Clever Geek Handbook

我们如何在网络攻击监视和响应中心实施第二个SIEM

一个人的脑袋好,但两个人的脑袋却不漂亮。因此,我们想到了生活在美好时光中,那时我们中心只有一个SIEM平台可以监视和响应网络攻击。众所周知,HP ArcSight是经过长时间的马拉松比赛的唯一收尾者,这是通过建立SOC核心的需求,愿望和雄心勃勃的计划所造成的。



似乎没有什么好兆头,但是在某个时候,关于使用替代平台的需求的想法出现了,并且变得越来越持久。这里的主要机车是GosSOPKA中心的积极开发。为了成为这些中心之一,我们必须使用提供的软件“不受外国个人和(或)法人直接或间接控制的俄罗斯组织的担保和技术支持”(FSB命令,日期为06.05.2019 No. 196,条款3.4)。我们在下面讲述了如何经历所有这些事情以及最终发生了什么。





拍摄自动画系列《猫狗》



我们听说有一些SOC声称自己是一夫多妻制,多供应商,并且说(而且,我们记得这种活动与行李装卸操作有很大不同),他们准备与市场上任何流行的SIEM解决方案一起使用。为什么无法从质量上实现这种方法,您将从下面的描述中了解。我们如此迷恋ArcSight,并设法围绕它构建了一个完整的解决方案和流程生态系统,将外来SIEM嵌入其中成为了一个真正的挑战,并给我们提出了许多难题:



  1. 选择哪种解决方案?
  2. 如何将新的SIEM系统集成到TIER1操作中?
  3. 当前如何将ArcSight的所有许多内部集成转移到新平台上?
  4. 如何同步SIEM内容开发思想并提供对称的检测规则集?


选择解决方案并非易事。我们到处都必须潜入一个漩涡中,我们无法估计其深度。结果,我们决定以不同的方式做出选择-使用供应商的SIEM,该供应商向我们保证,根据我们的要求以及我们所信守的承诺,我们将改进工作放在首位。因此,与Positive Technologies建立了技术合作伙伴关系,MaxPatrol SIEM出现在我们SIEM的渠道中。



好的,我们有一个新平台。但是谁会和她一起工作?



坦白说,起初我们有一种感觉,如果没有第二个团队与新工具包并行工作,我们将无法完成。即使参加第二次SIEM测试的高级分析员队伍也难以接受,这一事实进一步增强了这种感觉。因此,首先,将概念绘制如下:两条TIER1线(每条线都使用自己的仪器进行了锐化)和多平台TIER2。对于从T1到T2的专家,多平台就绪性因素是增长因素。



大约在这个时候,我们积累了足够的理由将我们的第一条车道分为TIER1和TIER2(在另一系列文章中对此有更多介绍)。并且由于在最初的概念中,T2应该在两个平台上都可以使用,因此我们将所有MP SIEM事件转为第二车道,该车道由沉浸在新SIEM中的经验最丰富的第一战斗机组成。展望未来,我要说的是第二线的工程师比他们的资深同事对MP SIEM的看法更为积极-这使我们希望该平台可以完全落在第一线,而不是围堵几个专门的平台。



集成到单个生态系统中的问题也没有我们预期的那么痛苦-也许是由于灵活性和配置冗余最初包含在已开发的集成机制中这一事实而有所帮助。我没有什么值得夸耀的胜利。我们迅速将新系统整合到生态系统和调查流程中,现在,各种SIEM事件的处理方式对于家伙来说仅在SIEM本身的界面上有所不同。所有路由和优先级排序机制,所有丰富的决策信息,所有通知模板都相同,并且位于相同的熟悉位置。



内容呢?



没有内容(有关信息安全事件和识别事件的规则)的“空” SIEM不可能走得太远,并且不会暴露出很多威胁(我们不使用盒装内容),因此出现了在新平台上为现有JSOC场景迅速开发相关规则的任务。最初,我们决定稍作努力,并通过复制实现逻辑从ArcSight转移规则,但是事实证明这是一个错误,我们认真地烧了自己:一种完全不同的产品体系结构需要“其”开发方法。我必须以更快的速度形成这种方法。与供应商的密切互动为许多在新兴问题上提供建议的人提供了帮助,帮助他们满足了我们对功能中现有芯片和新芯片的修改要求。不利的一面是,我们必须定期重写内容才能使其在此非常新的功能上正常工作。但是,正如他们所说,变化或死亡,所以我们没有抱怨(好吧,除了可能在团队中喝一杯茶)。



在最初阶段,只有经验丰富的四线分析师在与ArcSight合作时吃了狗,才参与新SIEM内容的开发。奇怪的是,到那时,有些人已经经历了专业的变形,并以其成熟度高的特定SIEM形成了“依赖”。从心理上和技术上,他们都很难切换到新平台。后来,开发团队有了新成员,包括第三线的人,对他们来说,这个话题容易得多,而且往往更有成效。



尽管这两个SIEM的场景清单都是横切的,但它们的实现可能会严重不同,这主要是由于不同平台的体系结构和功能上的限制。例如,在ArcSight中,在关联规则中,不能通过非严格匹配来指定对活动工作表中记录是否存在的检查,但是在MP SIEM中可以。另一方面,MP SIEM不会生成用于在表列表中添加或删除记录的内部事件,但是ArcSight可以执行此操作,并且在许多情况下都使用此功能。我不得不和一个分裂的一起生活,以便在我们基于JSOC脚本的知识库中介绍“双线”,并描述实现的细微差别,以及每个平台各自的调查工具。



同时,非常重要的一点是,要传达给第一行的是,事件调查的逻辑不取决于事件发生在哪个SIEM上,而新SIEM是解决所有相同任务的新工具。它具有必须研究的自身特征,但没有任何根本改变。



一号线的工作开始沸腾了



TIER1与MP SIEM的合作逐步进行,并通过适应新员工调试的过程进行。确定了事件的标准,对于第一行的分析并不太可怕,因为第一行的分析还没有MP SIEM的丰富经验:



  • 低关键事件详细信息(未分类的主机/网络和帐户);
  • SLA时间长;
  • 事件的劳动强度低(我们在TIER2处理事件时已经积累了统计数据);
  • 不是很生气的关联规则(是的,第一行应该看那里)。


根据这些标准的方案分为多个阶段,并在通过“信用”并获得事件池解决方案的访问权后,被逐一移交给TIER1工程师。



因此,我们的工具组合中有两个SIEM,在它们上启动了本质和处理逻辑上完全相同的方案。



太阳能JSOC区域网络开发副总监Alexey Krivonogov


More articles:


All Articles