Jak se správně zorientovat v nastavení SIEM řešení?

06. červen 2015 11:00 0 komentářů

COMGUARD, VAD distributor bezpečnostních ICT & síťových řešení, představuje některé možnosti efektivního využívání SIEM řešení (Security Information and Event Management), na příkladu Intel Security (McAfee) ze svého portfolia produktů.

Bezpečnost IT lze považovat za ucelenou, pokud máte přehled o všech aktivitách firemních systémů, sítí, databází a aplikací, nejlépe v reálném čase. A právě řešení McAfee SIEM díky své vlastní ultrarychlé databázi, zajišťuje kompletní přehled a vyhodnocení všech heterogenních zdrojů, jako jsou operační, aplikační i síťové systémy a zařízení. Pomáhá tak identifikovat lokální i globální hrozby, patřičně na ně reagovat a zjišťovat neustálou shodu s mezinárodními bezpečnostními standardy.

McAfee SIEM je revoluční nástroj, který v reálném čase propojuje informace o vnějších hrozbách, jako jsou nové zranitelnosti a reputace dat s aktuálním stavem vnitřního systému a dat. Díky unikátnímu databázovému systému je možné shromažďovat a zpracovávat miliardy logů/událostí i několik let zpětně, a to vše s rychlostí naplňující požadavky největších korporací. Právě rychlý přístup a dlouhodobé uchovávání dat je klíčem k odhalení dlouhodobých útoků typu Advanced Persistent Threats.

Tipy, k čemu a jak maximálně využít možnosti SIEM řešení, přinesl analytik Anton Chuvakin ze společnosti Gartner Group v podobě nejčastějších případů použití (use case).

  1. Sledování autentizací a detekce kompromitovaných účtů
  2. Sledování kompromitovaných a infikovaných systémů, detekce malwaru pomocí logů firewallu, NIPS alertů, logů webových proxy, síťových toků apod.
  3. Ověřování alertů IDS a IPS systémů pomocí dat o zranitelnostech a dalších kontextových dat o prvcích sítě shromážděných v SIEM řešení. Tento případ použití je již některými odborníky považován za přežitek, avšak i přesto je to jeden z nejčastějších příkladů užití SIEM technologie.
  4. Monitorování podezřelého odchozího spojení a datových přenosů pomocí logů firewallu, web proxy serverů, síťových toků apod.
  5. Sledování změn v systémech a další administrativní události v interních systémech a jejich přiřazení ke schváleným politikám; detekce porušení interních politik apod.
  6. Sledování útoků na webové aplikace a jejich následků pomocí logů webových serverů, Web Application Firewallů a aplikačních serverů; detekce pokusů o kompromitování a zneužití webový aplikací pomocí kombinace logů z různých zařízení.

Ve výše uvedeném výčtu autor záměrně vynechává typický případ použití, tedy vyhledávání logů např. dle typu IP adresy, vyhledání všech systémů spojených s touto IP nebo základní vyšetřování incidentů – tyto případy zvládne totiž i obyčejný log management.

Následující důvody činí těchto 6 výše uvedených případů nejžádanějšími:

  • Jednoduchý sběr nezbytných logů, je již nativně podporován většinou SIEM řešení včetně jejich normalizace a kategorizace pro snadnou korelaci.
  • Potřebná pravidla jsou již často zahrnuta do nastavení a potřebují tedy minimální přizpůsobení potřebám zákazníka.
  • Jednoduchá analýza alertů vyžaduje pouze základní provozní procesy SIEM technologie.
  • Využití SIEM pro odhalení nebezpečí na síti a v systémech přináší přidanou hodnotu pro většinu společností.
  • Tyto případy použití umožní administrátorům se lépe zorientovat a získat zkušenosti v nastavení SIEM a posléze aplikovat složitější nastavení a procesy.

Robert Šefr, technický ředitel ve společnosti COMGUARD, dodává: „*Nová nasazení SIEMu v našem regionu se soustředí v prvé řadě na log management funkce a pak následuje postupné využívání pokročilých funkcí SIEMu. Intel Security (McAfee) jde zákazníkům naproti nabídkou tzv. „Content packů“, které dávají jasný návod, co je potřeba na zařízeních a SIEMu nakonfigurovat, aby byl pokrytý určitý use case a zároveň přidají do SIEMu logiku (korelace, reporty, dashboardy, alerty apod.) z vybrané oblasti.

Jedním z prvních způsobů využití je analýza infikovaných strojů a také audit přihlašování napříč infrastrukturou. Dalším jednoduchým využitím SIEMu bývá sledování trendů na perimetrových zařízeních (firewall, IPS, webová proxy apod.), kde odchylka v dlouhodobých trendech většinou ukazuje na bezpečnostní problém nebo chybnou konfiguraci. Na konkrétní organizaci již poté záleží, jak moc a hluboko bývá SIEM zapojován do interních bezpečnostních procesů nebo zda je dokonce vybudován interní SOC.

Velký důraz v našem regionu bývá kladen na jednoduchost konfigurace a údržby SIEM řešení a tedy celkovou minimalizaci nákladů na vlastnictví (TCO). Často je upřednostňována přímočarost řešení před vysokou variabilitou, a to nejen u nových nasazení, ale zejména u organizací, které již mají praktické zkušenosti s využívání SIEMu a právě díky předešlým zkušenostem definují požadavky tímto směrem.*“


Komentáře

RSS 

Komentujeme

Microsoft a GitHub

Pavel Houser , 13. červen 2018 13:30
Pavel Houser

Transakce v hodnotě 7,5 miliardy dolarů je dost velká i na poměry Microsoftu, takže se prodejem GitH...

Více







RSS 

Zprávičky

Systém pro STK by měl za 120 mil. Kč nadále provozovat AutoCont

ČTK , 22. červen 2018 10:00

V novém smluvním období by firma měla zajistit také propojení s obdobnými systémy jednotlivých člens...

Více 0 komentářů

Divize firmy Deutsche Telekom T-Systems ruší 10 000 míst

ČTK , 22. červen 2018 09:00

Na 6000 míst z celkového počtu má být zrušeno v Německu v průběhu příštích tří let....

Více 0 komentářů

Šéfovi Intelu srazil vaz vztah na pracovišti

ČTK , 22. červen 2018 08:00

Ve funkci předsedy představenstva a člena správní rady Krzaniche přechodně nahradí dosavadní finančn...

Více 0 komentářů

Kalendář

19. 06.

22. 06.
Automatica 2018
23. 06.

24. 06.
Maker Faire Prague 2018
04. 08.

09. 08.
Black Hat USA 2018

Starší zprávičky

Musk: Favoritem pro evropskou továrnu na baterie Tesly je Německo

ČTK , 21. červen 2018 10:00

Revoluce elektrických aut zvýší do roku 2025 hodnotu evropského trhu s bateriemi na zhruba 250 milia...

Více 0 komentářů

Česko testuje komunikaci mezi auty, vlaky a MHD

ČTK , 21. červen 2018 09:00

Vozidla si budou vyměňovat informace například o tom, jak je vlak daleko od závor, nebo že tramvaj v...

Více 0 komentářů

Xiaomi chce při vstupu na burzu získat až 6,1 miliardy dolarů

ČTK , 21. červen 2018 08:00

Půjde o jednu z největších primárních nabídek akcií v technologickém sektoru za posledních několik l...

Více 0 komentářů

Kryptoměnovou burzu Bithumb napadli hackeři

ČTK , 20. červen 2018 10:16

Za poslední týden jde již o druhý útok na kryptoměnové burzy v Jižní Koreji. Bitcoin opět klesl....

Více 0 komentářů