию SIEM ведение журнала?
    Он использует Interflow™ для обогащения журналов метаданными и эффективного их хранения в централизованном озере данных.

Информация о безопасности и управление событиями (SIEMЭто ключевой инструмент кибербезопасности, который централизует информацию о безопасности, циркулирующую вокруг тысяч конечных точек, серверов и приложений в вашей организации. Поскольку конечные пользователи и устройства взаимодействуют с каждой точкой контакта приложения, они оставляют цифровые отпечатки в виде журналов. Эти файлы традиционно играют важную роль в исправлении ошибок и контроле качества: в конце концов, они предоставляют информацию об ошибках непосредственно из источника.

Однако в 2005 году специалисты по безопасности начали осознавать истинный потенциал, заложенный в этих небольших файлах. Они предоставляют множество данных в режиме реального времени, которые можно использовать для обработки информации. SIEM Система логирования, которая отслеживает подобную ИТ-инфраструктуру. С тех пор специалисты по безопасности тщательно изучают компромисс между видимостью угроз и объемом журналов событий. В этой статье будут рассмотрены несколько лучших практик для SIEM Управление журналами событий – с помощью которого ваши инструменты безопасности смогут раскрыть свой полный потенциал.

Next-Gen-Datasheet-pdf.webp

Следующее поколение SIEM

Звездная кибер-компания следующего поколения SIEMкак важнейший компонент в рамках Звездной Киберсистемы Open XDR Платформа...

Скачать Лист данных
демо-изображение.webp

Испытайте безопасность на основе искусственного интеллекта в действии!

Откройте для себя передовой искусственный интеллект Stellar Cyber ​​для мгновенного обнаружения угроз и реагирования на них. Запланируйте демонстрацию сегодня!

График Demo

почему SIEM Вопросы

Главное значение SIEM Управление журналами событий заключается в его способности эффективно анализировать огромные объемы этих журналов, что позволяет аналитикам безопасности сосредоточиться на критически важных угрозах. Более того, SIEM Системы нормализуют данные в гетерогенных корпоративных средах для упрощения анализа, предоставляют анализ угроз в реальном времени и за прошедший период на основе данных журналов, отправляют автоматические оповещения с приоритезацией по степени серьезности при обнаружении потенциальных угроз безопасности и ведут подробные записи, имеющие решающее значение для реагирования на инциденты и проведения криминалистических расследований. По сути, SIEM Управление журналами событий имеет решающее значение для создания и поддержания надежной и быстро реагирующей системы безопасности в сложной среде современных ИТ-систем.

Что SIEM Ведение журналов и как это работает?

Для обеспечения безопасности в режиме реального времени, SIEM Программное обеспечение собирает журналы из множества источников и передает их в центральную систему регистрации событий. 'Что такое SIEM? Ответ дан, и можно углубиться в изучение различных методов, используемых... SIEM инструменты

Сбор журналов с помощью агента

Такое агрегирование журналов происходит на локальном уровне. Агенты оснащены фильтрами журналов и возможностями нормализации, что позволяет повысить эффективность использования ресурсов. Агенты обычно занимают меньшую пропускную способность сети благодаря тому, что данные журналов сжимаются в пакеты.

Прямая связь

Безагентное логирование — часто осуществляемое с помощью сетевых протоколов или вызовов API — это еще одна форма SIEM журнал, который видит SIEM Программа извлекает файлы журналов непосредственно из хранилища, часто в формате syslog. Преимущества варьируются от простоты развертывания до устранения необходимости в обновлениях программного обеспечения или версий — этот вариант часто способствует снижению... SIEM эксплуатационные расходы.

Протоколы потоковой передачи событий

В то время как методы регистрации на основе агентов и без агентов предлагают различные способы сбора данных, архитектура на основе событий переосмысливает этот процесс как потоки событий, перемещающихся по реке. Каждое событие может быть зафиксировано и дополнительно обработано потребителями ниже по течению. NetFlow, протокол, разработанный Cisco, является одним из примеров такого подхода. Он собирает трафик IP-сети при каждом входе или выходе из интерфейса. Анализ данных NetFlow позволяет администраторам сетей различать критически важную информацию, включая источник и пункт назначения трафика, используемые протоколы и продолжительность связи. Эти данные собираются с помощью сборщика NetFlow, который не только фиксирует основные сведения о трафике, но и записывает временные метки, запрошенные пакеты и интерфейсы входа и выхода IP-трафика.

Перед лицом все более изощренных атак потоковая передача событий играет решающую роль, направляя исчерпывающую информацию о сетевом трафике на устройства безопасности, включая межсетевые экраны нового поколения (NGFW), системы обнаружения и предотвращения вторжений (IDS/IPS) и веб-шлюзы безопасности ( СВГ).

В комплексе SIEM Ведение журналов становится ключевым элементом современной кибербезопасности, предлагая как анализ угроз в реальном времени, так и анализ исторических данных на основе этих журналов. Однако важно помнить о различиях между обычным управлением журналами и SIEM.

SIEM Сравнение с управлением логами: ключевые различия

В то время как бревна составляют основу SIEM возможности, существует ключевое различие между процессами SIEM и управление журналами. Управление журналами включает в себя систематический сбор, хранение и анализ данных журналов, поступающих из различных каналов. Этот процесс обеспечивает централизованный обзор всех данных журналов и преимущественно используется для таких целей, как соответствие нормативным требованиям, устранение неполадок в системе и повышение операционной эффективности. Однако системы управления журналами по своей сути не проводят анализ данных журналов — вместо этого аналитик по безопасности должен интерпретировать эту информацию и оценивать достоверность потенциальных угроз.

SIEM Этот процесс выходит на новый уровень благодаря сопоставлению журналов событий с контекстной информацией, касающейся пользователей, активов, угроз и уязвимостей. Это достигается с помощью разнообразных алгоритмов и технологий для идентификации угроз:

  • Корреляция событий предполагает использование сложных алгоритмов для анализа событий безопасности, выявления закономерностей или взаимосвязей, указывающих на потенциальные угрозы, и генерации предупреждений в режиме реального времени.

  • Аналитика поведения пользователей и сущностей (UEBA) полагается на алгоритмы машинного обучения для установления базового уровня нормальной деятельности, специфичной для пользователей и сети. Любые отклонения от этого базового уровня помечаются как потенциальные угрозы безопасности, что позволяет комплексно идентифицировать угрозы и обнаружить боковое движение.

  • Оркестрация безопасности и автоматическое реагирование (SOAR) позволяет SIEM Инструменты для автоматического реагирования на угрозы, устраняющие необходимость ждать, пока специалист по безопасности проверит оповещения. Эта автоматизация оптимизирует реагирование на инциденты и является неотъемлемой частью SIEM.

  • Анализ браузера и анализ сетевых данных использовать SIEMРасширенные возможности обнаружения угроз позволяют выявлять злонамеренных инсайдеров. Это включает в себя анализ данных браузера, сетевых данных и журналов событий для выявления потенциальных планов кибератак.

Случайная инсайдерская атака

Примером того, как каждый компонент может быть реализован на практике, является случайная инсайдерская атака.

Эти атаки происходят, когда отдельные лица непреднамеренно помогают внешним злоумышленникам продвигаться вперед во время атаки. Например, если сотрудник неправильно настроит межсетевой экран, это может повысить уязвимость организации. Признавая критическую важность настроек безопасности, SIEM Система может генерировать событие каждый раз, когда вносятся изменения. Затем это событие передается аналитику по безопасности для тщательного изучения, чтобы убедиться, что изменение было преднамеренным и правильно реализованным, тем самым укрепляя организацию против потенциальных нарушений, вызванных непреднамеренными действиями инсайдеров.

В случаях прямого захвата учетной записи, UEBA Позволяет обнаруживать подозрительную активность, такую ​​как несанкционированный доступ учетной записи к системам, поддержание нескольких активных сессий или внесение любых изменений в права доступа root. В случае попытки злоумышленника повысить свои привилегии, SIEM Система оперативно передает эту информацию группе безопасности, обеспечивая быстрое и эффективное реагирование на потенциальные угрозы безопасности.

SIEM Лучшие практики ведения журнала

SIEM играет ключевую роль в стратегии кибербезопасности организации, но для ее внедрения необходим грамотный подход к журналам событий и правилам корреляции, лежащим в основе такого программного обеспечения.

№1. Выберите свои требования с помощью доказательства концепции

При тестировании чего-либо нового SIEM Инструмент для проверки концепций (Proof of Concepts) предоставляет площадку для тестирования. На этапе проверки концепций крайне важно лично направлять журналы в систему. SIEM Система для оценки способности решения нормализовать данные в соответствии с конкретными требованиями. Этот процесс можно усилить, включив в средство просмотра событий события из нестандартных каталогов.

В этом POC можно определить, подходит ли вам сбор журналов с помощью агента. Если вы надеетесь собирать журналы через глобальные сети (WAN) и через брандмауэры, использование агента для сбора журналов может способствовать снижению загрузки ЦП сервера. С другой стороны, сбор без агентов может избавить вас от необходимости установки программного обеспечения и привести к снижению затрат на обслуживание.

№2. Собирайте нужные журналы правильно

Убедитесь, что SIEM Система собирает, агрегирует и анализирует данные в режиме реального времени из всех соответствующих источников, включая приложения, устройства, серверы и пользователей. Данные являются жизненно важным компонентом системы. SIEM Для повышения потенциала вы можете дополнительно поддержать это, обеспечив охват всех аспектов вашей организации.

№3. Защищенные журналы конечных точек

Часто встречающаяся проблема с журналами конечных точек заключается в их постоянном изменении, когда системы периодически отключаются от сети, например, когда рабочие станции выключены или ноутбуки используются удаленно. Более того, административная нагрузка по сбору журналов конечных точек существенно усложняет работу. Чтобы решить эту проблему, можно использовать пересылку журнала событий Windows для передачи данных в централизованную систему без необходимости установки агента или дополнительных функций, поскольку она изначально доступна в базовой операционной системе Windows.

Подход Stellar Cyber ​​к журналам конечных точек поддерживает широкий спектр журналов конечных точек, включая обнаружение и реагирование конечных точек (EDR). Применяя разные пути оповещения к определенным подмножествам в разных продуктах EDR, становится возможным аккуратно и аккуратно очищать информацию журнала конечных точек.

№4. Следите за PowerShell

PowerShell, который теперь повсеместно присутствует в каждом экземпляре Windows, начиная с Windows 7, стал известным инструментом для злоумышленников. Однако важно отметить, что PowerShell по умолчанию не регистрирует никакие действия — это должно быть явно включено.

Одним из вариантов ведения журнала является ведение журнала модуля, который предоставляет подробную информацию о выполнении конвейера, включая инициализацию переменных и вызовы команд. Напротив, ведение журнала блоков сценариев всесторонне отслеживает все действия PowerShell, даже если они выполняются в сценариях или блоках кода. Оба этих фактора необходимо учитывать для получения точных данных об угрозах и поведении.

№5. Воспользуйтесь преимуществами Sysmon

Идентификаторы событий жизненно важны для предоставления дополнительного контекста каждому подозрительному действию. Microsoft Sysmon предоставляет подробную информацию о событиях, таких как создание процессов, сетевое подключение и хэши файлов. При правильной корреляции это может помочь обнаружить бесфайловое вредоносное ПО, которое в противном случае могло бы обойти антивирусы и брандмауэры.

№6. Оповещение и ответ

Несмотря на аналитические возможности, которые предоставляет машинное обучение, SIEM инструменты, крайне важно рассматривать в контексте
более широкий охват вашей общей безопасности. Главными из них являются ваши аналитики безопасности — план реагирования на инциденты содержит четкие указания для каждой заинтересованной стороны, что позволяет организовать гибкую и эффективную командную работу.

В плане следует назначить старшего руководителя в качестве основного органа, ответственного за обработку инцидентов. Хотя этот человек может делегировать полномочия другим лицам, участвующим в процессе обработки инцидентов, в политике должно быть явно указано конкретное положение, несущее основную ответственность за реагирование на инциденты.

Дальше дело доходит до групп реагирования на инциденты. В случае крупной глобальной компании их может быть несколько, каждая из которых работает в определенных географических регионах и укомплектована преданным своему делу персоналом. С другой стороны, небольшие организации могут выбрать единую централизованную команду, в которой на неполный рабочий день будут задействованы члены из разных частей организации. Некоторые организации могут также решить передать на аутсорсинг некоторые или все аспекты своих усилий по реагированию на инциденты.

Совместная работа всех команд — это сценарии, которые служат основой для зрелого реагирования на инциденты. Несмотря на уникальный характер каждого инцидента безопасности, большинство из них склонны придерживаться стандартных моделей действий, что делает стандартизированные меры реагирования весьма полезными. При этом в плане коммуникации при реагировании на инциденты описывается, как различные группы общаются во время активного инцидента, включая случаи, когда к этому должны быть привлечены органы власти.

5. Определите и уточните правила корреляции данных.

A SIEM Правило корреляции служит директивой для системы, указывая на последовательности событий, которые могут указывать на аномалии, потенциальные уязвимости в системе безопасности или кибератаку. Оно запускает уведомления для администраторов при выполнении определенных условий, таких как одновременное возникновение событий «x» и «y» или «x», «y» и «z». Учитывая огромное количество журналов, документирующих, казалось бы, обыденные действия, хорошо разработанная система корреляции имеет решающее значение. SIEM Правило корреляции имеет решающее значение для отсеивания шума и выявления последовательностей событий, указывающих на потенциальную кибератаку.

SIEM Правила корреляции, как и любой алгоритм мониторинга событий, потенциально могут приводить к ложным срабатываниям. Чрезмерное количество ложных срабатываний может отнимать время и силы у администраторов безопасности, но достижение нулевого количества ложных срабатываний в правильно функционирующей системе может привести к проблемам. SIEM Это непрактично. Поэтому при настройке... SIEM При использовании правил корреляции крайне важно найти баланс между минимизацией ложных срабатываний и обеспечением того, чтобы ни одна потенциальная аномалия, указывающая на кибератаку, не была упущена. Цель состоит в оптимизации настроек правил для повышения точности обнаружения угроз, избегая при этом ненужных отвлекающих факторов, вызванных ложными срабатываниями.

Новое поколение SIEM и управление журналами событий с помощью Stellar Cyber

Платформа Stellar Cyber ​​интегрирует технологии нового поколения. SIEM как неотъемлемая функция, предлагающая единое решение путем объединения множества инструментов, включая NDR. UEBAИнтеграция с Sandbox, TIP и другими сервисами в единую платформу. Эта интеграция оптимизирует операции, предоставляя целостную и доступную панель управления, что приводит к значительному снижению капитальных затрат. SIEM Управление журналами событий осуществляется с помощью автоматизации, что позволяет командам опережать угрозы, а дизайн Next Gen SIEM Это позволяет командам эффективно противостоять современным атакам. Чтобы узнать больше, вы можете заказать демонстрацию нашего решения. Следующий генерал SIEM Платформа.

Звучит слишком хорошо, чтобы
будь настоящим?
Смотрите сами!

Запросить демо
Наверх
Подпишитесь на рассылку новостей