Systém SIEM – nástroj pro správu a monitoring IT infrastruktury
Security World 3/2018 - článek Jindřicha Tůmy, projekt manažera NEWPS.CZ na téma SIEM (Security Information and Event Management), což je specializované řešení, které umožňuje sbírat, korelovat a analyzovat události ze všech možných vrstev IT infrastruktury a mnoha zařízení.
Co je SIEM a proč jej mít?
SIEM (Security Information and Event Management) je specializované řešení, které umožňuje sbírat, korelovat a analyzovat události ze všech možných vrstev IT infrastruktury a mnoha zařízení. Je to nástroj, který správcům IT umožňuje mít centrální přehled nad celou firemní infrastrukturou prostřednictvím monitoringu probíhajících událostí, shromažďováním konkrétních informací z veškerých infrastrukturních prvků na všech vrstvách (operační systém, aplikace, databáze, síťové prvky) a jejich následným vyhodnocováním.
Příklad z praxe
Pakliže jste IT správce společnosti s rozsáhlejší infrastrukturou, je velice obtížné mít o ní ucelený přehled bez využití specializovaného nástroje. Bez centrálního systému jste odkázáni na kvalitně odváděnou práci vašich administrátorů, kteří musí zmiňovaný monitoring a vyhodnocování událostí provádět ručně na základě kontroly aplikačních logů. A lidský faktor může představovat bezpečnostní riziko. Řešením je tedy mít jeden systém, kam jsou směrovány veškeré události a informace, které chceme sbírat. Tento systém nám pak zobrazuje přehledný dashboard, umožňuje nastavovat korelace, reportování, alerty, monitoring a další.
Uvažujeme o systému SIEM
Na začátku je velice důležité specifikovat, které systémy a zařízení chcete zapojit do centrálního monitorovacího systému, jelikož ne každý systém či zařízení je podporován všemi SIEM řešeními. Je tedy důležité vypracovat analýzu, na základě které máme celkový přehled o všech infrastrukturních zařízeních, které chceme sledovat, víme, které události a informace chceme z těchto zařízení sbírat, známe množství logů, které budeme ukládat, a tudíž i víme, jak velkou diskovou kapacitu potřebujeme a jakým způsobem budeme všechny tyto informace archivovat. Měli bychom mít přehled, kam a v jakém formátu se logy jednotlivých zařízení ukládají a jak je směrovat na jiné datové úložiště. Analýza je často podceňována při nasazování centrálního monitorovacího systémů, avšak zde je „achillova pata“ většiny projektů, které v průběhu implementace narážejí na problémy.
NetIQ Sentinel
Představme si řešení společnosti NetIQ, spadající do mezinárodní skupiny MicroFocus, produkt Sentinel. Tento nástroj přináší výkonnou a jednoduchou správu zabezpečení a kompletní řešení SIEM. Nabízí okamžitý přehled o veškerých IT aktivitách. Obsahuje nástroj pro sběr, analýzu a archivaci bezpečnostních logů a díky vyhodnocování informací v reálném čase umožňuje společnostem chránit se před vznikem případných hrozeb, zdokonalit procesy zabezpečení a nepřetržitě vynucovat nastavená pravidla v rámci fyzických, virtuálních i cloudových prostředí.
Souhrnné vlastnosti SIEM Sentinel:
- Robustní řešení, intuitivní ovládání / implementace
- Bohatá sada předpřipravených funkcionalit
- Lze poměrně jednoduše rozšiřovat a rozdělovat zátěž
- Grafické prostředí pro tvorbu dotazů a korelací
- Real-time přehledy příchozích eventů i korelovaných událostí
- Obohacování událostí (geoIP, identity)
- Security Intelligence
- Detekce anomálií
- NetFlow views
- Uchovávání RAW dat
- Možnost sběru logů ze zařízení podporující IoT (kamery, …)
- Možnost kombinace SIEM a dalších bezpečnostních technologií na sledování změn, na správu privilegovaných účtů (PAM), Identity a Access managementu (IAM)
Sentinel umožňuje sledovat bezpečnostní události ve shodě s různými legislativními nařízeními a standardy (Basel II, COBIT, ISO 27002, ITIL, SOX) a poskytovat reporty pro auditory.
Na základě detekovaných událostí mohou být vytvářeny incidenty, což napomáhá k účinnější reakci na bezpečnostní události. Sentinel umožňuje následnou integraci s ticketovacími systémy, které jsou používány pro zajištění procesů Incident a Problem Managementu.
Řešení je dostupné ve formě samostatného softwaru, tedy tradiční instalace OS a následně produktu Sentinel, nebo jako appliance, tedy instalační DVD, které nainstaluje vše včetně OS, nebo jako HW appliance, tedy server poskytující službu SIEM.
Při nasazení do prostředí s vysokým počtem transakcí či vysokým síťovým provozem lze využít modularitu systému a některé části systému dedikovat na vyhrazený HW. Tímto lze dosáhnout ještě většího výkonu.
Sentinel umožňuje sbírat logy jak pomocí agentů, tak i bez nich. Každé řešení má svoje pro i proti, proto je vždy třeba zvážit způsob konkrétní implementace.
Pro případné připojení další geograficky oddělené lokality je možné v „remote“ lokalitě zřídit tzv. Sentinel buffer, který slouží jako koncentrátor a prostřednictvím sentinel linku (šifrované spojení) zasílá nasbírané údaje do hlavního Sentinel serveru.
Podporované způsoby sběru logů z koncových zařízení jsou např. SYSLOG, FILE, DB atd.
Zpracování a normování zpráv
Logika zpracování a obohacování zpráv je uložena v tzv. collectorech. Collectory mají otevřený kód a je tedy možné customizovat, co a jak se má sbírat. Výrobce dodává řadu oficiálně podporovaných collectorů, např od společnosti Cisco, Microsoft, IBM, HP, McAfee, Oracle, NetIQ a mnoho dalších..
Tagy
Všechny příchozí zprávy lze na vstupu označkovat (otagovat), aby bylo například zřejmé, z jaké lokality konkrétní zpráva pochází, jakého typu zařízení je, či lze takto obohatit zprávy o další metadata, podle kterých je dále možné se zprávami pracovat (třídit, prohledávat...).
Vyhledávání a filtrování
Jednotlivé zprávy lze vyhledávat pomocí grafického nástroje či pomocí jednoduchého vyhledávacího jazyka. Hledání lze omezovat v čase. Z výsledků hledání lze vytvořit filtr (tedy uložit hledání) nebo z nich vytvořit report.
Korelace
Korelace prováděné v reálném čase zachytávají související události a vytváří z nich jedinou souhrnnou zprávu, zvanou Alert. S alerty potom lze dále pracovat v přehledech, grafech a dashboardech. Na základě každého alertu lze vykonat příslušnou akci. V rámci vytvoření alertu lze také vytvořit incident, buď v rámci Sentinelu, či v externí Service Desk aplikaci.
Dashboardy
Dashboardy jsou vysoce customizovatelné a lze tak poměrně jednoduše vytvořit přehled o jednotlivých oblastech či celé infrastruktuře. Lze v nich využít několik druhů grafů a v nich poté dělat drilldown až k elementárním informacím.
Reporty
Sentinel obsahuje v základu mnoho předdefinovaných reportů, které lze přímo použít, nebo z nich vycházet při vytváření vlastních. Reporty lze generovat ručně, nebo je lze plánovat a spouštět v konkrétní čas.
Data enrichment
Jednotlivé záznamy lze obohacovat o další například statická metadata. To znamená, že na základě informací ve zprávě k ní mohu přiřadit dle klíče například data o konkrétním uživateli, geolokační data atd.
Role Based Management
Sentinel lze propojit s adresářovou službou (např. AD) a naimportovat uživatele, kteří mají mít přístup do Sentinelu. Tyto uživatele lze rozřadit do skupin a těmto skupinám nastavit konkrétní oprávnění. Na základě toho potom uživatelé vidí pouze události ze systémů, které se jich týkají nebo na která mají nastavena oprávnění.
Security Inteligence
Vytváření korelací dává Sentinelu možnost analyzovat známé vzorce chování a reagovat na ně ať už z důvodu bezpečnosti, či compliance. Security Intelligence je schopnost vyhledávat aktivity, které nejsou obvyklé, mohou být potencionálně nebezpečné, ale nezapadají do žádného zmapovaného vzorce chování. Security Intelligence funkcionalita Sentinelu se zaměřuje na analýzu statistických dat počtu výskytu událostí a umožňuje identifikaci a rozbor anomálií ať už automatickým statistickým enginem, či vizuální prezentací těchto dat.
Netflow
Sentinel umožnuje sbírat i Netflow data a benefitovat tak z propojení informací ze síťových prvků a logů konkrétních služeb.
Na závěr
Nasazením SIEM nástroje všechno nekončí, ale naopak je potřeba sledovat a vyhodnocovat bezpečnostní události a podle potřeby vytvářet nová pravidla pro detekci nových bezpečnostních hrozeb.
Jindřich Tůma
Project Manager
NEWPS.CZ s.r.o.
