Czym jest SIEM?
Systemy tej klasy są już z nami od kilkunastu lat i wydawałoby się, że wszystko zostało już o nich powiedziane, doskonale je znamy i wiemy jakie są ich realne możliwości… Pytanie czy tak faktycznie jest?
Drogi czytelniku i czytelniczko, jeśli trafiłeś/trafiłaś na ten wpis to znaczy, że najprawdopodobniej poszukujesz dodatkowych informacji na temat możliwości jakie oferują systemy klasy SIEM. Zapraszamy Cię więc do lektury serii artykułów, w ramach których będziemy omawiać najważniejsze cechy, oraz elementy na które warto zwrócić uwagę przy wyborze konkretnego produktu, będziemy też starali się przy tym opisywać wybrane sytuacje z realnych wdrożeń. Cała seria artykułów odnosić się będzie do systemu SIEM dostępnego w ofercie firmy McAfee –McAfee Enterprise Security Manager Serdecznie zapraszamy!
Co oznacza SIEM oraz jakie są jego zalety?
SIEM jest akronimem od słów Security Information and Event Management i zgodnie z definicją: dzięki gromadzeniu a następnie przetwarzaniu informacji i zdarzeń z obszaru bezpieczeństwa teleinformatycznego wspiera on procesy:
- wykrywania zagrożeń,
- badania zgodności z regulacjami,
- zarządzania incydentami bezpieczeństwa,
Powyższa definicja jest oczywiście słuszna, natomiast na tyle ogólna, że powstaje wątpliwość czy jest wystarczająco przekonująca by skłonić kogoś do tego by zainteresował się systemem SIEM. Przecież dostępnych jest wiele innych technologii, które mogą realizować podobne zadania… Co więc takiego szczególnego oferuje SIEM?
Pierwszym zadaniem systemów SIEM jest gromadzenie w jednym miejscu danych (w tym między innymi logów oraz przepływów sieciowych) pochodzących z wybranych elementów infrastruktury teleinformatycznej – w tym między innymi z urządzeń, systemów bądź serwerów świadczących usługi takie jak: AD, DNS, DHCP, FW, IPS, VPN, AV oraz wiele innych. Jaka może z tego wynikać korzyść? Wyobraźmy sobie sytuację, że wystąpił u nas incydent bezpieczeństwa przez co istnieje potrzeba przeanalizowania logów z systemów, które funkcjonują w naszej infrastrukturze - bez rozwiązania klasy SIEM lub Log Management, proces ten będzie bardzo czasochłonny, a konieczność przełączania się pomiędzy wieloma różnymi systemami dodatkowo go utrudni. W dodatku, jeśli incydent ten wystąpił w nawet nie tak bardzo odległej przeszłości, to oczywiście istnieje ryzyko, że informacje, których szukamy zostały już nadpisane w systemach źródłowych…
Możliwość przeprowadzenia analizy zdarzeń z wielu różnych źródeł, w jednym czasie i miejscu
Tak więc jedną z pierwszych zalet systemów klasy SIEM jest możliwość spojrzenia niejako „z lotu ptaka” na naszą infrastrukturę. Zgromadzenie logów w jednym miejscu powoduje to, że w bardzo krótkim czasie możemy dotrzeć do interesujących nas informacji nawet jeśli dotyczą one wielu różnych punktów naszej infrastruktury a zasoby dyskowe systemu SIEM oraz zastosowane mechanizmy kompresujące dane, zapewnią bardzo długie okresy retencji.
Powstaje tylko jedno pytanie, jaka w takim razie jest przewaga systemów SIEM nad systemami klasy Log Management, skoro one też zapewniają możliwość przechowania logów w jednym, centralnym miejscu. Tak naprawdę główną cechą i zadaniem systemów SIEM jest korelowanie zdarzeń, czyli możliwość automatycznego i ciągłego wychwytywania związku pomiędzy informacjami pochodzącymi z wielu różnych punktów naszej infrastruktury.
Zapewnienie mechanizmów korelacji logów z różnych systemów
Załóżmy, że potrzebujemy w możliwie jak najszybszym czasie odnaleźć informacje dotyczące listy kont uczestniczących w incydencie: przynajmniej 10 nieudanych prób logowania z przynajmniej 3 różnych adresów IP po których nastąpiło logowanie udane dla okna czasowego równego 1 dzień, a to wszystko dla logów z ostatnich 3 miesięcy - ile czasu musiałby poświęcić administrator by odnaleźć takie informacje? Oczywiście pomijam fakt, że w tym czasie ma on zdecydowanie ciekawsze i istotniejsze prace do wykonania. Dodatkowo warto być o takim zdarzeniu poinformowanym możliwie najszybciej jak to możliwe, najlepiej chwilę po tym jak on zaistniał…
W takich sytuacjach z pomocą przychodzą nam systemy klasy SIEM, na poniższym rysunku zaprezentowano regułę korelacyjną realizującą powyższe założenie. Reguła ta została zbudowana w systemie McAfee Enterprise Security Manager (McAfee ESM) – zastosowany w nim kreator reguł korelacyjnych wykorzystuje zestawy filtrów oraz bramek logicznych, dzięki czemu proces tworzenia reguł jest bardzo czytelny i intuicyjny:
Powyższa reguła korelacyjna może zostać wykorzystana do przeszukania wszystkich dostępnych w systemie logów, może ona również działać dla nowych danych, które dopiero napływają do systemu oraz na bieżąco alarmować wskazane osoby jeśli pojawią się zdarzenia spełniające warunki opisane w regule.
Reguły korelacyjne mogą się również odwoływać do list reputacyjnych i informować nas w przypadku gdy z naszej firmowej sieci zainicjowana zostanie próba komunikacji z adresem o niskim poziomie zaufania. Wspomniane listy reputacyjne mogą być dostarczone przez producenta rozwiązania – jak na przykład usługa Global Threat Intelligence (GTI) firmy McAfee. Mogą to być również darmowe i ogólnodostępne serwisy do których system SIEM będzie się cyklicznie łączył i pobierał interesujące nas informacje – jak chociażby w przypadku systemu McAfee ESM, gdzie możemy skorzystać z natywnych integracji bazujących między innymi na protokole http/https, a następnie parsować i pobierać treści prezentowane w danym serwisie lub skorzystać z TAXII (Trusted Automated Exchange of Intelligence Information) celem pobrania wskaźników zapisanych w IOC (Indicator Of Compromise):
Kolejne istotne cechy systemów SIEM, skupiają się wokół funkcjonalności pomagających spełniać wymagania opisane w regulacjach – przykładowo konieczność przechowywania logów przez określony czas.
Zapewnienie mechanizmów archiwizacji logów z ważnych bądź krytycznych systemów
System McAfee ESM umożliwia zdefiniowanie pul dyskowych dla różnych rodzajów źródeł oraz przypisanie do nich różnych poziomów retencji - dzięki tej funkcjonalności istnieje możliwość rozdzielenia przestrzeni i retencji logów surowych serwerów produkcyjnych od logów ze stacji roboczych czy chociażby serwerów wchodzących w skład środowiska testowego.
Kolejną istotną cechą systemów SIEM jest możliwość wywołania w zasadzie dowolnej reakcji w następstwie zaobserwowanego incydentu.
Centralny punkt dowodzenia urządzeniami bezpieczeństwa (API).
McAfee ESM umożliwia uruchomienie zdefiniowanego wcześniej skryptu oraz przekazanie do niego wskazanych argumentów z alarmu bądź logu. Dzięki tej funkcjonalności operator SIEM może bezpośrednio z poziomu konsoli SIEM wywołać akcję w innym systemie bezpieczeństwa – przykładowo: może on dodać wybrany adres IP do listy blokowanych, zmienić politykę konfiguracyjną wybranego produktu na stacji roboczej czy uruchomić skanowanie podatności wybranego adresu IP - wszystko to poprzez wykorzystaniu funkcjonalności Remote Command, umiejętności skryptowych operatora i funkcjonalności interfejsu API integrowanych systemów odpowiedzialnych za inne obszary bezpieczeństwa.
Na poniższym rysunku przedstawiona została możliwość uruchomienia skanu podatności w systemie Rapid7 Nexpose/InsightVM bezpośrednio z poziomu konsoli McAfee ESM:
System McAfee ESM oferuje również natywną - dwukierunkową integrację z innymi produktami wchodzącymi w skład szerokiego portfolio firmy McAfee, są to między innymi:
- ePolicy Orchestrator (konsola zarządzająca dla produktów endpoint)
- Threat Intelligence Exchange (lokalna baza reputacji);
- Active Response (system klasy EDR);
- Advanced Threat Defense (Sandbox)
- Network Security Platform (sieciowy IPS);
Szczegóły tych integracji zostaną opisane w późniejszych artykułach. Zapraszamy do śledzenia naszych social media, gdzie pojawią się informacje o nowych artykułach.
Potrzebujesz konsultacji eksperta?
Zapraszamy na krótką rozmowę lub wideokonferencję. Skontaktuj się z nami – porozmawiamy o wyzwaniach związanych z bezpieczeństwem, którym stawiasz czoła, przyjrzymy się bliżej dostawcom, omówimy też Twoje projekty IT. Jesteśmy po to, aby Ci pomóc.
Michał Kwiatkowski
Security Architect,
Nomios Poland