SIEM

Jaki system klasy SIEM wybrać?

Michał Kwiatkowski
Placeholder for Michał KwiatkowskiMichał Kwiatkowski

Michał Kwiatkowski, Security Architect

Do przeczytania w 8 min.
Placeholder for Wybór siemWybór siem

Share

Tym razem zastanowimy się jakie aspekty warto wziąć pod uwagę dokonując wyboru konkretnego rozwiązania klasy SIEM.

Jednym z pierwszych punktów jest liczba natywnie obsługiwanych źródeł logów. Dlaczego punkt ten jest tak istotny? Dużą część wdrożenia pochłania przygotowanie reguł parsujących dla logów pochodzących z podłączonych do systemu źródeł. Załóżmy, że w trakcie wdrożenia planujemy podłączyć 50 różnego rodzajów źródeł, ale wybrany przez nas system SIEM oferuje wsparcie tylko dla połowy z nich. Przyjmijmy, że 1 źródło wymaga napisania 15 nowych reguł parsujących, a na każdą regułę potrzebujemy około 1 godziny – sumarycznie na napisanie 375 dodatkowych parserów potrzebujemy więc 375 godzin, czyli blisko 47 roboczodni.

Liczba natywnie wspieranych systemów (źródeł logów)

McAfee ESM oferuje wsparcie dla ponad 460 produktów pochodzących od 211 różnych producentów, posiada on również natywne wsparcie dla 17 skanerów bezpieczeństwa – to wszystko daje ponad 80 tysięcy wbudowanych i gotowych do zastosowania reguł parsujących (stan na dzień 10.05.2021).

Placeholder for Mk 2 1Mk 2 1

Pełna lista wspieranych systemów dostępna jest tutaj.

Konsola zarządzająca – intuicyjność przeszukiwania logów

Kolejnym istotnym punktem jest intuicyjność systemu, a zwłaszcza jego konsoli zarządzającej – może ona znacząco podnieść efektywność systemu i znacząco usprawnić pracę użytkowników, oczywiście może ją również znacząco utrudnić i sprawić by nawet najbardziej podstawowe zadania zajmowały zbyt dużo czasu. Dużą część pracy użytkowników systemu, pochłania analiza zebranych zdarzeń, wychwytywanie szczegółów incydentów oraz wzbogacanie ich o dodatkowe informacje, warto więc przyjrzeć się temu jakie możliwości w tym zakresie oferuje dane rozwiązanie.

W przypadku McAfee ESM, przynajmniej kilka cech zasługuje na większą uwagę. System ten oferuje możliwość płynnego przechodzenia z jednego pola znormalizowanego na inne, jest to tzw. mechanizm drill down. Przykładowo, jeśli analitycy weryfikują zdarzenia mówiące o próbie logowania użytkowników i chcieliby szybko wyświetlić status wspomnianych logowań, wystarczy, że wybiorą daną grupę zdarzeń oraz wskażą odpowiednie pole, na które system następnie wykona drill down – w tym przypadku, jest to pole Event Subtype:

Placeholder for Mk2 2Mk2 2

W rezultacie wyświetlone zostaną dwa monitory – pierwszy z nich jest tym z którego wykonano drill down, drugim jest monitor prezentujący informacje o poszukiwanym statusie logowania:

Placeholder for Mk2 3Mk2 3

Jeżeli, w kolejnym kroku analityk będzie chciał wyświetlić konta użytkowników, dla których zaraportowany został status failure wystarczy, że zaznaczy grupę zdarzeń o statusie failure a następnie wykona drill down na pole Source Users:

Placeholder for Mk2 4Mk2 4

W rezultacie, do bieżącego widoku dodany zostanie monitor zawierający konta użytkowników:

Placeholder for Mk2 5Mk2 5

Tak utworzony widok może zostać wzbogacany o kolejne, bardziej zaawansowane lub szczegółowe monitory. Co istotne, mechanizm drill down powoduje również powiązanie monitora wynikowego ze źródłowym, dzięki czemu zmiana wyboru wartości w monitorze źródłowym powoduje automatyczne odświeżenie wartości prezentowanych w monitorze wynikowym.

Placeholder for Mk2 6Mk2 6

Ostateczny widok może zostać zapisany i wykorzystany w późniejszym czasie, może on również zostać udostępniony innym użytkownikom systemu.

Czasochłonność konfiguracji oraz utrzymywania systemu

Wybierając dane rozwiązanie, warto również przyjrzeć się temu jak wyglądają aspekty konfiguracji oraz bieżącego utrzymania systemu, mowa między innymi o tym jakie możliwości oferuje system w kontekście następujących zadań:

  • Dodawanie nowych źródeł:

Czy istnieje możliwość automatyzacji lub hurtowego importu źródeł logów?
Czy w przypadku rozwiązania agentowego producent dostarcza również narzędzie umożliwiające zarządzanie agentem?

  • Tworzenie reguł parsujących:

Czy oferowane rozwiązanie posiada wbudowane mechanizmy umożliwiające tworzenie reguł parsujących?
W jaki sposób opisywane są wzorce tekstu oraz czy możliwa jest ingerencja operatora w proces dopasowania?

  • Tworzenie reguł korelacyjnych:

Czy oferowane rozwiązanie posiada wbudowane mechanizmy umożliwiające tworzenie reguł korelacyjnych?
Czy tworzenie reguł korelacyjnych wymaga od operatorów dodatkowych umiejętności programistycznych?

Jak prezentuje się system SIEM od firmy McAfee w konfrontacji z powyższymi punktami?

Dodawanie nowych źródeł:

Oprócz ręcznego tworzenia źródeł, McAfee ESM umożliwia również import źródeł z pliku CSV, możliwe jest także automatyczne dodawanie źródeł na podstawie wysyłanych przez nie logów – jest to tzw. mechanizm autolearn:

Placeholder for Mk2 7Mk2 7

Kolejną metodą umożliwiającą dodanie źródeł w systemie McAfee ESM jest wykorzystanie API oraz metod: dsAddDataSource, dsAddDataSourceList.

Dodatkowo, w przypadku źródeł, dla których bardziej zasadne wydaje się być wykorzystanie rozwiązania agentowego – przykładowo dla stacji roboczych, istnieje możliwość skorzystania z konsoli McAfee ePolicy Orchestrator (ePO), ponieważ licencja na rozwiązanie McAfee ESM zawiera również licencję na system McAfee ePO.

Tworzenie reguł parsujących

McAfee ESM posiada wbudowany kreator usprawniający proces tworzenia reguł parsujących. Zaimplementowany w system mechanizm wykorzystuje wyrażenia regularne zgodne ze składnią PCRE (Perl Compatible Regular Expressions). Przygotowanie własnej reguły parsującej wymaga od administratora systemu, wypełnienia raptem czterech zakładek kreatora:

W pierwszej zakładce należy uzupełnić nazwę reguły, jej istotność oraz kategorię zdarzenia.

Placeholder for Mk2 8Mk2 8

Druga zakładka odpowiedzialna jest za właściwe parsowanie, należy w niej uzupełnić wyrażenie regularne opisujące wskazany pakiet. W przypadku gdy pakiet, zawiera znaczniki informujące o nazwie pól dla których przekazywane są wartości – przykładowo dla formatów: JSON, XML, CEF, nie jest konieczne uzupełnianie wyrażenia regularnego, system na podstawie składni logu i zawartych w nim znaczników automatycznie wyodrębni dane zawarte w pakiecie:

Placeholder for Mk2 9Mk2 9

Trzecia zakładka odpowiedzialna jest za normalizację zdarzeń, następuje w niej przypisanie wartości wydobytych z logu do pól znormalizowanych, które są wbudowane w system:

Placeholder for Mk2 10Mk2 10

Ostatnia zakładka jest opcjonalna, umożliwia ona doprecyzowanie formatu daty zawartej w pakiecie. Ponadto, w tym miejscu istnieje również możliwość określenia ciągu znaków informujących o efekcie zdarzenia zawartego w logu – przykładowo czy logowanie użytkownika zakończyło się powodzeniem. Istnieje również możliwość uzależnienia istotności zdarzenia od informacji zawartych w pakiecie:

Placeholder for Mk2 11Mk2 11

Tworzenie reguł korelacyjnych

Analogicznie do reguł parsujących, system posiada wbudowany kreator umożliwiający utworzenie reguł korelacyjnych. Kreator ten wykorzystuje filtry oraz bramki logiczne, dzięki czemu przygotowanie reguły jest procesem bardzo intuicyjnym:

Placeholder for Mk 12Mk 12

Integracje natywne

Przy doborze systemu SIEM warto zwrócić również uwagę na to jakie możliwości integracyjne oferuje dane rozwiązanie - czy oprócz zbierania logów istnieje możliwość wywołania określonej akcji w innym systemie bezpieczeństwa?

Firma McAfee ma w swoim portfolio ponad 50 różnych produktów. Są to między innymi systemy: IPS, AV, EDR, Web Proxy, DLP, Sandbox i co najważniejsze, dla większości z nich zapewniona jest natywna integracja, rozszerzająca możliwości wykorzystywanych systemów:

  • McAfee ePolicy Orchestrator (ePO) – konsola zarządzająca dla produktów klasy endpoint.
    Użytkownik systemu McAfee ESM ma możliwość przypisywania znaczników do obiektów, które są zarządzane przez ePO. Nadanie znacznika może wywołać konkretną akcję, np. zmienić politykę wskazanego produktu McAfee lub uruchomić zdefiniowany wcześniej skrypt.
  • McAfee Active Response (MAR) – system klasy EDR. Dzięki integracji obu produktów, administrator systemu SIEM ma możliwość wywoływania zdefiniowanych w systemie Active Response na stacje oraz zbieranie wyników do watchlist na potrzeby tworzenia reguł korelacyjnych oraz filtrowania i raportowania w systemie ESM.
  • McAfee Threat Intelligence Exchange (TIE) – lokalna baza reputacji. Integracja natywna umożliwia pobranie informacji o sumach kontrolnych plików wykonywalnych, uruchamianych na zarządzanych stacjach, a następnie wykorzystanie tych informacji w korelacjach.
  • McAfee Advanced Threat Defense (ATD) - system klasy Sandbox. Dzięki integracji z systemem McAfee ATD, możliwe jest automatyczne pobranie wskaźników kompromitacji (IoC) oraz przeszukanie logów zgromadzonych w systemie SIEM w kontekście informacji zawartych w IOC.
  • McAfee Network Security Platform (NSP) – sieciowy system klasy IPS. Integracja z systemem McAfee NSP umożliwia przekazywania wskazanych adresów IP do kwarantanny. Blokada komunikacyjna definiowana jest na określony czas – od 15 minut do blokady permanentnej

Możliwość integracji z systemami firm trzecich

Przed kilkoma laty, firma McAfee założyła technologiczny program partnerski - Security Innovation Alliance (SIA). Głównym założeniem tego programu było uproszczenie integracji systemów bezpieczeństwa pochodzących od różnych producentów w celu skrócenia czasu wykrywania i reagowania na ukierunkowane ataki. Obecnie w skład programu SIA wchodzi ponad 100 producentów.

Lista producentów wraz z opisem integracji dostępna jest pod adresem:

Tutaj

Przykładowa integracja pomiędzy systemem McAfee ESM oraz systemem klasy SOAR (Security Orchestration, Automation And Response) firmy DFLabs umożliwia:

  • automatyczne pobieranie informacji o wygenerowanych alarmach,
  • pobranie surowych logów dotyczących danego zdarzenia (jako wzbogacenie informacji),
  • pobranie listy watchlist utworzonych w systemie McAfee ESM (jako wzbogacenie informacji),
  • pobranie szczegółów zdarzeń wywołujących incydent - regułę korelacyjną (jako wzbogacenie informacji),
  • przeszukiwanie zdarzeń (jako wzbogacenie informacji),
  • zatwierdzanie alarmów (jako wywołanie akcji w systemie SIEM),
  • dodawanie nowych wartości do istniejących watchlist - celem optymalizacji reguł korelacyjnych (wywołanie akcji w systemie SIEM),
  • usuwanie wartości z istniejących watchlist - celem optymalizacji reguł korelacyjnych (jako wywołanie akcji w systemie SIEM).
Placeholder for Mk2 13Mk2 13

Serwis reputacyjny producenta oraz możliwość integracji z innymi, w tym również darmowymi serwisami reputacyjnymi.

Wybierając system SIEM warto również zweryfikować, czy producent systemu udostępnia własne serwisy typu Threat Intelligence, a jeśli nie to, czy dany system zapewnia możliwość integracji z serwisami reputacji, choćby darmowymi.

Serwis reputacyjny McAfee GTI (Global Threat Intelligence) gromadzi i przetwarza dane z setek tysięcy źródeł rozsianych po całym świecie. Na jakość informacji mają wpływ, zarówno dane pozyskiwane z pasywnych systemów typu honey pot, jak i informacje o wykrytych atakach, przekazywane przez produkty bezpieczeństwa McAfee, pracujące w realnych środowiskach produkcyjnych. Przykładowo, wykryty przez McAfee NSP atak z określonego adresu IP powoduje obniżenie reputacji i podniesienie poziomu ryzyka związanego z tym konkretnym adresem.

Informacje z GTI mogą być uwzględniane w regułach korelacyjnych, zwiększając prawdopodobieństwo wykrycia incydentów. Jest to niezwykle cenne uzupełnienie analizy przeprowadzanej przez system SIEM.

McAfee ESM udostępnia również możliwość skorzystania z darmowych serwisów reputacji. Dzięki wykorzystaniu dynamicznych Watchlist, możliwe jest pobranie danych przy wykorzystaniu protokołu http/https, natomiast dzięki mechanizmowi Therat Feads możliwe skorzystanie z TAXII (Trusted Automated Exchange of Intelligence Information) celem pobrania wskaźników zapisanych w IOC (Indicator Of Compromise):

Placeholder for Mk2 14Mk2 14

Zasady licencjonowania

Ostatnim punktem, ale oczywiście bardzo istotnym, są zasady licencjonowania danego systemu. Czy licencja bazuje na ilości danych wysyłanych do systemu, czy pod uwagę brana jest również liczba zdefiniowanych źródeł bądź liczba systemów/serwerów, które działają w naszej infrastrukturze?

W przypadku rozwiązania McAfee ESM, licencjonowanie bazuje na parametrach i wydajności danej maszyny: fizycznej bądź wirtualnej. Producent, na podstawie uśrednionego poziomu złożoności logów, szacuje poziom EPS (Event Per Second), czyli zdarzeń na sekundę, które powinny być na bieżąco parsowane przez daną maszynę. Warto jeszcze wspomnieć o tym, że w przypadku przekroczenia zakładanego poziomu zdarzeń określonych w parametrach maszyny, wszelkie nadmiarowe dane nie zostaną odrzucone, lecz czasowo zbuforowane i przetworzone przez system w późniejszym czasie. McAfee ESM nie posiada również żadnych licencyjnych ograniczeń dotyczących liczby zdefiniowanych źródeł logów czy systemów (asset’ów) uruchomionych w infrastrukturze.

Eksperci ds. bezpieczeństwaPotrzebujesz konsultacji eksperta?

Zapraszamy na krótką rozmowę lub wideokonferencję. Skontaktuj się z nami – porozmawiamy o wyzwaniach związanych z bezpieczeństwem, którym stawiasz czoła, przyjrzymy się bliżej dostawcom, omówimy też Twoje projekty IT. Jesteśmy po to, aby Ci pomóc.

Placeholder for Michał KwiatkowskiMichał Kwiatkowski

Michał Kwiatkowski

Security Architect,
Nomios Poland

Więcej aktualizacji