SOC-Forum · 2017-05-15 · «SOC-Forum» 112 ноября 2015 года Проблема SIEM:...

17
«SOC-Forum» от теории к практике Классификация событий в SIEM системах Андрей Суханов

Transcript of SOC-Forum · 2017-05-15 · «SOC-Forum» 112 ноября 2015 года Проблема SIEM:...

Page 1: SOC-Forum · 2017-05-15 · «SOC-Forum» 112 ноября 2015 года Проблема SIEM: не логгер security information and event management не фильтр ячеек

«SOC-Forum» от теории к практике

Классификация событий в SIEM системах

Андрей Суханов

Page 2: SOC-Forum · 2017-05-15 · «SOC-Forum» 112 ноября 2015 года Проблема SIEM: не логгер security information and event management не фильтр ячеек

«SOC-Forum»

11 ноября 2015 года 2

Проблема

SIEM:

не логгер

security information and event management

не фильтр ячеек

Заявляется:

Profit:

На деле:

обнаружение атак в контексте организации в режиме реального времени

не совсем так

Page 3: SOC-Forum · 2017-05-15 · «SOC-Forum» 112 ноября 2015 года Проблема SIEM: не логгер security information and event management не фильтр ячеек

«SOC-Forum»

11 ноября 2015 года 3

Как хотелось бы

запись запись запись

событие

запись запись Информационные

системы

событие событие событие

атака атака SIEM

Записи журналов регистрации и учета

анализ

классификация

реагирование расследование CIRT

Page 4: SOC-Forum · 2017-05-15 · «SOC-Forum» 112 ноября 2015 года Проблема SIEM: не логгер security information and event management не фильтр ячеек

«SOC-Forum»

11 ноября 2015 года 4

Как получается

запись запись запись

запись

запись запись Информационные

системы

запись запись запись

Как-то обработанные записи (с бубном) SIEM

Записи журналов регистрации и учета

Ищем в медленном логгере с усложненными функциями фильтрации

Придумываем классификацию и гадаем над значимостью

#%%%&&!!!!!! CIRT

Page 5: SOC-Forum · 2017-05-15 · «SOC-Forum» 112 ноября 2015 года Проблема SIEM: не логгер security information and event management не фильтр ячеек

«SOC-Forum»

11 ноября 2015 года 5

Как говорят…

Гора родила мышь

Автоматизация бардака

Page 6: SOC-Forum · 2017-05-15 · «SOC-Forum» 112 ноября 2015 года Проблема SIEM: не логгер security information and event management не фильтр ячеек

«SOC-Forum»

11 ноября 2015 года 6

Security information

нарушитель

СОБЫТИЕ цель

метод

путь

1. Структура

2. Классификация

Page 7: SOC-Forum · 2017-05-15 · «SOC-Forum» 112 ноября 2015 года Проблема SIEM: не логгер security information and event management не фильтр ячеек

«SOC-Forum»

11 ноября 2015 года 7

От событий к атакам

Нормализация

Корреляция

Нормализация

«Обогащение»

Классификация

Корреляция

запись

несколько записей

Предлагается:

запись

событие

понятное событие

атака

Необходимо:

Page 8: SOC-Forum · 2017-05-15 · «SOC-Forum» 112 ноября 2015 года Проблема SIEM: не логгер security information and event management не фильтр ячеек

«SOC-Forum»

11 ноября 2015 года 8

Стандарты, протоколы, спецификации

IDMEF. Intrusion detection message exchange format

объектно-ориентированная модель для описания событий IDS/IPS обогащение событий и предотвращение противоречивой информации подходит для описания составных событий (корреляция) поддержана в SIEM Prelude Структурирует событие ИБ Не классифицирует событие ИБ

IODEF. Incident object description exchange format

объектно-ориентированная модель для описания инцидента структурирует инцидент ИБ предлагает классификацию событий ИБ (и других объектов)

Page 9: SOC-Forum · 2017-05-15 · «SOC-Forum» 112 ноября 2015 года Проблема SIEM: не логгер security information and event management не фильтр ячеек

«SOC-Forum»

11 ноября 2015 года 9

Стандарты, протоколы, спецификации

CAPEC. common attack pattern enumeration and classification

Библиотека атак Классификация атак и методов

Page 10: SOC-Forum · 2017-05-15 · «SOC-Forum» 112 ноября 2015 года Проблема SIEM: не логгер security information and event management не фильтр ячеек

«SOC-Forum»

11 ноября 2015 года 10

Стандарты, протоколы, спецификации

Page 11: SOC-Forum · 2017-05-15 · «SOC-Forum» 112 ноября 2015 года Проблема SIEM: не логгер security information and event management не фильтр ячеек

«SOC-Forum»

11 ноября 2015 года 11

Стандарты, протоколы, спецификации

STIX. Structured threat information eXpression

проект MITRE (CVE, CWE) всестороннее структурированное описание угрозы

Page 12: SOC-Forum · 2017-05-15 · «SOC-Forum» 112 ноября 2015 года Проблема SIEM: не логгер security information and event management не фильтр ячеек

«SOC-Forum»

11 ноября 2015 года 12

В конкретных решениях

ArcSight

CEF в качестве структуры события Behavior – поведение, ассоциированное с событием. Похоже категорию

события Technique – тип события. Похоже на CAPEC В описании CEF формата данные поля в явном виде отсутствуют…

Page 13: SOC-Forum · 2017-05-15 · «SOC-Forum» 112 ноября 2015 года Проблема SIEM: не логгер security information and event management не фильтр ячеек

«SOC-Forum»

11 ноября 2015 года 13

Ситуация на рынке

Page 14: SOC-Forum · 2017-05-15 · «SOC-Forum» 112 ноября 2015 года Проблема SIEM: не логгер security information and event management не фильтр ячеек

«SOC-Forum»

11 ноября 2015 года 14

Структура события (пример)

Значимость события

Субъект Объект Воздействие

компонент инфраструктуры: IP, hostname

географическая привязка

логические идентификаторы: user ID, e-mail, URL

Обстоятельства субъекта: • внешний/внутренний, • привилегированная УЗ • повышенный уровень риска

Обстоятельства объекта: • наличие уязвимостей • привилегированная УЗ • технологическая УЗ

компонент инфраструктуры: IP, hostname

логические идентификаторы: user ID, e-mail

классификатор объекта: (тип оборудования, тип ПО, наименование ПО),

Критичность объекта

географическая привязка

источник информации

сигнатура и описание действия

успешность действия

количество повторений

время возникновения, продолжительность

Тип события

дополнительные идентификаторы воздействия

оценка критичности действия от источника

Page 15: SOC-Forum · 2017-05-15 · «SOC-Forum» 112 ноября 2015 года Проблема SIEM: не логгер security information and event management не фильтр ячеек

«SOC-Forum»

11 ноября 2015 года 15

Классификация событий (пример)

16 групп событий

Появление критичных уязвимостей

Поиск уязвимых сетевых узлов

Выявление вредоносного кода

Подготовка инструментальных средств

3 фазы

Подготовка

Эксплуатация

Реализация / заметание следов

Остановка сервисов

DDoS атака

Утечка информации

Целевое воздействие на данные

Заметание следов

Появление недоверенного сетевого узла

Эксплуатация уязвимостей

Получение доступа к компонентам систем

Повышение привилегий

Перехват сетевого трафика

Изменение конфигураций

Внесение изменений в работу СЗИ

Page 16: SOC-Forum · 2017-05-15 · «SOC-Forum» 112 ноября 2015 года Проблема SIEM: не логгер security information and event management не фильтр ячеек

«SOC-Forum»

11 ноября 2015 года 16

Ожидания от SIEM

Поддержка стандартизированных схем структурирования сущностей ИБ

Реализация механизмов преобразования записей в события «из коробки»

Поддержка стандартизированных классификаторов событий ИБ

Объектно-ориентированная структура данных

Page 17: SOC-Forum · 2017-05-15 · «SOC-Forum» 112 ноября 2015 года Проблема SIEM: не логгер security information and event management не фильтр ячеек

«SOC-Forum»

Спасибо за внимание!

Вопросы?

[email protected]

https://ru.linkedin.com/pub/andrey-sukhanov/1/771/152

17

mailto:[email protected]

Von der Idee Von der Idee üüber die Theorie zur Praxis Von ...€¦ · HUM OPS SOC TEC/SOC OPS/SOC TEC/HUM. Partnerschaftliche Abteilungsführung. Fragebogenerhebung erste Umfrage

Von der Idee Von der Idee üüber die Theorie zur Praxis Von ...€¦ · HUM OPS SOC TEC/SOC OPS/SOC TEC/HUM. Partnerschaftliche Abteilungsführung. Fragebogenerhebung erste Umfrage

BC 44 - Beurer-belarus · 2020-04-20 · • Не нажимайте на клавишу Старт/Стоп , пока манже-та не наложена. 5 • Мы рекомендуем

BC 44 - Beurer-belarus · 2020-04-20 · • Не нажимайте на клавишу Старт/Стоп , пока манже-та не наложена. 5 • Мы рекомендуем

Work-SoC–Entwicklung und Validierung einer Skala zur ... · 153 auf die inkrementelle Validität gegenüber der globalen SoC Skala in einem homogenen 154 Sample von 93 Pfarreisekretärinnen

Work-SoC–Entwicklung und Validierung einer Skala zur ... · 153 auf die inkrementelle Validität gegenüber der globalen SoC Skala in einem homogenen 154 Sample von 93 Pfarreisekretärinnen

AutoVision – eine situationsadaptive SoC Architektur für videobasierte Fahrerassistenzsysteme

AutoVision – eine situationsadaptive SoC Architektur für videobasierte Fahrerassistenzsysteme

ΑΝΑΚΤΗΣΗ ΣΠΕΡΜΑΤΟΖΩΑΡΙΩΝhel-soc-andro.org/files/events/11sunedrio/andreadakis.pdf · • Αδʑναμία εκσπερμάʐισης - άνδρες με κάκʙση

ΑΝΑΚΤΗΣΗ ΣΠΕΡΜΑΤΟΖΩΑΡΙΩΝhel-soc-andro.org/files/events/11sunedrio/andreadakis.pdf · • Αδʑναμία εκσπερμάʐισης - άνδρες με κάκʙση

Schweizerische Gesellschaft für Ernährung SGE - Tipps · 2020. 10. 23. · sge Schweize rische Gesellscha ft ü E näh ung ssn Soc iét u sse de Nutrition ssn Soc ietà v zzera

Schweizerische Gesellschaft für Ernährung SGE - Tipps · 2020. 10. 23. · sge Schweize rische Gesellscha ft ü E näh ung ssn Soc iét u sse de Nutrition ssn Soc ietà v zzera

RUS 3.123userdocs.s3-website-eu-west-1.amazonaws.com/d/73/23/...Если проблема не решилась, посетите сайт для устранения неполадок.

RUS 3.123userdocs.s3-website-eu-west-1.amazonaws.com/d/73/23/...Если проблема не решилась, посетите сайт для устранения неполадок.

Schweizer Lebensmittelpyramide Empfehlungen zum ... · PDF filesge Schwei e rische ese llscha ft ü E nh ung ssn Soc iét u sse de Nutrition ssn Soc ietà v zz era d Nutriione SGE

Schweizer Lebensmittelpyramide Empfehlungen zum ... · PDF filesge Schwei e rische ese llscha ft ü E nh ung ssn Soc iét u sse de Nutrition ssn Soc ietà v zz era d Nutriione SGE

Meldeergebnis - Ruderregatta Sarnersee · 9163 Seeclub Zürich Nyfeler Nicolas 9160 Seeclub Zürich 2 Berchtold Ruben 8712 Soc. Nautique Genève S.Aviron 1 Pozzo Alessandro 8713 Soc.

Meldeergebnis - Ruderregatta Sarnersee · 9163 Seeclub Zürich Nyfeler Nicolas 9160 Seeclub Zürich 2 Berchtold Ruben 8712 Soc. Nautique Genève S.Aviron 1 Pozzo Alessandro 8713 Soc.

Mangiare sano - Schweizerische Gesellschaft für Ernährung · Mangiare sano Frutta e verdura. sge Scheiz e rischeGesellscha ft ü E nh ung ssn Soc iét ussedeNutrition ssn Soc ietà

Mangiare sano - Schweizerische Gesellschaft für Ernährung · Mangiare sano Frutta e verdura. sge Scheiz e rischeGesellscha ft ü E nh ung ssn Soc iét ussedeNutrition ssn Soc ietà

Washing machine · Не опирайтесь на открытый загрузочный люк. mВнимание! Вращающийся барабан не трогать руками

Washing machine · Не опирайтесь на открытый загрузочный люк. mВнимание! Вращающийся барабан не трогать руками

Ernährung bei Hyperurikämie und Gicht Inhalt - sge-ssn.ch · PDF filesge Schweize rische Gesellscha ft ü E näh ung ssn Soc iét u sse de Nutrition ssn Soc ietà v zzera d Nutrizione

Ernährung bei Hyperurikämie und Gicht Inhalt - sge-ssn.ch · PDF filesge Schweize rische Gesellscha ft ü E näh ung ssn Soc iét u sse de Nutrition ssn Soc ietà v zzera d Nutrizione

Gesund essen - sge-ssn.ch · sge Schweize rischeGesellscha ft ü E näh ung ssn Soc iét ussedeNutrition ssn Soc ietà v zzerad Nutrizione SG igerplatz H 3007 Bern T 41 31 385 00

Gesund essen - sge-ssn.ch · sge Schweize rischeGesellscha ft ü E näh ung ssn Soc iét ussedeNutrition ssn Soc ietà v zzerad Nutrizione SG igerplatz H 3007 Bern T 41 31 385 00

Ernährung des Säuglings im ersten Lebensjahr Inhalt · sge Schweize rische Gesellscha ft ü E näh ung ssn Soc iét u sse de Nutrition ssn Soc ietà v zzera d Nutrizione SGE ostfach

Ernährung des Säuglings im ersten Lebensjahr Inhalt · sge Schweize rische Gesellscha ft ü E näh ung ssn Soc iét u sse de Nutrition ssn Soc ietà v zzera d Nutrizione SGE ostfach

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ … · gost.ru) Настоящий стандарт (проект) не может быть воспроизведен,

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ … · gost.ru) Настоящий стандарт (проект) не может быть воспроизведен,

Sense of Coherence (SOC) - arbeitundgesundheit.eu of Coherence-150916.pdf · Sense of Coherence Scale The Sense of Coherence (SOC) Scale is a 29-item, multi-dimensional scale that

Sense of Coherence (SOC) - arbeitundgesundheit.eu of Coherence-150916.pdf · Sense of Coherence Scale The Sense of Coherence (SOC) Scale is a 29-item, multi-dimensional scale that

Einführung soc biz mit rollenspiel

Einführung soc biz mit rollenspiel

Goldschmidt GMMG Studien Heidelberg.final 29.09.2012 · SOC: Musculoskeletal and connective tissue disorders 355 215 * The sum of SAE listed per SOC exceeds the total number of SAEs

Goldschmidt GMMG Studien Heidelberg.final 29.09.2012 · SOC: Musculoskeletal and connective tissue disorders 355 215 * The sum of SAE listed per SOC exceeds the total number of SAEs

Im Gleichgewicht – Informationen zum gesunden Abnehmen ... · sge Schweize rische Gesellscha ft ü E näh ung ssn Soc iét u sse de Nutrition ssn Soc ietà v zzera d Nutrizione

Im Gleichgewicht – Informationen zum gesunden Abnehmen ... · sge Schweize rische Gesellscha ft ü E näh ung ssn Soc iét u sse de Nutrition ssn Soc ietà v zzera d Nutrizione

RUNDBRIEF DER ИНФОРМАЦИОННОЕ ПИСЬМО ЕВРЕЙСКОЙ … внимание на прилагаемый анонс мероприятий. Не упустите

RUNDBRIEF DER ИНФОРМАЦИОННОЕ ПИСЬМО ЕВРЕЙСКОЙ … внимание на прилагаемый анонс мероприятий. Не упустите