SIEM en automatisering

SIEM en automatisering

DearBytesBlogSIEM en automatisering

Een SIEM biedt een schat aan informatie, maar tegelijkertijd ook een berg aan informatie. Honderden miljoenen events op een dag is geen uitzondering voor een SIEM en om deze events allemaal handmatig te doorlopen is een onbegonnen taak. Vergelijk het met het zoeken naar de juiste naald in een gigantisch hoge berg met naalden. Automatisering is dan ook een onderdeel wat hoog op de agenda moet staan van elk SOC en incident response team. Hoe sneller men tot de informatie komt die er toe doet, hoe sneller er actie kan worden ondernomen.

SIEM context

De SIEM moet daarom het SOC (Security Operations Center) en IRT (Incident Response Team) helpen met veelvoorkomende zaken zoals het identificeren van incidenten, verdacht gedrag, maar ook in het onderzoek en de response. Om dit te bewerkstellingen moeten we ervoor zorgen dat we de data in de SIEM correleren met bepaalde context. De data in SIEM komt uit verschillende (en vaak vele) bronnen zoals databases, netwerk devices, servers en applicaties. Laten we een willekeurig event pakken uit de honderden miljoenen events die op een dag binnenkomen:

list vlan106-out permitted udp 70.63.254.57(54473) -> 131.175.61.222(16465), 1 packet

Wat valt er uit dit specifieke event op te maken? Op het eerste gezicht niet veel omdat we context missen tot hetgeen we bekijken. Echter zijn er wel een hoop vragen die we onszelf kunnen stellen:

  • Is dit legitiem verkeer? Is de business hiervan afhankelijk?
  • Welke kant gaat het verkeer op? (Van intern naar extern? Extern naar intern? Of intern naar intern?)
  • Had dit moeten worden geblokkeerd in plaats van doorgelaten?
  • Is het 131.175.61.222 ip adres een “known bad actor”?
  • Wat doet dit IP-adres nog meer in mijn omgeving of de buitenwereld?
  • Zijn er nog meer van dit soort events?
  • Waar worden de poorten voor gebruikt?
  • Matchen de poorten wel met het UDP protocol?
  • Zijn deze IP-adressen kwetsbaar voor een bepaalde service op de betreffende poorten?
  • Betreffen dit kritieke IP-adressen in mijn netwerk?
  • Waar staan deze machines in mijn netwerk en horen deze wel in mijn netwerk?

Om al deze vragen te kunnen beantwoorden moeten we de event data in SIEM verrijken met context.

siem figuur

Deze context kan in verschillende vormen worden aangeleverd. Denk aan interne/externe threat intelligence zoals een known bad IP-lijst of verdachte bestanden/URLS/Afzenders. Maar ook zaken als vulnerability data bieden mogelijk context door aan te geven of één van de IP-adressen in een event kwetsbaar is voor een eventuele aanval. Ook zaken als gebruikersinformatie (locatie/volledige naam, telefoonnummer) en asset informatie (hoe kritiek is een systeem) kunnen mij context bieden.

Elke moderne SIEM biedt tegenwoordig de mogelijkheid om dit soort data te koppelen of te importeren en zo te gebruiken als context voor event data.

SIEM correlatie

De volgende stap voor onze automatisering is dat deze event data moet worden gecorreleerd met de context. De SIEM kan geautomatiseerd, continue diepgaande correlatie uitvoeren op de zaken die wij hebben aangeven zoals slecht of verdacht gedrag. Het schrijven van regels is hiervoor nodig en de beste aanpak is ons use case proces om zorg te dragen dat de risico’s van de organisatie zo goed mogelijk af te vangen zijn in use cases en correlatieregels.
We kunnen echter niet alleen op correlatieregels leven in een SIEM omgeving. Met correlatieregels vangen we alleen af wat wij al hebben aangegeven als slecht of verdacht. Maar er kunnen voldoende events zijn waarvan het risico nog niet bekend was. Hiervoor is een stuk “hunting” vereist waarbij een SOC/IRT actief op onderzoek gaat in de SIEM naar verdachte events.

Hunting

Dit proces kan ook voor een gedeelte worden geautomatiseerd. De SIEM kan zogenaamde baselines monitoren en aangeven wanneer een bepaald event opeens boven de baseline zit. Stel dat het normaal is dat een bepaalde gebruiker een paar keer per dag op internet zit en verschillende websites bezoekt. Niets aan de hand. Maar wat als deze gebruiker opeens veel meer data naar buiten stuurt dan normaal? Met de SIEM willen we snel kunnen zien wat er naar buiten gaat, door wie en hoeveel. Via views en dashboards geven we een SOC/IRT snel en geautomatiseerd inzicht in de hoeveelheid verzonden bytes. Door baselines zien we ook snel of dit binnen of buiten het verwachte patroon valt en richting welke website dit gaat. Verhoogd verkeer naar een nieuwssite is niet vreemd als er een belangrijk nieuwsitem is, maar verhoogd verkeer naar een cloud storage omgeving is mogelijk wel verdacht of zelfs niet conform beleid.

Een goede inrichting van views en dashboards kan een SOC/IRT enorm helpen in het vinden van verdachte events en dit sneller verder onderzoeken. Bij een implementatie moet daarom goed worden nagedacht over hoe een hunter met de SIEM moet werken en waar de meest spannende events te vinden zijn.

McAfee SIEM

look around feature ESMAls een correlatieregel is afgegaan of een hunter heeft een interessant event gevonden, dan is verder onderzoek nodig. Wat is er nog meer bekend van de gebruiker, IP-adres of applicatie? De McAfee SIEM biedt de zogenaamde “Look Around” feature waarmee een onderzoeker snel inzicht krijgt in wat een IP-adres, gebruiker en/of applicatie nog meer heeft gedaan in het netwerk. Deze Look Around feature automatiseert het zoeken naar andere gerelateerde events en brengt op deze manier eventuele andere (gerelateerde) events in kaart. De McAfee SIEM kent ook de optie om IP-details te bekijken. Stel, we zien opeens een systeem een connectie maken naar een IP-adres wat zich in China bevindt. Er worden geen zaken gedaan met China. Wat je dan wilt weten is wat dit specifieke adres is. Communicatie naar China hoeft niet slecht te zijn, maar we hebben de context nodig om dit oordeel te vellen. De McAfee SIEM toont (op verzoek) automatisch de IP-details. Hierbij worden de whois gegevens getoond en de Threat Intelligence die op dat moment bekend is. Maar ook of een IP-adres op een bepaalde blacklist staat, voor hoelang en wanneer deze erop is gezet. Zo kan een SOC/IRT snel een beeld vormen of we met verdacht verkeer te maken hebben en dus mogelijk een infectie of inbraak in het netwerk.

Ook kunnen we helpen met de SIEM het SOC/IRT om versneld response door externe commando’s aan te bieden. Als bekend is dat een IP-adres verdacht gedrag vertoont of als er gigantisch veel data het netwerk verlaat, dan willen we zo snel mogelijk actie ondernemen. Via remote commando’s in de SIEM is het mogelijk externe applicaties aan te spreken en via APIs acties uit te voeren om zo direct (bijvoorbeeld) een IP-adres op een blacklist van de firewall of IPS te zetten. We kunnen een intern systeem direct in quarantaine zetten zodat verdere verspreiding onmogelijk wordt. Door deze remote commando’s te automatiseren wordt response vele malen sneller en blijft diefstal van data of verspreiding van malware beperkt.

De volgende evolutionaire stap in automatisering in SIEM is om de SIEM zelf te laten hunten naar nieuwe events en vreemd of verdacht gedrag. Op basis hiervan kan de SIEM dan zelf regels aanmaken om dit gedrag continu te monitoren, het SOC te alarmeren en eventueel al zelf actie te ondernemen. Deze stap is op dit moment nog niet te maken in SIEM, maar ontwikkelingen staan niet stil en over een aantal jaar zal Machine Learning dé manier zijn waarop we een SIEM bedienen. Namelijk volledig geautomatiseerd.