SIEM en data sources

SIEM en data sources

DearBytesBlogSIEM en data sources

In mijn blogpost van augustus heb ik de drie speerpunten van SIEM in de organisatie besproken. In deze post vertel ik meer over de data sources (de systemen die informatie leveren aan SIEM) en hoe deze aan te sluiten in SIEM.

Vragen die regelmatig naar voren komen bij klanten die bezig zijn met een SIEM zijn:

  • “Welke systemen moet ik aansluiten op SIEM?”
  • “Naar welke informatie moet ik kijken?”
  • “Wat zijn jullie best practices?”

Het zijn logische vragen in het begin van een SIEM traject. Het antwoord op deze vragen is niet direct te geven. Elke organisatie is immers verschillend. Verschillend in processen, beleid, vereisten, cultuur, technologie, etc.

Het is aan te raden om aan het begin van een SIEM traject te starten met het stellen van vragen zoals:

  • “Wat wil ik met mijn SIEM bereiken?”
  • “Welke informatie wil ik eruit halen?”
  • ”Waarvoor wil ik ’s nachts uit bed worden gebeld?”

Bepaal de SIEM doelen voor aanvang van het SIEM traject. Door het stellen van doelen wordt het in een later stadium een stuk eenvoudiger om te achterhalen welke data sources nodig zijn om deze doelen te behalen.

Zie het als het maken van een gerecht. Zonder vooraf na te denken over het resultaat (wat voor gerecht maken we eigenlijk?) is het selecteren van de juiste ingrediënten een lastig karwei. Mogelijk komt er een goed resultaat uit, maar het resultaat kan ook tegenvallen.

Use Case Proces

Bij DearBytes hebben wij een proces ontwikkeld om op een structurele en controleerbare wijze data sources aan te sluiten. Dit doen wij door middel van Use Cases. Een Use Case is een functioneel, technologie onafhankelijk, uitvoerbaar en rapporteerbaar component van een SIEM. Met een Use Case lossen we een set van wensen en eisen vanuit de organisatie op middels regels, rapporten, alarmen en procedures.

Door eerst te kijken naar de eisen en wensen (Requirements) kan daarna stap voor stap dieper worden ingegaan op welke systemen moeten worden aangesloten (Scope), welke informatie benodigd is (Logic) en hoe eventuele correlatie moet plaatsvinden op deze informatie (Use Case Response). Pas daarna is het effectief om de data sources daadwerkelijk in SIEM toe te voegen omdat dan duidelijk is welke informatie benodigd is en zo controleerbaar is of deze informatie in SIEM komt. Zie onderstaande afbeelding.

siem use case proces

De stappen die hierop volgen gaan over de implementatie van de Use Case (bouwen van regels, rapporten, procedures, etc), validatie van de Use Case en het onderhoud ervan (Maintenance).

Dit noemen we het Use Case proces. Dit proces sluit ook aan op Deming’s Plan-Do-Check-Act:

demings plan do check act

De bovenstaande afbeelding maakt duidelijk dat de eerste vier stappen in het proces alleen gaan over het plannen. Pas halverwege het proces wordt er pas actie ondernomen en worden de data sources aangesloten.

Voorbeeld Use Cases

Een logische vervolgvraag is “Hoe gaat dit proces dan precies in zijn werk?” Hieronder volgt een korte uitleg.

Wanneer een organisatie gaat monitoren op events in SIEM met als doel incidenten en risico’s te detecteren en vervolgens actie te ondernemen, is het belangrijk dat er wordt nagedacht over de risico’s voor de organisatie. Deze risico’s zijn een mogelijke invulling voor Use Cases en dienen vooraf in kaart te worden gebracht. Ook moet worden bepaald wat een acceptabel risico is en wat niet. Ook andere zaken kunnen een mogelijke invulling voor Use Cases zijn, bijvoorbeeld:

  • Beveiligingsbeleid.
  • Compliance (wet en regelgeving).
  • Actuele, globale security dreigingen.
  • Incidenten uit het verleden.

Om de risico’s in kaart te brengen hebben we voor onze klanten een proces ontwikkeld waarbij we samen op een eenvoudige en snelle wijze de meest kritische assets in een organisatie bekijken. Vervolgens krijgen deze assets een waarde waaraan mogelijke aanvallen, die een impact op de organisatie en de betreffende asset kunnen hebben, worden gekoppeld. Voorbeelden hiervan kunnen zijn: een kritische webserver die gevoelig kan zijn voor DDoS aanvallen of financiële data die kwetsbaar is voor fraude.

Requirements

Om deze aanvallen te identificeren moet duidelijk zijn welke events of logs de benodigde informatie bevatten. In het geval van een DDoS kan dit een firewall of IPS log zijn die dit detecteert (en eventueel blokkeert).

Op deze manier worden de vereisten (Requirements) van de organisatie snel duidelijk. Om het vorige voorbeeld weer aan te halen is de requirement dan als volgt: “het verzamelen van firewall en IPS logs om DDos aanvallen te detecteren” en “het verzamelen van file audit events om te identificeren wanneer de financiële data door gebruikers zijn benaderd”.

Scope

De volgende stap is het bepalen van de scope. Zo moet worden bepaald op welke assets deze Use Cases van toepassing zijn en van welke systemen logs moeten verzamelen. De lijst met op te voeren data sources wordt tijdens deze stap gedefinieerd.

Logic

Vervolgens wordt de logica bepaald. Wat zijn de triggers voor de organisatie om iets als een DDoS te bestempelen. Bij 100 connecties in een minuut? Of 200? Of alleen als de IPS ook een detectie heeft gedaan? Het kan eventueel nodig zijn om externe bronnen met informatie aan te roepen om de aangeleverde logs aan te vullen. DearBytes heeft de expertise en ervaring in huis om samen met de klant invulling te geven aan deze logica.

Respons

In de ’Use Case Response’ wordt bepaald hoe er moet worden gereageerd op een gebeurtenis en door wie. Vragen zoals “Wie moet er worden gebeld als een DDoS plaatsvindt?”,  “Moet dit ook om 3 uur ’s nachts”? en “Wat voor actie moet er worden uitgezet?” komen hierbij aan bod. Door dit vooraf te definiëren is de stap ‘implementatie’ veel eenvoudiger en sneller uit te voeren.

Data sources

Wanneer het duidelijk is wat er moet worden aangesloten en om welke reden, kunnen data sources in SIEM worden aangesloten. De logs kunnen worden gecontroleerd op inhoud en of deze aan de vereisten en scope voldoen.

Implementatie, validatie en onderhoud

Wanneer de data goed in SIEM terecht komt, kan de Use Case werkelijk worden geïmplementeerd en gevalideerd, waarna regelmatig onderhoud zal moeten plaatsvinden om de Use Case up to date te houden. Dit is een doorlopend proces. Ervaringen uit de praktijk kunnen leiden tot nieuwe Use Cases of aanpassingen op huidige Use Cases en dit kan leiden tot andere vereisten, scope, logica, etc.

Uiteraard zijn er een aantal voor de hand liggende systemen die direct kunnen worden aangesloten in SIEM, omdat deze de informatie in veel gevallen nodig is voor correlatie en onderzoek. Voorbeelden hiervan zijn:

  • Firewalls
  • (H)IPS systemen
  • Antivirus systemen
  • Authenticatie systemen (domain controllers, VPN)
  • Web/ Email Gateways
  • Vulnerability Management systemen

Uiteindelijk geldt voor deze systemen ook dat er moet worden nagedacht over welke informatie ze bieden, anders blijft het resultaat een gok. Om terug te komen op de vergelijking met een gerecht: je hebt voldoende ingrediënten in huis, maar zonder recept is het maar de vraag of dit leidt tot een goed gerecht.