iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 16
3
Security

資安分析師的轉職升等之路系列 第 17

Day 16 機器幫你管日誌: SIEM 安全資訊事件管理系統 (2)

  • 分享至 

  • xImage
  •  

昨天從Log Analysis 日誌分析寫到SIEM 安全資訊事件管理系統,今天繼續介紹SIEM的功能:

  1. SIEM具備強大的比對Correlation 功能

前幾篇文章提到許多單一的觸發事件:帳號登入失敗、創建新帳號、帳號權限提升等等,這些日誌紀錄下的行為有可能是正常網管運作,也有可能是攻擊行為,如果要人力憑肉眼去檢視、比對所有日誌十分耗時費力,而且極可能出錯,如果針對個別觸發行為設定警示,相信沒多久你的電子郵件信箱就爆滿了,當大家對於警示麻木alarm fatigue,才是最危險的時候。

解決方法之一是建立風險指數(Risk Based Score), 依可疑性將各種情境及觸發條件分類,讓資安人員優先集中精力處理高風險、極為可能是攻擊的事件。假設在我們的環境裡,系統日誌是設定為自動覆寫,當發現「刪除日誌」這樣的行為,便非常有可能是系統被入侵後,駭客在消除自己痕跡。這部份SIEM通常有內建的政策可以直接啟動套用,或自行設定政策,將各事件分類歸納,進行較為複雜的關聯式分析來偵測、辨識攻擊行為。下面以一個攻擊行為來做例子:

A) 以Brute Force手法嘗試猜測帳號A密碼
B) 登入成功後,創建新帳號B
C) 提升帳號B 權限

這個攻擊行為中每個階段都會產生日誌,如果針對ABC任何單ㄧ行為設定觸發條件,平時網管人員正常運作產生的日誌也都會觸發,很容易造成誤判,但是如果設定「多次登入失敗+登入成功+創建帳號B+提升帳號權限」這樣滿足多重條件的政策,由SIEM自行檢閱日誌觸發警示,這樣的事件風險和可疑性非常高,必須優先調查。

第二個例子是「帳號登入失敗」,如果以這單一行為當做觸發條件,ㄧ般員工忘記密碼登入失敗也會觸發警示。但如果由SIEM比對來自各不同伺服器的日誌,憑「30秒內,同一帳號於不同主機登入失敗超過共5次」的政策,滿足這複雜條件、高風險、可疑性高的事件便會觸發警示。

第三個範例是ㄧ台對外的SFTP伺服器,因為非常容易受到Brute Force Attack猜測帳密,日誌會有大量登入失敗的記錄,但是我們可以設定政策讓SIEM 針對「多次登入帳號A失敗+之後帳號A登入成功」這樣的情況觸發警示,或者讓SIEM比對防火牆Firewall或UTM日誌,針對「外部IP甲進行Port Scan+外部IP甲嘗試登入帳號」這樣的攻擊情境警示。

資安團隊可以依內建或自訂政策讓SIEM自己翻查本身蒐集的各種日誌比對、觸發警示,傳送電子郵件、簡訊等等通知資安團隊,減少誤判,縮小資安人員分析範圍,方便處理高風險、高可疑性事件;對於低風險的日誌事件,可以抽樣檢視,或配合儀表板建立規律(pattern)比對,或結合趨勢分析,從中篩選資料,達到偵測、鑑識的目的。

https://ithelp.ithome.com.tw/upload/images/20180104/20084806h1juTdCCSL.png
*截圖來自socexpert.com

關於SIEM的correlation比對功能今天花了比較長篇幅介紹,畢竟這可以說是SIEM的核心,但是再怎麼強大的工具,還是要看資安人員如何去運用它。還記得受訓的時候,很多人問老師該怎麼設定SIEM比較好,要使用什麼政策?老師反問道:「你想要怎麼去進行分析?」因為即使廠商提供的SIEM方案有非常多的內建政策,實際運用上還是會依照佈屬環境不同而需要調整,並非設定好後就沒事了只需靜待警示觸發,資安人員要善用SIEM的功能,進行偵測、調查、鑑識、分析,甚至從被動的Incident Response到主動Threat Hunting。

「佈局千變萬化,從來沒人可以準確預測對手的下一步。」- -《火鳳燎原》

明天將繼續介紹SIEM,接著將介紹提升SIEM功能,加強資安分析的幾個整合性措施。


上一篇
Day 15 機器幫你管日誌: SIEM 安全資訊事件管理系統 (1)
下一篇
Day 17 機器幫你管日誌: SIEM 安全資訊事件管理系統 (3)
系列文
資安分析師的轉職升等之路32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
CyberSerge
iT邦好手 1 級 ‧ 2018-01-04 22:38:55

這篇寫的不是很好...感覺中文退化。等Day17寫完,將會再回來重新編輯一下內容。

我要留言

立即登入留言