Get best of the week

信息安全自动化事件响应平台

想象一下一个大公司的典型信息安全中心。在理想的情况下,软件会检测到可疑活动,“白人黑客”团队开始在键盘上敲击他们的手。这每月发生一次。

在现实世界中,有数百名误报和疲倦的支持人员。当用户忘记密码,无法从torrent,*。exe格式的另一部色情电影下载游戏,观看网络故障并通常调查许多情况时,他们将被迫处理每次事件。

SIEM系统可帮助组织和关联来自事件的事件。而且它们会产生积极的影响,每个积极因素都需要加以处理。在这些“所有人”中,大多数都是错误的。另一方面,您可以通过使用警报处理脚本来解决此问题。每次工作正常时,最好不仅是警报原因,然后爬入4至5个用于获取不同数据的系统,并立即自动收集整个诊断信息。



我们制作了这样一个附加组件,它对减轻操作员的负担有很大帮助。因为用于收集信息的脚本会立即启动,并且如果有典型的操作,则会立即采取它们。就是说,如果您“在这种情况下,我们一定要这样做”启动系统,则该卡将在情况已经解决的情况下为操作员打开。

SIEM系统有什么问题?


偏移量列表中有大量原始数据。用于填充的特定事故卡已转移到我们的平台。

典型案例有示例反应流程图。

例如,以下是有关用户身份验证错误的数据分析报告:



有误报的标准:例如,我尝试过两次-我从第三次进来。用户刚收到一封信,说必须仔细输入密码,机票将关闭。如果他尝试了五到六次,那么详细的信息已经开始收集:接下来发生的事情,之前发生的事情,等等。如果他第10次登录,然后去了知识库并开始下载10个文件,则可能有一个设置为“阻止对知识库的访问,直到诉讼结束并通知操作员”。如果用户不是恶意用户,在这种情况下,IT部门很可能会自动收到一封包含详细信息的电子邮件。也许他们会教用户正确输入密码或帮助您更改密码。

如果该活动更为危险,则级别为“打开邮件中的可执行文件,然后开始在Web上蔓延”,则整个网段或子网可能会自动被阻止。是的,SIEM可以自行执行此操作,但是如果不进行微调,也许这些措施是自动化的极限。

同样,在理想情况下,操作员可以访问所有系统并立即知道该怎么做。在现实世界中,他经常需要找人负责澄清一些事情。他也正在休假或开会。因此,反应流程图中的另一个重要部分应立即负责系统和部门的特定部分。也就是说,您无需查找员工的手机,老板和手机的名称,而是立即在公开卡中看到它们。

我们做了什么


  1. , (), - .
  2. , ( ), , .
  3. , -. : , , .
  4. , .
  5. .
  6. ( , , ).
  7. .
  8. GUI -.

SIEM QRadar是我们的主要客户之一。一个好的威胁检测系统,每个事件都有相应的措施和步骤,但是您无法为操作人员提供工作清单。当涉及到专业超类时,这不是必需的。当涉及到第一线操作员时,非常重要的是给他指导如何做以及如何做,并且他将能够覆盖到很酷的专家级别的大多数典型事件。

也就是说,我们在第一行中删除了所有明显无聊的事件,并将标准添加到了将无聊与无聊分开的脚本中。像以前一样,所有非典型的东西都取决于优点。

经过数年的研究,制定并规定了具有数万个工作场所的公司的案例,这些案例的服务器容量位于多个数据中心(部门之间存在困难的关系,因此很难集成到不同的系统中)。但是现在,卡中的任何子任务都有特定的负责人,并且始终是相关的。

可以通过以下事实来判断操作员的简便性:在实施过程中,该系统首先部署到各个地区,然后在几周后开始发送正式文档。因此,在这段时间内,人们已经开始自信地关闭事件。

怎么开始的?


有SIEM,但尚不清楚正在发生什么。更准确地说,QRadar会生成很多事件,它们属于信息安全部门,根本没有人去正确,详细地分解所有内容。结果,仅简单地从表面上查看报告。使用这种方法从SIEM中获得的收益不是很高。

有一个资产管理系统。

有用于扫描网络的服务器,配置非常好。

报告本来很好,但他们疲倦地看着他,推迟了。

客户想要购买的东西开始产生结果。

我们将安全卫士服务台放在最上面(实际上是票务系统,如常规支持一样),可视化数据分析,并在IBM Resilient +添加典型反应的基础上编写了描述的自动化平台。弹性全裸,它只是一个框架。我们以QRadar的相关规则为基础,并最终确定了针对用户案例的响应计划。



几个月来,他们对所有内容进行了Russification,并通过API挂断了正确的捆绑包。我们完成后,供应商发布了Russification,我们有点难过。

他们大约培训了一个月并熟悉了文档(特别是如何绘制卡片的新流程图)。他们学得越多,情况就越简单:首先编写了巨大的动作脚本,然后事实证明,它们已成为一种典型案例库。人们几乎可以在任何反应中提及他们。

反应比较


事件“在短时间内用相同的恶意软件重复感染病毒”。也就是说,该病毒是在工作站上检测到的,但需要人员了解其来源。感染源是活跃的。

经典:

  1. 在短时间内,相同的恶意软件反复感染了主机192.168.10.5病毒,事件被发送到SIEM,并且相应的规则起作用。
  2. .
  3. .
  4. .
  5. .
  6. /CMDB-.
  7. .
  8. - , .
  9. / .
  10. Service Desk .
  11. 根据调查结果在Service Desk系统中填写一个应用程序,以消除此主机被感染的漏洞。
  12. 他等待服务台应用程序关闭,然后检查其执行。
  13. 填写事件卡并关闭事件。
  14. 它向管理层报告其工作结果。
  15. 分析人员收集事件统计信息以分析响应过程的有效性。

在我们的平台上:

  1. 在短时间内,相同的恶意软件重复感染了主机192.168.10.5病毒,事件被发送到SIEM,并且相应的规则起作用。
  2. 操作员查看事件卡,其中已下载有关该主机,防病毒保护工具及其日志的状态,主机上的漏洞,相关事件以及负责此主机的人员的信息。
  3. , : , , Service Desk , - .
  4. Service Desk , .
  5. .
  6. .




它变得更快了。但是主要的不是这个,而是可以将任务分为“第一线操作员将处理”和“特殊需求”。也就是说,平均而言,每张票证的解决方案都变得便宜得多,并且系统具有更高的可伸缩性。



除了许多误报外,还发现有许多重复项,很容易被系统检测到。



卡片看起来不像报告中的一组晦涩数据,而是像“ Vasya在主机上进行的那样。这是不好的。主持人负责Petya。就是这样。我们需要去Petya说,工作区中Vasya的计算机不能用于在会议上演示文稿。”

所有这一切中的另一个重要的事情是,基于原始数据的收集,对票证进行优先排序成为可能。也就是说,主要的潜在威胁突然出现,需要立即注意,而不是实时排队。

IT凭单界面的自动化不仅使收集有关事件的所有信息成为可能,而且还可以立即向IT部门发送凭单。如果您需要更改路由器上的某些设置,那么例如,现在会自动生成来自IT的票证。令人惊讶的是,案件开始出现“忘记了在服务中更改帐户,而他试图连接一个月。” IT部门不会看到这种情况,也不会忽略基础架构。 IS在这里说-服务无法登录。然后他们放了票。

由于反应卡的类型,事件开始通过标准方法解决。以前,每个人都是由创意决定的:不同的人采取不同的行动。

结果就是像现代CRM一样好的工作流程。该事件通过一个漏斗。在最后阶段解决了另一个问题:早期的人们有时只是因为累了才关闭了车票。也就是说,结果的处方不正确。现在,您需要向系统证明这是一个误报。也就是说,您可以像以前一样将其关闭,但是很明显,它是由谁完成的,在什么条件下完成的,打开门框要容易得多。不仅“用户无法运行文件”,而且“将游戏带到USB闪存驱动器上,想要安装它-他们再次解释了生活规则”。而且已经很清楚发生了什么。

多功能性


现在生产中有几个集成(QRadar和资产管理系统的集成非常大,而较小的集成)。可以使用标准API与任何SIEM连接,但是,当然,集成需要花费时间进行连接器,文件细化和写下人员的反应规则。但是,它确实可以对安全事件做出真正的响应,并且相对较快且相对便宜。SIEM系统本身很可能会在10年内做到这一点,但是到目前为止,我们的附加组件已经很好地展示了自己。

如果您想与我们一起感受或讨论它的外观,这是我的电子邮件AAMatveev@technoserv.com。

More articles:


All Articles