Post on 21-May-2020
«SOC-Forum» от теории к практике
Классификация событий в SIEM системах
Андрей Суханов
«SOC-Forum»
11 ноября 2015 года 2
Проблема
SIEM:
не логгер
security information and event management
не фильтр ячеек
Заявляется:
Profit:
На деле:
обнаружение атак в контексте организации в режиме реального времени
не совсем так
«SOC-Forum»
11 ноября 2015 года 3
Как хотелось бы
запись запись запись
событие
запись запись Информационные
системы
событие событие событие
атака атака SIEM
Записи журналов регистрации и учета
анализ
классификация
реагирование расследование CIRT
«SOC-Forum»
11 ноября 2015 года 4
Как получается
запись запись запись
запись
запись запись Информационные
системы
запись запись запись
Как-то обработанные записи (с бубном) SIEM
Записи журналов регистрации и учета
Ищем в медленном логгере с усложненными функциями фильтрации
Придумываем классификацию и гадаем над значимостью
#%%%&&!!!!!! CIRT
«SOC-Forum»
11 ноября 2015 года 5
Как говорят…
Гора родила мышь
Автоматизация бардака
«SOC-Forum»
11 ноября 2015 года 6
Security information
нарушитель
СОБЫТИЕ цель
метод
путь
1. Структура
2. Классификация
«SOC-Forum»
11 ноября 2015 года 7
От событий к атакам
Нормализация
Корреляция
Нормализация
«Обогащение»
Классификация
Корреляция
запись
несколько записей
Предлагается:
запись
событие
понятное событие
атака
Необходимо:
«SOC-Forum»
11 ноября 2015 года 8
Стандарты, протоколы, спецификации
IDMEF. Intrusion detection message exchange format
объектно-ориентированная модель для описания событий IDS/IPS обогащение событий и предотвращение противоречивой информации подходит для описания составных событий (корреляция) поддержана в SIEM Prelude Структурирует событие ИБ Не классифицирует событие ИБ
IODEF. Incident object description exchange format
объектно-ориентированная модель для описания инцидента структурирует инцидент ИБ предлагает классификацию событий ИБ (и других объектов)
«SOC-Forum»
11 ноября 2015 года 9
Стандарты, протоколы, спецификации
CAPEC. common attack pattern enumeration and classification
Библиотека атак Классификация атак и методов
«SOC-Forum»
11 ноября 2015 года 10
Стандарты, протоколы, спецификации
«SOC-Forum»
11 ноября 2015 года 11
Стандарты, протоколы, спецификации
STIX. Structured threat information eXpression
проект MITRE (CVE, CWE) всестороннее структурированное описание угрозы
«SOC-Forum»
11 ноября 2015 года 12
В конкретных решениях
ArcSight
CEF в качестве структуры события Behavior – поведение, ассоциированное с событием. Похоже категорию
события Technique – тип события. Похоже на CAPEC В описании CEF формата данные поля в явном виде отсутствуют…
«SOC-Forum»
11 ноября 2015 года 13
Ситуация на рынке
«SOC-Forum»
11 ноября 2015 года 14
Структура события (пример)
Значимость события
Субъект Объект Воздействие
компонент инфраструктуры: IP, hostname
географическая привязка
логические идентификаторы: user ID, e-mail, URL
Обстоятельства субъекта: • внешний/внутренний, • привилегированная УЗ • повышенный уровень риска
Обстоятельства объекта: • наличие уязвимостей • привилегированная УЗ • технологическая УЗ
компонент инфраструктуры: IP, hostname
логические идентификаторы: user ID, e-mail
классификатор объекта: (тип оборудования, тип ПО, наименование ПО),
Критичность объекта
географическая привязка
источник информации
сигнатура и описание действия
успешность действия
количество повторений
время возникновения, продолжительность
Тип события
дополнительные идентификаторы воздействия
оценка критичности действия от источника
«SOC-Forum»
11 ноября 2015 года 15
Классификация событий (пример)
16 групп событий
Появление критичных уязвимостей
Поиск уязвимых сетевых узлов
Выявление вредоносного кода
Подготовка инструментальных средств
3 фазы
Подготовка
Эксплуатация
Реализация / заметание следов
Остановка сервисов
DDoS атака
Утечка информации
Целевое воздействие на данные
Заметание следов
Появление недоверенного сетевого узла
Эксплуатация уязвимостей
Получение доступа к компонентам систем
Повышение привилегий
Перехват сетевого трафика
Изменение конфигураций
Внесение изменений в работу СЗИ
«SOC-Forum»
11 ноября 2015 года 16
Ожидания от SIEM
Поддержка стандартизированных схем структурирования сущностей ИБ
Реализация механизмов преобразования записей в события «из коробки»
Поддержка стандартизированных классификаторов событий ИБ
Объектно-ориентированная структура данных
«SOC-Forum»
Спасибо за внимание!
Вопросы?
andrei.sukhanov@gmail.com
https://ru.linkedin.com/pub/andrey-sukhanov/1/771/152
17