Что такое SIEM и Приоритет подачи журналов в SIEM
Вводная SIEM
Термин SIEM был впервые введён Gartner в 2005.
В 2015, был представлен концепт "next-gen SIEM" или SIEM 2.0. Основное отличие – введение user behavioral analytics (UBA). Next-gen SIEM ориентированы в первую очередь на применение в очень крупном бизнесе (команды SOC 10+ сотрудников).
В 2020 SIEM остаётся ключевым инструментом для работы команд SOC или ИБ. SIEM предоставляет:
- Получение данных с различных уровней сети
- Централизованное хранение и просмотр различных данных в нормализованном виде
- Кросс-корреляцию данных
Сценарий применений SIEM
- Предпроектное обследование (сбор информации об источниках, инфраструктуре), составление модели угроз, разработка сценариев выявления
- Развёртывание и первоначальная настройка Подключение источников событий, интеграция с продуктами для реагирования и обогащения
- Доработка и адаптация правил корреляции, дашбордов, отчётов
- Инвентаризация и категоризация активов, групп пользователей
- Штатная работа с системой (мониторинг безопасности, реагирование на инциденты, Threat Hunting)
- [по мере необходимости] Подключение новых источников, обновление коннекторов, правил корреляции
- [на регулярной основе] Оценка эффективности и актуализация сценариев выявления и правил корреляции
- Остальные юзкейсы будут на этой странице (в разработке)
Эффективное логирование направлено на:
Хранение журнала событий
Сроки хранения журналов должны быть основаны на оценке рисков для данной системы. При оценке рисков для системы следует учитывать, что в некоторых случаях может потребоваться до 18 месяцев, чтобы обнаружить инцидент кибербезопасности, а некоторые вредоносные программы могут находиться в сети от 70 до 200 дней, прежде чем нанести явный вред.
Сроки хранения журналов также должны соответствовать любым нормативным требованиям и структурам кибербезопасности, которые могут применяться в юрисдикции организации. Журналы, которые имеют решающее значение для подтверждения вторжения и его последствий, должны быть приоритетными для более длительного хранения.
Приоритет журналов систем к подаче в SIEM
Приоритет подачи событий от определенных систем, прежде всего зависит от модели нарушителя и его возможностей на основе рисков. Если такого документа нет, то можно акцентировать внимание на события следующих источников (при наличии) данных в порядке приоритета:
- Периметровые/Пограничные решения (External facing Systems): VPN порталы, WEB сервера, терминалы, точки доступа, роутеры и др.
- Системы информационной безопасности (Security Devices): МЭ, IPS/IDS, Email защита, NGFW, Антивирусная защита, EDR, WAF и др.
- Системы аутентификации (Authentication Systems): PAM, MFA, LDAP/FreeIPA, RADIUS, CA Systems, SAML, AD и др.
- SaaS приложения/ПО как услуга (SaaS Apps): Slack, Cloudflare, Microsoft Azure Active Directory, Zscaler и др.
- Системы под управлением ОС Windows (Windows Systems): Сервера (AD, MS SQL,Exchange, DNS, DHCP, SCCM, WSUS, и др.), Рабочие станции и др.
- Системы под управлением ОС Linux (Linux Systems): apache, nginx, mysql, fail2ban, bind, samba, exim, squid, postgres и др.
- Сетевые устройства (Network Devices): Маршрутизаторы (Netflow полезно), коммутаторы, мосты, Wi-Fi, модемы, концентраторы и др.
- Системы виртуализации (Virtualization Systems): VMware, Citrix, Hyper-V, KVM, ProxMox и др.
- Внутренние системы (Internal Systems): Процессинг, Бизнес-приложения и др.
- Управления и работа с мобильными устройствами (Mobile Devices): MDM, EMM, UEM и др.
- Системы хранения данных и СРК (Storage/Backup Systems): DELL EMC, HP 3PAR, NetApp, Veeam, CommVault и др.
- Узкоспециализированное ПО (COT: commercial off-the-shelf): Собственные приложения, The Microsoft Office, Adobe Photoshop, SAP и др.
Подход для корпоративных сетей на основе рисков
- Критические системы и хранилища данных, которые, вероятно, будут атакованы;
- Интернет-сервисы, включая удаленный доступ к ним, сетевые метаданные и их ОС;
серверы управления идентификацией и доменами; - Любые другие критические серверы;
- Пограничные устройства, такие как граничные маршрутизаторы и фаерволы;
- Административные рабочие станции;
- Высокопривилегированные системы, такие как управление конфигурацией, мониторинг производительности и доступности (в случаях, когда используется привилегированный доступ), CI/CD, службы сканирования уязвимостей, управление секретами и привилегиями;
- Хранилища данных;
- Системы связанные с ИБ и критически важное ПО;
- Пользовательские компьютеры;
- Журналы пользовательских приложений;
- Веб-прокси, используемые пользователями организации и сервисные учетные записи;
- DNS-сервисы (используемые пользователями организации), серверы электронной почты, серверы DHCP;
- Устаревшие ИТ-активы (которые ранее не были зафиксированы в критических или интернет-сервисах).
- Журналы с более низким приоритетом:
- Базовая инфраструктура, например, хосты гипервизора;
- ИТ-устройства, например, принтеры
- Сетевые активы, например, шлюзы приложений.



No comments to display
No comments to display