SIEM Betrieb im SOC Strategien zur Erkennung und Reaktion auf Cyber-Sicherheitsvorfälle, Alexander Koderman, verinice.XP 2019
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
SIEM Betrieb im SOC
Strategien zur Erkennung
und
Reaktion auf Cyber-Sicherheitsvorfälle,
Alexander Koderman, verinice.XP 2019
87% aller Cyber-Angriffe finden innerhalb weniger Minuten
statt.
(Quelle: Verizon Data Breach Investigations Report 2018)
3% aller Cyber-Angriffe werden innerhalb weniger Minuten
erkannt.
68% aller Cyber-Angriffe werden erst nach einigen Monaten
aufgedeckt.
SIEM: Security Information and Event Monitoring (Quelle: Splunk Inc.)
Was ist das teuerste Element im Betrieb eines SIEM?
Let’s talk about Basisratenfehler
(Base Rate Fallacy)
1 echter Angriff
10.000 Harmlose Ereignisse
1% 100%
SIEM
False positive True positive
101 Ereignisse
SIEM Betrieb im SOC
Inhalt
SOC, CERT, CSIRT, SIEM und co.
Ein paar Begriffsdefinitionen.
Datenquellen
Klassifikation von Datenquellen und Sensoren.
Vantage Risk und andere Fallstrippen.
Misserfolgsfaktoren
Wie kann ich sicher stellen, dass mein SIEM Projekt garantiert
auf spektakuläre Weise fehlschlägt?
Use Cases
Auswertungsregeln, Reporting und Alerts.
SIEM Prozesse
Notwendige Aufbau- und Ablauforganisation für den SIEM-
Betrieb
Kosten
Was ist für Ramp-Up und Betrieb zu berücksichtigen?
SIEM Betrieb im SOC
Alexander Koderman, verinice.XP 2019. All views and opinions are my own. 10SOC, CERT, CSIRT, SIEM und Co.
Eine paar Begriffsdefinitionen
SIEM
Log Monitoring
Security Information and
Sammlung und
Event Monitoring:
Auswertung,
Aggregation, Korrelation
Benachrichtigung
von Logfiles und anderen
Datenquellen. Auswertung
und Benachrichtigung.
Log Management
Konfiguration, Homogenität,
Sammlung und Speicherung PAM
Privileged Access
Management:
Überwachung und Freigabe
administrativer /
privilegierter Zugriffe
11SOC, CERT, CSIRT, SIEM und Co.
Eine paar Begriffsdefinitionen
SOC (Bedeutung 2)
SOC (Bedeutung 1) Security Operating Center:
Einheit in einer Organisation, welche
Security Operating Center:
sicherheitskritische Infrastruktur überwacht und auf
Einheit in einer großen Organisation, welche die
Sicherheitsereignisse angemessen reagieren kann.
Funktionen anderer Bereiche spiegelt, um schnell
21%
auf Sicherheitsereignisse reagieren zu können.
23%
CERT CSIRT
Computer emergency response team: Computer Security Incident Response Team:
Einheit in einer Organisation zur Markenrechtlich nicht geschützter Oberbegriff für
Sicherheitsvorfallbehandlung und –vorbeugung. CERTs.
19%
Trademark der Carnegie Mellon University.
12Klassifikation von Datenquellen
(Michael Collins: Network Security Through Data Analysis, 2nd Edition)
01 02 03 04
Vantage Domain Action Validity
Platzierung im Netzwerk. Die Informationsebene des Wie liefert / manipuliert der Ergebnis der vorherigen
Unterschiedliche Sichten auf Sensors / der Datenquelle. Sensor ein Ereignis? Attribute: Gültigkeit der
dasselbe Ereignis. Bewertung des Ereignisses.
SIEM Betrieb im SOC
Alexander Koderman, verinice.XP 2019, All views and opinions are my own. 13Klassifikation von Datenquellen
(Michael Collins: Network Security Through Data Analysis, 2nd Edition)
Internal Network placement
Validity
External
Vantage Network Segregation
Statistical / Model Vantage risks
Source
Network
Report
Application
Domain
Action Create event
Host / Active
Control
Vantage Risks: Identity, Causality, Aggregation, Consistency, Encryption
14Misserfolgsfaktoren
Wie garantiere ich das Scheitern meines SIEM-Projekts?
• Nur Application-Logs (nur OS-Logs / nur DB-Logs / …)
• Unterschiedliche Timestamps
• Unterschiedliches Logformat
• Weniger ist mehr !
• Oder: LOG_LEVEL_DEBUG_VERBOSITY_VERY_VERBOSE
Log Management
SIEM Betrieb im SOC
Alexander Koderman, verinice.XP 2019. All views and opinions are my own. 15Misserfolgsfaktoren
Wie garantiere ich das Scheitern meines SIEM-Projekts?
• AD-Updates / Logon / Logoff nicht auswerten!
• Kein Session Manager, kein Session Monitor.
• Sende 30.000 “sudo” Aufrufe pro Tag zur Verifikation an den
Prozesseigentümer!
Privileged Access Management
Source: https://security-architect.com/privileged-account-management-pam-is-very-important-but-deploying-it-stinks/
SIEM Betrieb im SOC
Alexander Koderman, verinice.XP 2019. All views and opinions are my own. 16Misserfolgsfaktoren
Wie garantiere ich das Scheitern meines SIEM-Projekts?
• Betrieb einer Anwendung auf möglichst viele Dienstleister verteilen!
• Uneinheitliche Leistungsebene: OS, DB, Applikation, Netz…
• Keine Inventarisierung, keine Netzpläne pflegen.
• Multi-Cloud!
• (Ohne Governance, ohne Referenzarchitektur, ohne ISO 27017.)
Outsourcing
Source: https://security-architect.com/privileged-account-management-pam-is-very-important-but-deploying-it-stinks/
SIEM Betrieb im SOC
Alexander Koderman, verinice.XP 2019. All views and opinions are my own. 17Misserfolgsfaktoren
Wie garantiere ich das Scheitern meines SIEM-Projekts?
• Das Tool bringt ja Auswertungsregeln mit.
• Davon ausgehen, dass die auf die vorhandenen Datenquellen passen.
• Kein Konzept für die Use Cases erstellen.
• Die Business Owner müssen wir damit nicht belasten.
• Versionskontrolle auf den Abfragen ist nicht nötig.
Use Cases
Source: https://security-architect.com/privileged-account-management-pam-is-very-important-but-deploying-it-stinks/
SIEM Betrieb im SOC
Alexander Koderman, verinice.XP 2019. All views and opinions are my own. 18Use Cases
Auswertungsregeln
s
me
t
ent
rea
e & Ti
l
Inte
Id
g
blin
r Th
tion
Graphs
Fum
eat
Volum
lica
de
Thr
App
Insi
Fumbling
• Misconfiguration, Automation, Scanning
• Lookup Failures
• IP Fumbling (Dark Space / Spread)
• TCP Fumbling: Failed Sessions
• Also ICMP, HTTP, SMTP, DNS
19Use Cases
Auswertungsregeln
s
me
t
ent
rea
e & Ti
l
Inte
Id
g
blin
r Th
tion
Graphs
Fum
eat
Volum
lica
de
Thr
App
Insi
Volume & Time
• Beaconing
• File Extraction, File Transfer, Raiding
• DDoS, Flash Crowd, Cable Cuts
20Use Cases
Auswertungsregeln
s
me
t
ent
rea
e & Ti
l
Inte
Id
g
blin
r Th
tion
Graphs
Fum
eat
Volum
lica
de
Thr
App
Insi
Threat Intelligence
• Network repudiation information
• IoCs
• TTPs
21Use Cases
Abbildung auf Compliance-Vorgaben
Quelle: Shoogee GmbH, http://www.shoogee.com/de/it-consulting.html#siem
22Use Cases
Monitoring Rules vs. Alerting Rules
23Das Anti-Inventory
Die dunkle Materie des IT-Betriebs
s
oxie
Unkn Pr
own ev.
h r
os t s T,
NA
VPN
Service o
n unus u
ic
al port Dyn. addresses
af f
Tr
Clients r
unning a
ind
s server
s Clien
ts
Bl
IDS/IPS
U nm & Se cture
onito
red r
o rvers In f rastru
ut e s i n g
Block
Asym Firewalls / ACLs
Dark IP Space
metri A nt i
cs ession -M a
s lwar
e
Router interfaces
Updates IPs gone dark
New service
on client
New
h ost
s
24SIEM Prozesse
Tätigkeiten für das SOC-Team
Escalation
Hardening
Hunting
Sector
25SIEM Prozesse
Escalation (vergl. NIST 800-61)
Tier 1
Pick event from SIEM
Yes
False positive?
No
TTP Process and report Escalate
Tier 2
Receives event
Process and report Remediate Reconfigure Escalate
...
Tier N
Receives event
Quelle: Michael Collins: Network Security Through Data Analysis, 2nd Edition 26SIEM Prozesse
Hunting
Analyst forms
Data recorded in SIEM
hypothesis
Analyst pulls data to test
Hypothesis rejected Hypothesis confirmed
Analyst develops TTP
TTP
Future analysists
apply TTP
Quelle: Michael Collins: Network Security Through Data Analysis, 2nd Edition 27SIEM Prozesse
Hardening
Analyst receives Repository records assets
warning/IOC
Analysist inventories
network for assets
Asset evaluated
For vulnerability
Vulnerable and
Not vulnerable Not remediable
remediable
Develop workaround
Mark as safe Develop triage list
(Firewall/lock/remove)
Remediate
Mark for strategy
And harden
Quelle: Michael Collins: Network Security Through Data Analysis, 2nd Edition 28Zurück zum Basisratenfehler
Und zur Auflösung der Frage
1 echter Angriff
10.000 Harmlose Ereignisse
1% 100%
SIEM
False positive True positive
101 Ereignisse
Kontinuierliche Auswertung durch AnalystenSIEM Kosten
Für Ramp-Up Projekt und Betrieb
Professional Services
Hardware PoC, Sizing, Installation, Konfiguration,
SIEM Server, Appliance oder Cloud Erhebung und Umsetzung von Use Cases,
Service. Änderungen an Log-Konfiguration …
Storage: z.B. 0,2-30GB täglich pro
Anwendung.
Feeds
Retention 6 Monate: 36-5400GB, TTPs, IOAs, IOCs, vulnerabilities, network
Throughput: EPS: 3 (Windows Server) – repudiation, cloud audit trails…
30 (Netflow/IPFIX)
Software
SIEM-Lizenz und jährliche Maintenance.
Personal
SIEM Analysten:
Junior Lvl: 10-15 Events/Stunde (Escalation)
Senior Lvl: 1-0,05 Events/Stunde (Hunting)
30Software-Kosten
z.B. Splunk perpetual vs. annual license (Quelle: Splunk, März 2017)
31Sie können auch lesen
