随着网络安全挑战的增加,公司不断努力降低检测/发现安全威胁(MTTD)的时间。这对于多个方面都是至关重要的,例如客户满意度、法律遵从性和组织的信誉。组织需要在用户之前识别、沟通和缓解问题。
作为我上一篇文章的扩展网络安全趋势,让我们探讨如何通过以下方法实现安全信息和事件管理(Siem)弹性.
在讨论暹粒在弹性上的细微差别之前,让我们刷新一下基本知识:
Siem:Siem由安全信息管理(SIM)和安全事件管理器(SEM)组成,提供由数据、应用程序和网络基础设施生成的实时安全警报。
安全信息管理:日志数据的存储、分析和报告(包括审计日志,这些日志是分析异常的基本要素)。
安全事件管理器:分析通过SIM收集的数据,提供基于业务规则的实时监视和警报。
为了更好地实现暹粒,以下是一些关键步骤:
以下功能听起来可能类似于数据科学中的特性工程,因为暹粒检测规则和引擎建立在类似的目标之上。
- 日志管理:原木是暹粒的基本基础。虽然我们希望保存有关事务的所有信息,让它是手动的或自动化的,但我们在基础设施和性能方面都受到限制。因此,了解我们想要捕获的日志是很重要的,这将有助于我们在未来能够发现异常或威胁。此外,这涉及日志收集、聚合、存储和保存、遵从性、旋转和报告日志。对于包括集中日志聚合在内的有效日志管理,有一些关键建议。
- 安全数据分析 (通过警报和仪表板实现相关性和可视化)*这一步骤是将收集到的数据转化为有意义的分析,确定和合并这些因素。相关性并不意味着因果关系,但这有助于识别威胁/事件并及时提醒它们。分析能力的基础是我们如何通过实时信息图表(如关键模式、相关性和预测)进行有效的报告。
- 事件检测、反应与法医学分析*进行根本原因分析并生成一份事件报告,详细分析攻击企图或正在进行的攻击,帮助企业立即采取适当的补救行动。这有助于减少MTTD。
- 威胁情报这不是传统暹粒的一部分。然而,虽然一个高效的Siem通过分析内部信息来减少MTTD,但将其添加到威胁智能中,侧重于外部环境有助于防止威胁。
弹性堆栈:
五年前,我们探索了弹性堆栈(ElasticStack)作为我们的智能搜索解决方案之一。除了企业搜索、自动完成/建议/更正等预期功能之外,我还喜欢它的性能和可扩展性。诸如无模式、RESTfulAPI和大数据管理这样的功能非常强大。
弹性堆栈在过去的几年里已经超越了搜索。随着弹性可观测性和弹性安全产品的增加,弹性在网络安全领域变得相当强大。
弹性安全侧重于通过弹性暹粒和端点安全来预防、检测和应对威胁。
弹性堆栈&安全信息和事件管理:
下面是弹性暹罗的高层次结构。
Https://www.elastic.co/guide/en/siem/guide/7.8/siem-overview.html
日志管理:主要由Logstash完成,它收集、分析和转换日志,并通过BATS(获取数据并提供给Logstash和Elasticearch的轻量级代理)完成。B拍是为各种数据构建的数据发送者,例如日志、度量数据、网络数据、Windows事件日志、审计数据、正常运行时间监视数据和云数据。这有助于实现从系统和基础设施收集数据的基础,这是暹粒的基础。
事件检测、反应和法医分析:弹性端点提供可见性和高级威胁检测。除了用户定义的规则外,还添加了预先构建的规则,以更好地检测和应对威胁。此外,它还主动阻止恶意软件和赎金软件。
安全数据分析(通过警报和仪表板实现相关性和可视化):由端点、弹性搜索和Kibana联合完成。
好了,是时候亲身体验一下了!
弹性提供了云部署的尝试,以探索和评估弹性安全性。
该部署附带弹性搜索、Kibana和应用程序性能监视(默认情况下)。
可以创建和配置APM代理如下:
除了APM代理之外,我还在寻找添加其他代理的选项,以便能够摄取、处理和检测异常(端到端的暹粒)。我对现有的选择印象深刻。快速快照如下:
弹性是利用拍子(用于日志的Filebeat,用于度量的MetriBate,用于Windows事件日志的WinlogBate,等等)
对于试用版,我们可以选择加载数据或探索弹性提供的示例数据。我研究了weblog,以了解可视化、APM代理和端点配置,以及ML异常检测的威力。
配置和可视化非常简单,有大量的帮助和小部件可供支持。
如前所述,虽然威胁分析从定义上来说并不是暹粒的一部分,但它已经成为暹粒解决方案的一个不为人知的期望,即将异常检测作为其中的一部分。
弹性让我们为预测模型创造ML就业机会。对于预测异常,我们可以配置规则,使假阳性最小化。
结论:
- 当然,一个尺码并不适合所有的尺寸。然而,弹性技术为日志管理、安全分析和事件检测以及预测提供了很好的能力,这是一种端到端的暹粒解决方案。
- 2018年,有一个博客写在Siem的ElasticStack上:Https://dzone.com/articles/using-the-elk-stack-for-siem两年前。很有意思的是,在一段时间内,弹性暹粒有了多大的发展。事实上,随着许多公司转向谷歌云平台(Google Cloud Platform,GCP)、Azure&Zoom等支持远程协作的解决方案,ElasticSecurity 7.10已经提出了检测跨解决方案的威胁并确定其轻重缓急的关键功能:Https://www.elastic.co/blog/whats-new-elastic-security-7-10-0-correlation-cloud-visibility-detection
- 最关键的因素是理解领域、业务问题、影响因素,并建立适当的规则来识别威胁。虽然我们可能掌握着神奇的技术,但这取决于确保有效的暹粒解决方案的基础。
