10 стратегий первоклассного SOC (перевод гайда MITRE)

Стратегия 6. Часть 7. Покупка и ожидания от SIEM. Рекомендации при внедрении.

8.4.4 Покупка SIEM

SIEM – одно из самых крупных вложений для SOC. Прежде чем рассматривать вопрос о покупке SIEM, необходимо, чтобы сложились следующие основные условия:

  • У SOC уже есть инструменты сбора логов; его потребности в аналитике и корреляции данных больше, чем предлагают текущие инструменты.
  • SOC выполняет значительную часть своих обязанностей по анализу данных в реальном времени.
  • SOC выделил помимо IDS/IPS еще несколько потоков данных, которые необходимо передавать в SIEM в режиме реального времени.
  • SOC участвует в процессе регулярного управления и настройки датчиков, для чего есть выделенный персонал, тем самым демонстрируя, что он готов взять на себя управление SIEM.

More

Стратегия 6. Часть 6. Управление информацией и событиями безопасности (SIEM) и Log Management

Инструменты SIEM собирают, агрегируют, фильтруют, хранят, сортируют, сопоставляют и отображают данные, относящиеся к безопасности, как для изучения в режиме реального времени, так и для анализа данных за прошлые периоды. Процесс обработки в SIEM нацелен на использование в различных моделях SOC, начиная от ситуативных команд безопасности до гибридных централизованных/распределенных моделей. Лучшие в своем классе SIEM приумножают ресурсы, позволяя небольшой команде опытных аналитиков извлекать события безопасности из больших массивов данных. Сложно обеспечить своевременное, согласованное или устойчивое решение этой задачи другими средствами. Другими словами, цель SIEM – сбор большого количества данных и их обработка, чтобы аналитик мог использовать эту информацию для работы.

Благодаря надежной масштабируемой архитектуре и набору функций, SIEM поддерживает ряд сценариев использования:

  • Мониторинг периметра сети.

More

Стратегия 6. Часть 5. Мониторинг и защита узлов. Практика и рекомендации

Мониторинг и реагирование на хостах заказчика – незаменимый инструмент при условии эффективного использования. Есть ряд моментов, которые важно учитывать при рассмотрении вопроса о развертывании и использовании различных хостовых инструментов, о которых шла речь в разделе 8.3. Для достижения наилучших результатов стоит учесть следующее:

Мониторинг и защита на базе хоста – не панацея

Некоторые SOC для получения необходимого финансирования или полномочий вынуждены расхваливать возможности перед высшим руководством. Когда речь заходит о каком-либо защитном инструменте, управление ожиданиями ИТ-руководителей является сложной задачей. И для хостовой системы предотвращения второжений эта проблема кажется особенно острой. У многих руководителей создается впечатление, что с развертыванием средства под названием «хостовая СОВ» узлы становятся полностью «защищены» и «все хорошо».

More

Стратегия 6. Часть 4. Мониторинг и защита узлов

8.3 Мониторинг и защита узлов

У сетевых датчиков множество достоинств – один датчик может дать информацию о ситуации и сообщить о потенциальных инцидентах в тысячах систем. Но они дают информацию только на уровне сетевого трафика. Чтобы расширить обзор и охват, полезно оборудовать конечные узлы различными инструментами обнаружения и блокировки.

Данные, предполагающие, подтверждающие и уточняющие присутствие и проникновение злоумышленника, лучше всего обнаруживаются посредством мониторинга и анализа контента конечных хостов. Более того, реагирование на инциденты часто включает в себя непосредственную работу на конечных узлах и этот процесс может занимать часы, дни, недели или даже больше. Рассмотрим организацию с хорошо оборудованными компьютерами и серверами, которые не только сообщают о признаках и предоставляют исчерпывающий контекст вторжения, но и обеспечивают автоматические ответные действия.

More

Стратегия 6. Часть 3. Анализ трафика, данные и метаданные.

8.2.3 Данные NetFlow

IDS просматривает весь контент сетевого трафика, однако нужна возможность просуммировать весь сетевой трафик, не оказывая большого воздействия на производительность. Дополнением к оповещениям IDS служат записи NetFlow (часто упоминаются как потоки). В отличие от записи или анализа всего содержимого соединений, запись потока содержит краткий обзор каждого сетевого соединения. Исходно стандарт NetFlow был разработан компанией Cisco, но теперь используется в различных сетевых устройствах и ПО и является стандартом Internet Engineering Task Force.

Устройство, генерирующее данные NetFlow, можно сравнить с регистратором телефонных звонков. Регистратор — это устройство, которое фиксирует все входящие и исходящие телефонные звонки по определенной линии, включая время, продолжительность, номера телефонов абонентов.

More