Klíčové korelace
Jednou z prvních věcí, kterou by měl kvalitní SIEM disponovat, jsou korelace jednotlivých událostí. Zaměřit byste se měli především na dva typy korelací. Korelace vyhodnocující specifickou sadu událostí, které se uskuteční v definovaném časovém okně v předem specifikovaném množství. Tímto způsobem se detekují především známé útoky, pro které je obvykle k dispozici předdefinovaná sada těchto korelačních pravidel. Ve většině případů se však jedná pouze o různé nežádoucí síťové aktivity typu zkoušení hesel, skenování sítě nebo provozní záležitosti, kterou je třeba nedokončené zálohování serveru. Další pravidla je nutné vytvářet dle požadavků vaší společnosti.
Druhým důležitým typem korelací jsou korelace, které berou v potaz rizikovost události. V tomto případě již nemusíte vytvářet žádná pravidla, pouze „ vhodně" oceníte jednotlivé informace nacházející se v událostech, a to na základě jejich rizikovosti. Příkladem může být vyšší rizikovost privilegovaného uživatele nad neprivilegovaným, kdy při opakování události splňující definovanou
podmínku dochází ke zvyšování rizikovosti až na kritickou úroveň, při které může být generován alarm. Kvalitní SIEM řešení nenabízí pouze staticky definované úrovně rizikovosti, ale především možnost dynamického vyhodnocování na základě údajů ze sond zjišťující zranitelnosti systémů, cloudových reputačních služeb, případně na základě jiných událostí vzniklých v daném systému.
SIEM řešení většinou nabízejí i doplňkové typy korelací, které mohou vhodně doplňovat výše zmíněné korelace. Jedná se například o automatický výpočet množství událostí, které mají v daném čase nastat, automaticky se učící korelační funkce zaznamenávající výskyt hodnot pro specifický klíč, jenž se následně využívá při dalších korelacích. Při hledání vhodného řešení je vhodné si všímat i specializovaných zaměření a funkcí, které SIEM poskytuje. Pokud máme v datovém centru citlivé databáze, hledané řešení by mělo mít sofistikovaný nástroj určený přímo pro analýzu databází.
Aktuální informace
Poté co jsme probrali potřebné funkcionality, je třeba si říci, že i sebelépe zpracované SIEM nebude dosahovat kvalitních výsledků bez aktuálních informací. Ty dodá globální síť, která monitoruje provoz celosvětově. Tato síť je napojena na laboratoře, které veškerý globální provoz vyhodnocují a následně podávají relevantní informace o aktuálních hrozbách a zranitelnostech. S takovými informacemi se řešení stává opravdu robustním a velice efektivním nástrojem.
V úvahu byste samozřejmě měli brát i licenční podmínky – například: pokud je licenční model vystavěn na modelu 1 licence = 1 sledovaný kanál, může případná expanze sítě vést k neúměrnému zvýšení ceny. Proto doporučujeme volit takový SIEM, který má jednoduchý licenční model nezávislý na počtu sledovaných kanálů. To výrazně napomůže omezit náklady na rozvoj infrastruktury. Různá řešení jsou uživateli oceňována pro rozličné vlastnosti. Například uživatelé McAfee SIEM (Enterprise Security Manager) si pochvalují intuitivní GUI, rychlost reakcí celého systému, podobu dashboardů a přehlednou správu řešení.
LogRhythm je chválen díky svým procesům oprav, data drilldownu a monitorovacím agentům. Zákazníci společnosti Trustwave oceňují především rozsáhlé možnosti nastavení GUI a administrátoři mohou mít velký vliv na logiku zpracování událostí.
Autoři působí ve společnosti Comguard.
PŘEDPLATNÉ
ČLÁNKY DO MAILU