SIEM中的安全事件管理
组织经常面临意外和未知的安全威胁,无论威胁的级别、类型或大小如何,它们的存在都会对企业的整体运作产生冲击,事件管理是尽快识别和响应这些中断以最大程度地减少其对日常业务运营的影响的过程。
什么是安全事件
安全事件是指示对组织网络构成威胁的事件,并且对组织具有一定程度的严重性和潜在风险,如果未被发现,安全事件可能会从外部和内部危害您的系统或数据。这些被称为外部和内部威胁。
- 外部威胁:外部威胁来自网络外部,由黑客发起。攻击者采用各种策略来破坏网络,包括数据操纵、网络钓鱼攻击、恶意软件攻击、拒绝服务 (DoS) 攻击、中间人攻击等。
- 内部威胁:当内部人员滥用其权限导致组织网络中断时,就会发生内部威胁。这些威胁可能导致敏感数据操纵、身份盗用、数据泄露、策略滥用、资源匮乏等等。内部威胁可能是偶然的,也可能是故意的,从系统管理员犯错误导致安全事件,到授权员工恶意篡改敏感数据。
什么是事件管理
事件管理是检测、分类、分析和解决事件的过程,事件管理使用各种技术和工具尝试减少事件的平均检测时间 (MTTD) 和平均解决时间 (MTTR)。
事件发生和解决之间的时间可能是组织的安全性是否受到损害之间的差异。通常,安全信息和事件管理 (SIEM) 解决方案附带一个全面的事件管理模块,以解决关键安全问题,确保组织的网络安全可靠。
安全事件检测
安全事件表示网络中的系统和数据已被泄露或滥用。单个安全事件可能是更大的针对性攻击的一部分,例如分布式拒绝服务 (DDoS)、勒索软件或高级持续攻击。安全攻击不仅会影响组织的财务状况,还会影响其声誉,这就是为什么在安全事件发生后立即检测到它、立即缓解威胁以及遏制或减少攻击的影响至关重要的原因。
- 检测安全事件的挑战
- 帮助检测安全事件的机制
检测安全事件的挑战
由于各种原因,检测安全事件或数据泄露给组织带来了挑战。它通常涉及从大量的假警报中发现妥协的迹象。尽管防火墙和杀毒软件等一般的预防系统会对异常行为发出警报,但它们并不能提供更全面的信息。对于每个触发的警报,您需要调查它被触发的原因,这将增加解析时间。
帮助检测安全事件的机制
SIEM 解决方案通过各种机制克服了事件检测的挑战。
- 日志关联
- 威胁情报
- 异常用户行为分析
日志关联
日志关联通过分析来自各种源的日志来查找活动中的重要模式,尽管单个事件可能看起来并不可疑,但将其与相关事件序列相关联可以显示威胁的迹象。
构建定义攻击模式外观的良好关联规则有助于发现已知的攻击模式,并可用于识别和阻止可疑活动。例如,您可以为以下顺序构建规则:
“一种检测多个VPN登录失败的规则,随后在Windows设备上成功登录VPN并立即远程登录,之后安装可疑软件。”
单独来看,这些事件似乎并不引人注目,但关联规则有助于连接这些事件,以突出显示 SIEM 系统可用于在此类安全事件发生时立即检测的攻击模式。
威胁情报
威胁情报通过使用威胁源来识别事件,从而帮助早期事件检测。SIEM 解决方案中的威胁情报模块利用来自各种来源的威胁数据,从基于开源 STIX/TAXII 的威胁源到特定于供应商的第三方威胁源。它们提供了最新、最可靠的威胁信息,可帮助缓解网络威胁。通过定期更新的威胁数据库,SIEM 解决方案可以立即检测网络中演变的安全事件。
异常用户行为分析
为了保护网络免受威胁和数据泄露,研究整个网络系统中发生的事件非常重要。组织存储的日志数据包含对用户行为的深入见解。这包括用户的登录和注销时间、他们的用户权限、可访问的数据等等。
用户和实体行为分析 (UEBA) 引擎可以持续监控这些日志,以识别与用户正常行为模式的任何偏差,借助这种自学机制,UEBA 可帮助您更准确地检测内部威胁、帐户泄露、数据操纵等。
事件管理解决流程
组织试图领先于攻击者,而攻击者寻找新的占上风的方法,这使得组织很难确保其网络和数据的安全性。新型攻击的发展只会增加这种复杂性。对抗这种无休止循环的最好方法是建立一个有效的事件响应系统。
- 工作流程管理
- 取证分析
工作流程管理
组织每天可能面临数百起安全事件。为了响应所有这些事件并保持其安全性,组织需要一个完整的自动化响应系统。IT 安全管理员可以通过自动化工作流程节省大量时间,因为它们可以快速解决事件。
事件工作流管理使组织能够定义一组操作,这些操作将在发生特定事件时自动触发。例如,您可以定义一个工作流,以便在计算机上启动恶意进程时关闭计算机。触发此工作流将有助于隔离受影响的系统并遏制攻击,使其不会在网络中传播。
如果配置得当,自动化工作流可以让组织在事件解决方面领先一步。除了触发操作外,您还可以使用工作流管理为ITIL工具中检测到的每个事件提出票证。这有助于密切跟踪事件解决过程并确保问责制。
取证分析
通过分析以前情况下出了什么问题,组织可以挖掘出未来问题的解决方案。对事件的取证调查可以帮助安全团队分析攻击者留下的痕迹,从而帮助他们保护其组织免受未来的攻击。在某种程度上,法医调查不是要纠正错误,而是要分析错误,为未来的错误做准备。
完成对证据的分析后,事件响应过程的下一步是控制中断,以确保其他设备受到保护。最后一步是消除事件的原因。