Omówienie warsztatów:
- Czym właściwie jest SIEM i do czego jest mi potrzebny?
- Czym jest moja amunicja?
- Threat Hunting, czyli spodziewaj się niespodziewanego
Prezentację przygotował i poprowadził Paweł Krawczyk.
3. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
3
Agenda
Czym właściwie jest SIEM i do czego jest
mi potrzebny?
Czym jest moja amunicja?
Threat Hunting, czyli spodziewaj się
niespodziewanego
Co zrobić, jak żyć?
4. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
4
Wprowadzenie
Parser – sprowadza poszczególne logi do wspólnego „mianownika”
Normalizacja – spójna taksonomia dla różnych logów
Korelacje – możliwość łączenia ze sobą różnych informacji z wielu źródeł
Retencja – jak długo dane są przechowywane przez system
5. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
5
Czym właściwie jest SIEM i do czego jest mi potrzebny?
Co system SIEM powinien robić:
Zbierać logi i nadawać im kontekst
Przeprowadzać normalizacje i korelacje
Wysyłać powiadomienia i alerty
Umożliwiać przeszukiwanie i raportowanie
Posiadać WORKFLOW dla obsługi incydentów
Do czego SIEM jest mi potrzebny:
Informowania w czasie zbliżonym do rzeczywistego o incydentach
Zweryfikowania kiedy i kto przeprowadził atak?
Sprawdzenia co stało się w wyniku ataku np. ile i jakich danych wyciekło?
Kiedy miał miejsce „pierwszy” atak tzw. „pacjent 0”
Analityk
AV
DLP
Firewall
6. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
6
Czym właściwie jest SIEM i do czego jest mi potrzebny?
System Log management nie jest systemem SIEM
Zbieranie logów to nie jest monitoring
1. Logi nie są
zbierane ani
analizowane
2. Logi są
zbierane ale
nigdy nikt na
nie patrzy
3. Patrzymy w
logi gdy „COŚ”
się wydarzy
4. Patrzymy raz
na jakiś czas
„incydentalnie” i
„okazjonalnie”
5. Monitoring w
trybie ciągłym
7. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
7
Czym jest moja amunicja?
weblogic.jdbc.remote.APLIKACJA=t3://192.168.9.80}),OwnerTransactionManager=ServerTM[ServerCoordin
atorDescriptor=(CoordinatorURL=APLIKACJA_1+192.168.0.1+APLIKACJA+t3+,
XAResources={APLIKACJAJDBCStore_1, WSATGatewayRM_APLIKACJA_1_APLIKACJA,
WLStore_APLIKACJA__WLS_APLIKACJA_1},NonXAResources={})], : setRollbackOnly called on
weblogic.jdbc.llr=APLIKACJA,)],Xid=BEA1-33F13C4F6A1E0D4
2,-,Success,04/07/2018 04:03:50
PM,domena,test_domeny,192.168.0.10,SRV,HM,581464140,%{S-1-5-21--2832571297-
4013663192-10192},A Kerberos authentication ticket (TGT) was requested.,0x0,8,4768,krbtgt
2,-,Success,04/07/2018 04:03:50
PM,domena,test_domeny,192.168.0.11,SRV,HM,581464139,%{S-1-5-21--2832571297-
4013663192-10192},A Kerberos authentication ticket (TGT) was
2018-06-27T09:29:06+02:00 10.72.190.228 %ASA-3-
713902: Group = 192.168.0.1, IP = 192.168.0.1, QM
FSM error (P2 struct &0x72a75910, mess id
0x693b9d4b)!
2018-06-27T09:29:06+02:00 10.72.190.228 %ASA-3-
713227: IP = 192.168.0.1, Rejecting new IPSec SA
negotiation for peer taaa. A negotiation was already in
progress for local Proxy
10. EXATEL Najbezpieczniejsza polska sieć
exatel.pl
10
Podsumowanie. Czyli co zrobić? Jak żyć?
W czasie uruchomienia systemu szukaj odpowiedzi na pytania:
Skąd będę wiedział że padłem ofiarą ataku?
Jak się dowiem że coś się stało?
Czy systemy bezpieczeństwa, które mam działają?
Wymagaj od systemu:
Możliwości przeszukiwania danych, raportowania i tworzenie kolorowych wykresów ;-)
Wsparcia dla dwóch rodzajów amunicji: logów i pakietów!
Automatycznego powiadomienia i informowania!
Możliwości rozszerzenia konfiguracji systemu o kontekst biznesowy np. krytyczność
Tego żeby działał (wydajność, retencja)!
To co zobaczymy w systemie w wyniku przesłania danych, które wcześniej prezentowałem może wyglądać w następujący sposób. Ostatni przykład pokazuje dlaczego ruch sieciowy jest tak istotny.
Widzimy tutaj żądanie do strony internetowej wykonane przez atakującego. W rezultacie zamiast strony internetowej atakujący otrzymał informacje że kod który wysłał działa na uprawnieniach adminsistratora.
Będą mieli Państwo okazje za chwile samodzielni to sprawdzić w praktyce.
Jednym z typowych działań dla analityków SOC jest tak zwany threat hunting. Jak taki threat hunting może się odbywać?
Obrońcy wymieniają się tak zwanym IOC – czyli indykatorami kompromitacji. Takim indykatorem może być adres ip, klucz w rejestrze bądź suma kontrola pliku. Takie informacje są istotne jeśli tylko możemy je użyć,
Na zakończenie prezentacji chciałbym zostawić zostawić kilka wskazówek, które pomogą w użytkowaniu systemu.
Jeśli są Państwo na etapie implementacji szukajcie odpowiedzi na pytania:
Jeśli są Państwo na etapie wyboru, zwracajcie uwagę na takie aspekty jak: