SIEM: datakwaliteit belangrijker dan kwantiteit

SIEM: datakwaliteit belangrijker dan kwantiteit

DearBytesBlogSIEM: datakwaliteit belangrijker dan kwantiteit

SIEM DashboardIn de wereld van SIEM zijn er twee benaderingen om gerichte informatie uit SIEM te krijgen. De eerste is bottom-up: we plaatsen zo veel mogelijk data van zo veel mogelijk systemen in SIEM en halen daaruit informatie waarmee we kunnen werken. De andere is top-down: we vragen ons eerst af over welke zaken we informatie willen achterhalen en zorgen er vervolgens voor dat die data correct in SIEM terechtkomt. Beide benaderingen hebben hun voor- en nadelen en in de echte wereld komt het vaak neer op een mix van de twee.

Bij kwantiteit is de benadering bottom-up: we plaatsen zo veel mogelijk data van zo veel mogelijk systemen in SIEM en halen daaruit informatie waarmee we kunnen werken. Bij datakwaliteit is de benadering top-down: we vragen ons eerst af over welke zaken we informatie willen achterhalen en zorgen er vervolgens voor dat die data correct in SIEM terechtkomt.

Voor use cases moet bekend zijn welke data nodig is; datakwaliteit. Tevens moet duidelijk zijn vanaf welke systemen deze data moet worden opgehaald. Een analist wil echter een zo compleet mogelijk plaatje hebben van het netwerk en alle bijbehorende logs; datakwantiteit. Dit betekent dat we een hybride benadering moeten hanteren voor de import van data in SIEM. Hierbij is het wel belangrijk om te beseffen dat kwaliteit van data uiteindelijk altijd belangrijker is dan kwantiteit.

Hybride benadering data-aansluiting SIEM

De hybride benadering houdt in dat we twee uitgangspunten hebben voor het aansluiten van data in SIEM:

  1. Alle logs van alle systemen, netwerkcomponenten en applicaties centraal verzamelen t.b.v. analyse.
  2. Selectief data verzamelen die benodigd is voor use cases.

Bij punt 1 spreken we over datakwantiteit, punt 2 is datakwaliteit. We willen bij use cases immers zeker weten dat we gealarmeerd worden als een aanvaller of gebruiker een bepaalde vooraf gedefinieerde actie uitvoert. Hiervoor moeten we erop kunnen rekenen dat de inkomende data volledig en correct binnenkomt en dat de data goed wordt verwerkt in de SIEM. Bij een use case implementatie wordt daarom vaak eerst een handvol systemen aangesloten om data te valideren voordat volledige collectie van data plaatsvindt. Bij datakwantiteit is validatie van logs vele malen lastiger. Er komen immers miljoenen events per uur binnen en het is onmogelijk om ieder event op kwaliteit te controleren.

Het probleem van kwantiteit

Het gevolg is dat data incompleet binnenkomt, niet wordt geparset of niet relevant is. In de praktijk heb ik al vaker vernomen dat meer dan 50% van alle logs die binnenkomen in SIEM, niet correct wordt geparset. In eerste instantie lijkt dit alarmerend, maar uit onderzoek blijkt dat een aantal systemen debug of verbose logging aan hebben staan. De SIEM wordt overspoeld met events die vanuit het perspectief van security operations totaal niet relevant zijn. Aangezien dit soort logs voor een SOC niet interessant zijn, willen we deze ook niet zien. Het heeft meestal geen zin om contact op te nemen met de beheerder van het systeem dat de logs heeft gegenereerd: instellingen zijn vanwege procedures niet snel aan te passen, of debug logging moet aanstaan omdat men met een onderzoek bezig is.

Datakwaliteit verhogen met SIEM

Als de SIEM wordt overspoeld met events die vanuit security operations perspectief totaal niet relevant zijn, zit het SOC met de gebakken peren. Het SOC krijgt dan namelijk gigantische hoeveelheden aan informatie voorgeschoteld die in securitycontext niet relevant is.

Mijn advies is: filteren!

Door data in SIEM te filteren kunnen we ervoor zorgen dat alle non-info (vanuit SOC-perspectief) niet meer in SIEM terechtkomt en hierdoor de datakwaliteit verbeterd.

De SIEM van Intel Security kent mogelijkheden om een event te filteren op het moment van binnenkomst op een receiver. Zo wordt voorkomen dat een event moet worden geparset en verwerkt in de database. De SIEM van Intel Security biedt nog wel de mogelijkheid om de ruwe logs voor compliance naar het logmanagementsysteem te sturen. Door onzinnige events goed te filteren zorgen we ervoor dat een SOC alleen securitydata te zien krijgt van alle systemen, apparatuur en applicaties. Dit maakt het valideren van deze logs op kwaliteit vervolgens ook een stuk eenvoudiger.

Datakwaliteit is belangrijker dan kwantiteit.

Geef een SOC alleen de data die toegevoegde waarde heeft en valideer de data die binnenkomt. SIEM is hiervoor het middel en geeft een analist in een SOC meer overzicht. Het resultaat? Werkelijke security-events zijn sneller te vinden.