30.05.2023 06:52
UserGate 0 904 Источник

UserGate MRC. Автор: Никита Бекетов, ведущий инженер по информационной безопасности

Справка-введение:

Современный ландшафт киберугроз настолько разнообразен и динамичен, что использование одних лишь базовых средств защиты уже не является достаточным шагом к построению защищенной инфраструктуры. Немаловажным является способность бизнеса анализировать данные, находить среди них значимые события, выявлять инциденты и расследовать их.

Рисунок 1
Рисунок 1

Продукт UserGate Log Analyzer (LogAn)¹ сочетает в себе функционал SIEM (Security Information and Event Management) и IRP (Incident Response Platform), что предоставляет возможности для сбора логов и событий, поиска инцидентов и реагирования на них.

UserGate Log Analyzer является комплексным решением для анализа данных. Система агрегирует данные от различных устройств, осуществляет мониторинг событий и создает отчеты. LogAn собирает данные со всех продуктов экосистемы безопасности UserGate SUMMA² и со сторонних устройств.

SIEM³ – инструмент сложный. И без должного подхода к классификации знаний ощутимую пользу не даст. Однако набор несложных рекомендаций позволит вам начать использовать LogAn который тоже относится к классу SIEM, используя его эффективно, с первых же дней.

Теперь, помимо сбора информации, корреляции событий и выявления инцидентов в новом классе решений, эти инциденты можно еще и расследовать, формировать отчеты и отправлять «куда надо».

Однако для выявления инцидентов нужны правила корреляции, которые необходимо написать, а также нужно хорошо знать функционал UserGate Log Analyzer как SIEM-решения чтобы пользоваться им максимально эффективно. Предлагаем вам посмотреть на наши советы и помнить, что для качественной защиты всё же нужна детальная информация из внешних источников!

Лайфхак №1: сразу настройте библиотеку "Внешние сервисы обогащений

Дополнительные сервисы позволят получать более детальную информацию об адресах из внешних источников.

Библиотеку можно использовать в окне аналитики для проверки на внешних сервисах адреса из лога веб-приложений. Но! Сами по себе данные, собранные с инфраструктуры, это, конечно, здорово и очень полезно, но гораздо больше интересной информации можно выудить, если мы добавим к существующим данные, полученные от экспертов мира ИБ.

Рисунок 2
Рисунок 2

Например, на скриншоте (см. выше Рисунок 2) сам по себе IP-адрес в голом виде, от которого или, наоборот, к которому были обращения с нашей инфраструктуры, ничего не даст. Но с помощью механизма обогащения мы можем узнать, «светился» ли айпишник среди злоумышленников, является ли он для нас скомпрометированным, или добавить любую другую полезную информацию, как показано на скриншоте:

Рисунок 3
Рисунок 3

Лайфхак №2: в разделе «Аналитика», в окне поиска, используйте ключевое слово group by

Это нужно для быстрой оценки количества запросов по определенному параметру. Можно быстро оценить, какие устройства и приложения работают в сети (экспресс asset management), какие сайты наиболее/наименее популярны.

Предлагаем оценить, какие устройства и приложения работают в сети, какие сайты, «урлы» и прочее наиболее популярны. Это позволит достаточно быстро составить понимание об основных активах в сети.

Этот лайфхак полезен при отсутствии у вас специальных решений asset-менеджмента.

Рисунок 4
Рисунок 4

Например, на Рисунке 4 при группировке по юзер-агентам видно достаточно большое количество запросов к веб-клиенту blizzard. А значит, что кто-то, вероятно, совмещает работу с компьютерными играми и это уже повод для расследования.

Лайфхак №3: в разделе «Аналитика» используйте вкладку "Процессы конечных устройств"

Эта информация может помочь разобраться в цепочке вызова процесса и параметрах запуска. Также она показывает полезную информацию о файле, который запускался (Наличие подписи, создатель файла, хэш файла - можно проверить на virustotal).

Важно! Обязательно изучайте процессы, которые происходят на конечных устройствах! Эта информация позволяет разобраться в цепочке вызова процессов и параметров запуска, а также показывает полезную информацию о файле, который запускался. Это позволяет обнаружить потенциально вредоносную активность, которая разворачивается на каждом конкретном устройстве и скрыта от глаз безопасников.

На скриншоте мы можем пронаблюдать, как это происходит:

Рисунок 5
Рисунок 5

Лайфхак №4: используйте экспертизу продуктов (например, антивирусы, NGFW)

Создавайте правила для генерации события на срабатывания событий, которые оконечное устройство считает опасным (например, события NGFW, антивируса и т.п.). Примеры событий, которые могут требовать внимания:

• Использование инструментов сокрытия трафика (TOR, VPN сервисы, туннели). Часто эти сети используются для эксфильтрации данных из закрытого сегмента

Рисунок 5
Рисунок 5

• Детектирование облачных хранилищ. Через них тоже организуют каналы управления.

Лайфхак №5: установите простые правила для детектирования к этим доменным именам:

 .onion, .i2p, .loki, .bit, .eth, .888, .bitcoin, .coin, .crypto, .dao, .nft, .wallet, .x, .zil, .bazar, .coin, .emc, .lib, .bbs, .chan, .dyn, .free, .fur, .geek, .glue, .gopher, .indy, .libre, .neo, .null, .o, .oss, .oz, .parody, .pirate, .ku, .te, .ti, .uu.

Стоит насторожиться при обращениях к урлам, которые находятся на приведенных выше дешевых доменах. Их легко купить анонимно, поэтому они часто используются злоумышленниками с небольшим бюджетом. Обращение к таким урлам из вашей сети будет свидетельствовать о потенциальном инциденте.

Здесь приведен самый базовый список, вообще их больше. Но начать предлагаем с них. А дальше – следите и изучайте.

Лайфхак №6: Создайте правило (или используйте ручной поиск) для отслеживания загружаемых файлов c потенциально небезопасным содержимым

Речь про:
mime-тип 'application/octet-stream' (exe, zip, 7z, rar, bat, ps1, vbs, sct, scr, iso, hta, vbe, js, cmd, xlsx, rtf, img).

Можно отфильтровать доверенные источники. Через group by можно оценить список URL, откуда были скачаны потенциально небезопасные файлы.

Лайфхак №7: Простым анализом в логе веб-доступа можно оценить попытки:

  • брутфорсов (Status Code 401);

  • загрузки данных на сторонние ресурсы (HTTP Method POST);

  • использование не типичных для компании UserAgent, оценить объем переданных данных.

    Кстати, в поиске можно использовать операторы сравнения.

Лайфхак №8: На правила, которые требуют детального изучения, лучше сразу создавать инцидент и дальнейшую работу проводить в его рамках

Можно создавать инциденты на интересные сработки правил для того, чтобы провести детальное расследование и принять решение.

Лайфхак №9: Берите готовые правила в SIGMA-подобном формате и загружайте через интерфейс

Используйте SIGMA-правила, доступные из разных комьюнити. Например, существуют сообщества, которые пишут правила для не брендированных SIEM-систем. Есть SIGMA-правила, которые унифицировано описывают правила для SIEM-систем и это такой общий банк правил – best practices, который можно реализовать.

Грубо говоря, если вы не знаете, какое правило SIEM вам нужно реализовать, открываете SIGMA-правила и на своей SIEM-системе его реализуете.

В UserGate LogAnalyzer эти правила можно импортировать.

Лайфхак №10: Для повышения информативности и эффективности LogAn как SIEM-системы, на рабочих станциях настраивайте расширенное логирование:

  • Установить и настроить sysmon

  • Настроить расширенное логирование ОС, руководствуясь лучшими практиками

  • Для эффективной работы с логом веб-приложений на NGFW должна быть включена расшифровка трафика (Decrypt).

Лайфхак №11: Настройте под себя и используйте дашборды

Они позволят оперативно отслеживать обстановку. Из них можно переходить к нужным разделам в один клик. Вы можете настраивать их, как удобно.

Лайфхак №12: Используйте простые правила, направленные на поиск аномалии

Это значит ресёрч на поиск аномалий в вашей организации – нехарактерные соединения, сетевые утилиты. И вообще работа с SIEM – это постоянный творческий процесс. Кстати, покупать SIEM без приобретения базовых средств защиты – например NGFW и системы обнаружения вторжений – это бесполезная трата, потому что без этих базовых средств SIEM не наберет достаточной фактуры данных, чтобы выполнить свою прямую работу по аналитике. А еще отчет SIEM без средств защиты не позволит вам настроить защиту для не повторения одних и тех же инцидентов в будущем.

Напомню про суть нашей работы – она, коллеги, в самой связанности компонентов экосистемы безопасности, в непрерывном процессе их взаимодействия.

Выводы

Путем выполнения несложных базовых действий можно научить SIEM отлавливать большое количество инцидентов практически с первого дня использования. Однако не стоит забывать, что работа с SIEM это непрерывный процесс, который состоит из изучения отчетов, анализа, корректировки правил, добавления новых – и далее по кругу.

Обнаруживать атаки – это сложно, но важно. И для того чтобы задетектировать атаку, как правило, необходимо проанализировать цепочку событий – каждое из звеньев которой по отдельности может не представлять опасности, но в совокупности сигнализирует о наличии инцидента.

Например, самое простое – введение пользователем неправильного пароля. Если это единичный случай, вряд ли он несет в себе опасность. Но если такие попытки регулярны и при этом источником является не типичный IP-адрес или юзер-агент, то это уже может стать потенциальным инцидентом.

Так что на SIEM надейся, а сам не плошай!

[1] Анализ инцидентов ИБ | UserGate Log Analyzer | UserGate

[2] UserGate SUMMA | UserGate

[3] SIEM — Википедия (wikipedia.org)

Комментарии (0)