Внедрение SIEM и SOAR: руководство для специалистов

SIEM SOAR руководство специалист безопасность
Внедрение SIEM и SOAR: руководство для специалистов

Содержание


Данная публикация предоставляет высокоуровневое руководство для практиков кибербезопасности по платформам Security Information and Event Management ( SIEM ) и Security Orchestration, Automation, and Response ( SOAR ). Хотя это руководство в первую очередь предназначено для практиков в правительственных организациях и организациях критической инфраструктуры, оно также может использоваться практиками в любой организации, которая заинтересована в использовании или в настоящее время использует платформы SIEM и/или SOAR.

Важно: Рекомендации в этой публикации следует рассматривать как общие советы; каждая организация должна адаптировать сбор, централизацию и анализ журналов к своей конкретной среде и профилю рисков.

Комплексное руководство

Эта публикация является одной из трех в комплексе руководств по платформам SIEM/SOAR:

  • Внедрение SIEM и SOAR платформ: гайд для руководителей - предназначено для руководителей, определяет платформы SIEM/SOAR, описывает их преимущества и вызовы, предоставляет общие рекомендации по внедрению
  • Внедрение SIEM и SOAR платформ: руководство для специалистов- предназначено для практиков кибербезопасности, с большими техническими деталями определяет платформы SIEM/SOAR, описывает их преимущества и вызовы, предоставляет принципы лучших практик для внедрения
  • Приоритетные журналы для приема SIEM: Руководство для практиков - предназначено для практиков кибербезопасности и предоставляет детальные технические рекомендации по журналам, которые должны быть приоритетными для приема SIEM


Что такое платформа SIEM?

SIEM (Security Information and Event Management) - это тип программной платформы или устройства, которое собирает, централизует и анализирует данные журналов из источников в сети или системе с целью обеспечения кибербезопасности.

При правильном внедрении для этой цели платформа SIEM автоматизирует сбор и централизацию важных данных журналов, которые в противном случае были бы разбросаны по сети, что облегчает навигацию для команды безопасности. В отличие от некоторых других инструментов сбора и централизации журналов, хорошо настроенный SIEM затем применяет предопределенную базовую линию обычной сетевой активности, правила и фильтры для анализа и корреляции данных журналов.

Этот анализ может позволить платформе SIEM обнаруживать необычную активность в сети, которая может представлять событие или инцидент кибербезопасности. Большинство продуктов SIEM усиливают свой анализ, включая актуальную информацию об угрозах.

Языки запросов

Платформы SIEM используют языки запросов для извлечения и анализа данных журналов. Используемый язык запросов обычно различается между разными продуктами SIEM. Запросы выполняются циклически или по мере необходимости (например, для расследования аномальной активности или проведения криминалистического анализа после инцидента) и возвращают информацию в виде панелей мониторинга, отчетов или оповещений.

Что такое платформа SOAR?

SOAR (Security Orchestration, Automation, and Response) - это программная платформа, которая автоматизирует реагирование на аномальную активность, обнаруженную в сети.

Платформа автоматизирует реагирование путем применения предопределенных " плейбуков ", которые объединяют планы реагирования на инциденты и обеспечения непрерывности бизнеса для определения некоторых действий, которые должны быть предприняты при возникновении конкретного события безопасности. Эти автоматизированные действия не заменяют специалистов по реагированию на инциденты, но могут упростить реагирование на аномальную активность.

Интеграция SOAR

Некоторые платформы SOAR предназначены для интеграции с платформой SIEM и используют ее сбор, централизацию и анализ данных журналов. Другие выполняют сбор, централизацию и анализ журналов самостоятельно.

SOAR также может быть интегрирован с другими инструментами безопасности, такими как:

  • Межсетевые экраны
  • Решения безопасности конечных точек
  • Сканеры уязвимостей

Потенциальные преимущества SIEM и/или SOAR платформ

Через автоматизацию платформы SIEM и/или SOAR могут мощно улучшить видимость сети для команды безопасности и их способность обнаруживать и реагировать на события и инциденты кибербезопасности. Однако каждое из их преимуществ будет достигнуто только при правильном внедрении SIEM и/или SOAR.

Конечная цель

Улучшение видимости сети и обнаружения событий и инцидентов кибербезопасности, а также реагирования на них, повысит безопасность и целостность информации, хранящейся в сети. Правильно внедренная и постоянно поддерживаемая платформа SIEM и/или SOAR может помочь предотвратить недоступность системы, кражу или модификацию конфиденциальных данных и потерю контроля над критическими сетями.

Упрощая время обнаружения и реагирования, правильно внедренная платформа SIEM и/или SOAR может помочь предотвратить дорогостоящий инцидент кибербезопасности и избежать дорогостоящего процесса удаления злоумышленников из сети. Эти потенциальные затраты, связанные с инцидентами, значительно превышают затраты, связанные с правильным внедрением платформы SIEM и/или SOAR.

Улучшение видимости

Автоматизируя сбор и централизацию журналов, анализируя эти данные и представляя анализ в панелях мониторинга и отчетах, SIEM облегчает команде безопасности возможность видеть и интерпретировать происходящее в сети. Эта информация в противном случае была бы крайне сложной и разбросанной.

Еще одним преимуществом внедрения централизованного решения журналов или платформы SIEM является упрощение доступа к данным событий во время расследования подозрительного события, исключая необходимость входа в каждую машину для ручного сбора журналов.

Соответствие требованиям

Сбор и централизация данных журналов также критически важны для внедрения любой организацией Essential Eight Maturity Model Австралийского управления сигналов и Целей производительности кибербезопасности (CPGs) Агентства кибербезопасности инфраструктуры (CISA).

Важное замечание: Если требования соответствия являются основным драйвером для внедрения вашей организацией инструмента для сбора и централизации журналов, платформы SIEM и/или SOAR могут не быть наиболее подходящим или экономически эффективным вариантом. Доступны другие инструменты.

Например, CISA's Logging Made Easy (LME) - это бесплатная платформа с открытым исходным кодом, которая централизует сбор журналов. LME предназначена для малых и средних организаций, которым нужна система управления журналами и обнаружения угроз, и может быть загружена непосредственно со страницы GitHub LME от CISA.

Улучшение обнаружения

Хорошо настроенная и постоянно поддерживаемая платформа SIEM также улучшает обнаружение событий и инцидентов кибербезопасности, генерируя быстрые оповещения о необычной активности в сети, которые побуждают команду безопасности к дальнейшему расследованию.

Хотя некоторые обнаружения, такие как обнаружение аномалий, требуют большого количества данных для эффективной работы, хорошо поддерживаемая платформа SIEM должна помочь в определении, является ли обнаружение ложноположительным.

Защита целостности журналов

Автоматизация сбора журналов и обеспечение целостности централизованных журналов также улучшает обнаружение, защищая журналы от несанкционированной модификации и удаления - тактика, которую некоторые злонамеренные киберакторы используют для поддержания доступа к сети или системе.

Организации также должны улучшить свой уровень стандартизации событий журналов, используя платформы SIEM, что может обеспечить использование общих правил обнаружения из сообщества или источников поставщиков. Использование общих правил обнаружения улучшает способность обнаруживать события и сокращает время, необходимое для развертывания этих правил.

Улучшение реагирования

Платформы SIEM и/или SOAR также могут улучшить способность реагировать на события и инциденты кибербезопасности. Генерируя быстрые оповещения о необычной активности, платформа SIEM может позволить вашей организации либо вмешаться до того, как событие перерастет в инцидент, либо действовать быстро и ограничить ущерб там, где инцидент произошел.

Эффективный сбор, централизация и оповещение журналов платформой SIEM также предоставляет специалистам по реагированию на инциденты данные, которые позволяют им анализировать, что произошло и что нужно сделать. Централизация журналов может быть критической, когда злонамеренные киберакторы пытаются модифицировать или удалить журналы событий, чтобы скрыть свои следы.

Автоматизированное реагирование SOAR

Функция автоматизированного реагирования SOAR также может сделать общее реагирование на события и инциденты кибербезопасности более эффективным. Платформа SOAR никогда не заменит специалистов по реагированию на инциденты; однако, автоматизируя некоторые действия, связанные с реагированием на конкретные события и инциденты, она может позволить персоналу сосредоточиться на более сложных и высокоценных проблемах, которые сгенерировало событие или инцидент.

В той степени, в которой она автоматизирует реагирование, платформа SOAR также соответствует скорости злонамеренных киберакторов, которые используют автоматизированные техники атак.

Пример использования: Обнаружение и реагирование на угрозы LOTL

Злонамеренные киберакторы часто используют легитимные инструменты и функции операционной системы или среды для достижения своих целей. Эта техника, известная как Living off the Land (LOTL), может быть трудной для обнаружения и смягчения. Однако хорошо внедренная платформа SIEM или SOAR может улучшить возможности охоты на угрозы для успешного обнаружения тактик, техник и процедур (TTPs) LOTL следующими способами:

  • Сбор и централизация журналов с сетевых устройств, конечных точек и других систем помогает поддерживать целостность журналов или предотвращать использование актерами TTPs LOTL для модификации/удаления журналов для поддержания доступа к сети и предоставляет всеобъемлющий целостный обзор всех активностей в среде
  • Внедрение правил, которые анализируют собранные журналы, значительно помогает в обнаружении:
    • Действий скриптинга LOTL
    • Выполнения команд или инструментов
    • Попыток доступа к системе, считающихся необычными в среде
  • Базовая линия нормального поведения пользователей и приложений в SIEM позволяет платформе идентифицировать потенциальные злонамеренные активности, анализируя отклонения от базовой линии
  • Интеграция с информацией об угрозах - SIEM или SOAR должны принимать информацию об угрозах, обеспечивая актуальное реагирование на TTPs LOTL
  • Автоматизированное реагирование - возможность автоматизации и реагирования SOAR использует плейбуки для ограничения потенциального ущерба, который может быть причинен отмеченными или подозрительными активностями

Вызовы внедрения SIEM и/или SOAR платформ

Для практиков, рассматривающих возможность закупки платформы SIEM и/или SOAR, этот раздел излагает некоторые ключевые вызовы. Ни одна из платформ не является инструментом типа "установил и забыл". Эти платформы могут улучшить возможности видимости, обнаружения и реагирования только если они правильно внедрены и постоянно поддерживаются квалифицированным персоналом.

Центральные вызовы:

  • Для платформы SIEM: Обеспечить правильный прием данных из источников журналов и настроить эффективные механизмы обнаружения
  • Для платформ SOAR: Адаптировать эффективное автоматизированное реагирование на конкретные события

Нормализация принимаемых данных

SIEM собирает, обрабатывает и анализирует данные из различных источников в сети или системе. Эти разнообразные источники могут включать межсетевые экраны, системы обнаружения/предотвращения вторжений (IDS/IPS), конечные точки и приложения. Это создает вызов для анализа журналов, поскольку каждый источник может иметь разный формат журнала.

Ключевые проблемы нормализации:

  • Правильный парсинг данных как из неструктурированных, так и структурированных журналов
  • Стандартизация терминологии во всех собранных журналах; например, 'src_ip' и 'sourceAddress'
  • Синхронизация времени для журналов, собранных в разных часовых поясах

Покрытие сбора по всей среде

Прием данных журналов также должен учитывать покрытие среды организации и приоритизацию оценки рисков. Например, если организация развернула механизмы репликации журналов/данных только на 10 из 12 серверов Active Directory (AD), то платформа SIEM имеет "слепое пятно" к событиям, происходящим на двух серверах AD, не принимаемых платформой SIEM.

И наоборот, организация может принять через процесс оценки рисков, что платформа SIEM будет принимать только определенный процент настольных платформ организации как представление настольных активностей.

Централизация журналов против анализа журналов

Важное различие

Высокообъемное потребление журналов более вероятно, если платформа SIEM используется в первую очередь как централизатор журналов. SIEM не должен использоваться для этой цели.

Разнообразие других инструментов доступно организациям, если их основная цель - централизация журналов для целей соответствия или аудита . Эти инструменты, такие как озера данных и альтернативные механизмы хранения, должны использоваться для централизации журналов, которые не имеют ценности с точки зрения идентификации потенциальных событий, угроз или инцидентов кибербезопасности.

Это наиболее экономично и может позволить командам безопасности собирать только необходимые журналы через SIEM, без необходимости фильтровать менее полезные журналы. Более того, анализ журналов, вероятно, будет менее эффективным, когда платформа SIEM рассматривается как центральный репозиторий для всех журналов, а не журналов, специально идентифицированных для целей безопасности.

Достижение эффективного анализа журналов

Для достижения эффективного анализа журналов платформа SIEM должна быть тщательно настроена для уникальной IT-среды и бизнес-требований организации. Анализ эффективен, когда SIEM производит как:

  • Истинно положительные результаты (оповещения, когда происходят события или инциденты)
  • Истинно отрицательные результаты (отсутствие оповещений, когда нет событий или инцидентов)

Требования к персоналу

Это требует от персонала обеспечения того, чтобы SIEM собирал и централизовал соответствующие типы и количество данных журналов, а также правильные правила и фильтры. Это значительная и непрерывная работа - SIEM должен постоянно настраиваться и настраиваться со временем, поскольку среда, функции платформы и ландшафт угроз постоянно изменяются.

Риски неправильной настройки

Ложноотрицательные результаты: Если платформа SIEM использует неполные или несогласованные данные, или если применяемые правила и фильтры недостаточно чувствительны, она будет производить ложноотрицательные результаты: отсутствие оповещений, когда происходят реальные события или инциденты. Это представляет значительные риски с точки зрения обнаружения и реагирования, поскольку команды безопасности могут стать зависимыми от оповещений платформы.

Ложноположительные результаты: И наоборот, платформа SIEM может быть настроена на потребление большого объема журналов и применение правил и фильтров, которые генерируют много ложноположительных результатов: оповещения, когда не происходит события или инцидента. Среди большого объема ложноположительных результатов команды безопасности могут испытывать "усталость от оповещений" и пропускать или задерживать свое реагирование на реальные события и инциденты.

Примечание: Этот вид дисбаланса более распространен, при этом команды безопасности предпочитают собирать и централизовать слишком много данных, что затрудняет разработку эффективных правил и фильтров.

Если SIEM не настроен для достижения эффективного анализа журналов, это может повлиять на функциональность любой платформы SOAR, интегрированной с ним, что приведет к значительным последствиям.

Риски автоматизации реагирования

Платформы SOAR должны быть тщательно настроены для уникальной среды организации, что требует ряда сотрудников со специализированными навыками.

Необходимые специалисты:

  • Специалисты по безопасности для идентификации, какие части реагирования должны быть автоматизированы
  • Инженеры платформ для проектирования автоматизации
  • Разработчики для определения того, как автоматизация реагирования может повлиять на специализированные/внутренне разработанные продукты или услуги
  • Юридические советники или эксперты по управлению рисками и соответствию для определения любых рисков и нормативных последствий, возникающих из автоматизации реагирования

Последствия неправильной настройки

Если функциональность реагирования SOAR не правильно настроена и поддерживается, платформа может неправильно идентифицировать обычное поведение пользователей или системы как событие или инцидент и предпринять автоматизированные меры для изоляции и реагирования. Это может вызвать нарушения различных уровней в предоставлении услуг.

Если персонал скептически относится к автоматизации реагирования или не имеет уверенности и экспертизы, необходимых для правильного внедрения SOAR со временем, он может остаться неиспользованным после закупки за значительные средства.

Предупреждение о зрелости среды

По этим причинам платформы SOAR обычно не подходят для незрелых сред - то есть сред, которые не имеют существующего SIEM, имеют только недавно установленную возможность SIEM или не имеют опытной команды безопасности.

В общем случае инвестиции в правильное внедрение платформы SIEM и достижение эффективного анализа журналов имеют более высокий приоритет, чем внедрение SOAR.

Ресурсоемкость

Правильное внедрение платформы SIEM и/или SOAR включает значительные и постоянные затраты:

  • Первоначальные и постоянные затраты на лицензирование и/или использование данных платформы
  • Затраты на наем и удержание персонала с редкими специализированными навыками внедрения SIEM и/или SOAR
  • Первоначальные затраты на повышение квалификации существующего персонала для обеспечения наличия навыков настройки платформы
  • Постоянные затраты на непрерывное инвестирование в обучение персонала для обеспечения возможности поддержки и развития платформы со временем
  • Постоянные затраты на управление и поддержку платформы персоналом
  • Первоначальные и постоянные сервисные затраты, если организация передает настройку, внедрение и поддержку платформы на аутсорсинг

Рекомендации по внутренним возможностям

Передача настройки и поддержки на аутсорсинг может быть дорогостоящей. Для организаций, которые управляют конфиденциальной информацией или предоставляют критические или уникальные услуги, рекомендуется развивать внутренние возможности для выполнения нормативных обязательств или предоставления надежных, специализированных возможностей.

Внутренний персонал может иметь лучшее понимание сети, что неоценимо при идентификации необычной или подозрительной активности в ней. Хотя есть некоторые "всегда аномальные" активности, которые внешние поставщики услуг могут легко идентифицировать, более тонкая активность может остаться незамеченной без глубокого знания среды.

Дополнительные преимущества внутреннего персонала

  • Команды безопасности должны иметь полномочия спрашивать пользователей об их поведении в сети для предотвращения внутренних угроз или расследования кражи учетных данных
  • Аутсорсинг может создать пробелы в видимости, дублирование работы и трудности в коммуникации

Организации, которые не передают настройку и поддержку платформы SIEM и/или SOAR на аутсорсинг, должны ожидать выделения нескольких сотрудников на эти задачи на постоянной основе. Также стоит отметить, что эксплуатация SIEM может включать длительные периоды высокострессовой работы, с которой персоналу, вероятно, потребуется поддержка.

Принципы лучших практик для внедрения SIEM и/или SOAR

Этот раздел предоставляет 11 принципов лучших практик, на которые практики могут ссылаться на каждом этапе внедрения платформы SIEM и/или SOAR: закупка, установка и поддержка.

Закупка

  1. Определите область внедрения для вашей организации
  2. Рассмотрите продукт SIEM с архитектурой озера данных
  3. Рассмотрите продукт SIEM, который может коррелировать данные из множественных источников
  4. Ищите скрытые затраты различных продуктов
  5. Инвестируйте в обучение, а не только в технологию

Установка

  1. Установите базовую линию обычной активности в сети
  2. Разработайте стандарт для сбора журналов
  3. Включите SIEM в корпоративную архитектуру организации

Поддержка

  1. Оценивайте обнаружение угроз
  2. Сокращайте прием журналов через предварительную обработку
  3. Тестируйте производительность вашего SIEM и/или SOAR

Принципы закупки

1. Определите область внедрения для вашей организации

Перед инвестированием в платформу SIEM и/или SOAR организации должны разработать концепцию доказательства (POC) для внедрения платформ. Различные организации будут иметь разные определения POC для внедрения платформы SIEM и/или SOAR. Однако тщательный POC может предотвратить преждевременное обязательство вашей организации перед платформой, которая представляет неожиданные вызовы и задержки во время внедрения.

Рекомендуемая таблица приема данных

Агентства-авторы рекомендуют организациям, внедряющим SIEM, рассмотреть следующую таблицу приема данных для первоначальных требований лицензирования и хранения/вычислений:

Размер организации Минимум Рекомендуемый идеал
<50 (минимальная организация) 50 ГБ 200 ГБ
50 - 400 (малая организация) 150 ГБ 300 ГБ
400 - 2000 (средняя организация) 250 ГБ 600 ГБ
2000 - 5000 (средняя/крупная организация) 500 ГБ 1.5 ТБ
>5000 (крупная/портфельная организация) 1 ТБ 2.5 ТБ

Ключевые вопросы для POC

При разработке POC для внедрения платформы SIEM и/или SOAR должны быть рассмотрены следующие вопросы:

  • Какова основная цель внедрения?
  • Кто являются соответствующими заинтересованными сторонами в использовании и результатах внедрения?
  • Какие риски, угрозы и случаи использования в области действия будет решать внедрение?
  • Какие источники данных должны быть приоритетными для приема?
  • Будут ли зависимости третьих сторон или интеграции препятствовать внедрению?
  • Должны ли платформы быть внедрены локально или через поставщика SaaS?
  • Какая интеграция с локальными, гибридными и облачными архитектурами потребуется?
  • Какие команды ответственны за внедрение, включая постоянную поддержку платформ?
  • Доступны ли человеческие ресурсы на несколько недель установки?
  • Имеют ли доступные человеческие ресурсы достаточную экспертизу для их роли во внедрении?

2. Рассмотрите продукт SIEM с архитектурой озера данных

При выборе между различными продуктами SIEM агентства-авторы рекомендуют рассмотреть продукт, который включил - или может включить - архитектуру озера данных. Архитектурные паттерны различаются между различными продуктами SIEM. Архитектура определяет потенциальные использования SIEM, определяя, как он распространяет данные, централизует журналы и ограничивает доступ персонала к информации, которую он содержит.

Архитектура озера данных в SIEM: Все связанные с безопасностью журналы реплицируются в репозиторий журналов. SIEM извлекает журналы для анализа из этого репозитория вместо получения собственного канала.

Репозиторий журналов должен быть соответствующим образом защищен для поддержания целостности и конфиденциальности данных. Организации также могут рассмотреть размещение репозитория журналов и платформы SIEM в сегрегированном анклаве мониторинга для улучшения защиты журналов.

3. Рассмотрите продукт SIEM, который может коррелировать данные из множественных источников

Агентства-авторы также рекомендуют рассмотреть платформу SIEM, которая может анализировать и коррелировать данные журналов из множественных источников, таких как устаревшие информационные технологии (IT) и облачные среды в сети. Организации должны отдать предпочтение функциональности SIEM и параметрам безопасности, которые могут включать другие источники данных в анализ, такие как каналы киберугроз.

4. Ищите скрытые затраты различных продуктов

Любая организация, рассматривающая закупку платформы SIEM и/или SOAR, должна планировать первоначальные и постоянные затраты и искать скрытые затраты, связанные с некоторыми продуктами и услугами.

Риски поставщика

  • Интеграция с продуктами одного поставщика: Некоторые платформы предназначены для интеграции с другими продуктами того же поставщика, что делает необходимой покупку этих других продуктов для достижения полной функциональности безопасности
  • Единая точка отказа: Высокая концентрация IT-продуктов от одного поставщика может привести к единой точке отказа
  • Проблемы видимости: Может быть трудно достичь полной видимости среды, если выбранная платформа с трудом интегрирует журналы из продуктов вне набора продуктов поставщика

Модели ценообразования SIEM

Большинство моделей ценообразования SIEM основаны на количестве журналов, принимаемых платформой. Некоторые лицензии SIEM включают определенное количество "бесплатных" журналов, в то время как другие ограничивают прием журналов согласно предварительно приобретенному количеству.

Важно: Если лицензионная модель не устанавливает никаких ограничений на прием журналов, организации должны быть внимательны к потенциально очень значительным затратам, если прием не управляется тщательно.

5. Инвестируйте в обучение, а не только в технологию

Достижение улучшения видимости, обнаружения и реагирования через платформы SIEM и/или SOAR требует особенно квалифицированных и преданных человеческих ресурсов. Любая организация, которая намеревается закупить платформу SIEM и/или SOAR и нуждается в развитии внутренних возможностей, должна планировать выделение значительных ресурсов на обучение персонала внедрению платформы.

Основные темы обучения должны включать:

  • Основы SIEM, такие как типы платформ
  • Основы ведения журналов
  • Манипуляция и фильтрация журналов
  • Запросы и поиск
  • Анализ журналов и расследования
  • Фреймворки атак и тактики, техники и процедуры (TTPs), такие как MITRE ATT&CK
  • Оповещения и отчетность
  • Создание панелей мониторинга
  • Поддержание здоровья каналов данных и индексов SIEM

Принципы установки

6. Установите базовую линию обычной активности в сети

Перед развертыванием SIEM для сбора, централизации и анализа данных журналов команда безопасности должна установить базовую линию обычной (BAU) активности в сети. Для установки базовой линии команда должна оценить установленные инструменты и программное обеспечение, поведение учетных записей, сетевой трафик, сервисные сетки и межсистемные коммуникации.

Важно: SIEM может эффективно оповещать команду безопасности о событиях и инцидентах кибербезопасности только после того, как установлена точная базовая линия нормальной сетевой активности.

Процесс создания базовой линии

Базовые линии не создаются за день. Скорее, в зависимости от сложности организации, они разрабатываются в течение как минимум нескольких недель сбора журналов, разработки запросов, расследования необычной пользовательской активности и фильтрации и настройки оповещений, пока команда безопасности не получит хорошее понимание обычной деятельности.

Риск компрометации

Пока базовая линия устанавливается, существует значительный риск того, что если система уже скомпрометирована, злонамеренные активности будут приняты как нормальные. Агентства-авторы рекомендуют, чтобы во время базовой линии организации прилагали обширные усилия для проверки того, действительно ли активности нормальны, а не злонамеренны.

7. Разработайте стандарт для сбора журналов

Владелец системы SIEM должен иметь набор предопределенных базовых требований к ведению журналов для приложений и систем. У них должен быть согласованный механизм одобрения для разрешения отклонений от этих параметров, которые включают и отключают дополнительное ведение журналов при необходимости.

Ключевые соображения:

  • Влияние высоких уровней ведения журналов: Может негативно повлиять на производительность устройства, системы хранения журналов и производительность SIEM, а также увеличить сетевой трафик
  • Отсутствие журналов: Должно быть предметом беспокойства для организаций
  • Процессы мониторинга: Организации должны иметь процессы для идентификации, когда системы перестали генерировать журналы и телеметрию

Политика сохранения журналов

Должна быть внедрена политика сохранения и архивирования журналов. Различные организационно-специфические факторы будут влиять на период времени, в течение которого журналы должны сохраняться. С точки зрения безопасности период сохранения должен учитывать среднее время обнаружения угроз организации.

Рекомендации по срокам сохранения:

  • Для организаций, новых в обнаружении: Минимум один год для журналов, записывающих административные и связанные с безопасностью события
  • Информационные журналы: 90 дней для журналов, используемых для контекстуализации других событий

8. Включите SIEM в корпоративную архитектуру вашей организации

Владелец системы SIEM должен быть в курсе всех новых источников данных и изменений в источниках данных в сети, чтобы обеспечить, что SIEM продолжает эффективно принимать все соответствующие данные журналов. Таким образом, Владелец системы должен быть постоянным членом группы корпоративной архитектуры организации и/или совета по контролю изменений.

Важные аспекты интеграции:

  • Управление активами: Обеспечение видимости SIEM новых активов
  • Поведенческий мониторинг: Обеспечение оповещений SIEM об активности пользователей, которые больше не должны иметь доступ к сети
  • Решения по инфраструктуре: Команды безопасности должны знать о значительных решениях по инфраструктуре, которые могут повлиять на видимость SIEM
  • Работа с разработчиками: Обеспечение того, чтобы новые продукты генерировали полезные журналы безопасности

Принципы поддержки

9. Оценивайте обнаружение угроз

После развертывания платформы SIEM организации должны установить процедуру, которая регулярно тестирует и настраивает ее механизмы оповещения. В соответствии с предыдущими советами от агентств-авторов, организации должны рассмотреть внедрение стандартизированной конвенции именования для оповещений со ссылками на фазы MITRE ATT&CK для более быстрой сортировки реагирования на инциденты.

Все правила оповещений должны отражать модель угроз и профиль рисков организации и быть настроены соответствующим образом. По мере изменения модели угроз должны изменяться и возможности обнаружения.

10. Сокращайте прием журналов через предварительную обработку

Как обсуждалось, чрезмерный прием журналов является общим вызовом при внедрении SIEM. Прием слишком большого количества журналов может быть дорогостоящим, привести к ложноположительным оповещениям и напрячь мощности обработки данных платформы, что может задержать или ухудшить ее производительность.

Организации должны предварительно обрабатывать журналы перед их приемом в SIEM для снижения вероятности возникновения этих проблем. Предварительная обработка может происходить в одной из трех точек:

  • На источнике/хосте
  • На форвардере/репликации
  • При приеме SIEM

11. Тестируйте производительность вашего SIEM и/или SOAR

Организации должны проводить упражнения для тестирования производительности своей платформы SIEM и/или SOAR. Эти упражнения могут проводиться внутри компании или внешними поставщиками услуг, такими как пентестеры.

Ключевые области для тестирования включают:

  • Модификация Active Directory и PowerShell
  • Общие техники противника, такие как дамп LSASS.exe
  • Активность Golden Ticket, Living Off the Land и DCSync
  • Обнаружение активности командования и управления (C2) / необычный трафик к подозрительному домену
  • Сканирование сети / разведка изнутри сети

Организации должны планировать регулярные и повторяющиеся упражнения, которые тестируют хорошо известные TTPs для отслеживания улучшения со временем. Эти регулярные упражнения должны быть сбалансированы против специальных тестов с новыми векторами атак.

SIEM SOAR руководство специалист безопасность
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден.

Выберите реальность — подпишитесь.

article-title

Комнатный Блогер

Объясняю новую цифровую реальность