Komponenter i SIEM-arkitekturen

Virksomheder skal konstant forsvare sig mod det stadigt stigende antal cyberangreb, de udsættes for hver dag. SIEM (Security Information and Event Management) er et sikkerhedssystem, som mange virksomheder har taget i brug for at beskytte deres netværk mod disse cyberangreb.

En SIEM-løsning består af forskellige komponenter, der hjælper sikkerhedsteams med at detektere databrud og skadelige aktiviteter ved konstant at overvåge og analysere netværksenheder og hændelser. Denne artikel uddyber de forskellige komponenter i en SIEM-arkitektur.

De 9 komponenter i en SIEM-arkitektur

• 1. Dataaggregering

  Denne komponent i en SIEM-løsning indsamler logdata genereret af flere kilder i et virksomhedsnetværk, såsom servere, databaser, programmer, firewalls, routere, systemer i skyen og meget mere. Disse logfiler, som indeholder en registrering over alle de hændelser, der har fundet sted på en bestemt enhed eller i et bestemt program, indsamles og gemmes på et centralt sted eller i et datalager.

  De forskellige SIEM-logindsamlingsteknikker omfatter:

  • Agentbaseret logindsamling:

    I denne teknik installeres en agent på alle netværksenheder, der genererer logfiler. Disse agenter indsamler logfilerne fra enhederne og sender dem videre til den centrale SIEM-server. Ud over disse opgaver kan de også filtrere logdataene på enhedsniveau ud fra foruddefinerede parametre, parse dem og konvertere dem til et passende format, før de videresendes. Denne tilpassede logindsamling og videresendelsesteknik hjælper med at optimere forbruget af båndbredde.

    Den agentbaserede logindsamlingsmetode bruges hovedsageligt i lukkede og sikrede zoner, hvor kommunikationen er begrænset.

  • Agentfri logindsamling:

    Denne teknik involverer ikke udrulning af agenter i nogen netværksenhed. I stedet skal konfigurationen ændres på enheden, så den kan sende alle genererede logfiler til den centrale SIEM-server på en sikker måde. På enheder som switche, routere, firewalls osv. understøttes installationen af tredjepartsværktøjer til logindsamling ofte ikke, så det er svært at indsamle logdata gennem en agent. I sådanne tilfælde kan man bruge en agentløs logindsamlingsteknik. Det reducerer også belastningen på netværksenheden, da det ikke er nødvendigt at indsætte en ekstra agent.

  • API-baseret logindsamling:

    I denne teknik kan logfiler indsamles direkte fra netværksenhederne med programmeringsgrænseflader til programmer (API'er). Virtualiseringssoftware har API'er, som gør det muligt for SIEM-løsningen at indsamle logfiler fra virtuelle maskiner på afstand. Når virksomheder skifter fra lokal software til løsninger i skyen, bliver det også svært at pushe logfilerne direkte til SIEM, da tjenesterne ikke er forbundet med nogen fysisk infrastruktur. Når det sker, bruger SIEM-løsninger i skyen API'er som mellemled til at indsamle og forespørge på netværkslogfilerne.

• Om denne forklaring: Dette indhold er en del af vores dybdegående serie om, hvad SIEM og SIEM-værktøjer er. Læs videre for at få ekspertindsigt og lære om bedste praksis!

  2. Analyse af sikkerhedsdata (rapporter og dashboards)

  SIEM-løsninger leveres med en sikkerhedsanalysekomponent, som overvejende omfatter live dashboards, der intuitivt præsenterer sikkerhedsdata i form af grafer og diagrammer. Disse dashboards opdateres automatisk og hjælper sikkerhedsteamet med hurtigt at identificere skadelige aktiviteter og løse sikkerhedsproblemer. Ved hjælp af disse dashboards kan sikkerhedsanalytikere detektere anomalier, sammenhænge, mønstre og tendenser, der måtte være i dataene, og få forskellige indsigter i hændelser i realtid. SIEM-løsninger giver også brugerne mulighed for at oprette og tilpasse deres egne dashboards.

  En anden facet af denne sikkerhedsanalysekomponent er foruddefinerede rapporter. Ofte leveres SIEM-løsninger med hundredvis af foruddefinerede rapporter, der hjælper med at give indsigt i sikkerhedshændelser, detektere trusler og lette overvågning af sikkerhed og compliance. Disse rapporter, som for det meste er baseret på kendte indikatorer for kompromittering (IoC'er), kan også tilpasses interne sikkerhedsbehov.

  De fleste SIEM-løsninger giver også brugerne mulighed for at filtrere, søge og dykke ned i disse rapporter, indstille tidsplaner for rapportgenerering efter brugerens behov, vise data i form af tabeller og grafer og eksportere rapporter i forskellige formater.

• 3. Korrelation og overvågning af sikkerhedshændelser

  Et korrelationssystem er en af de mest vitale komponenter i en SIEM-løsning. Ved hjælp af foruddefinerede eller brugerdefinerede korrelationsregler analyseres de indsamlede logdata for eventuelle relationer mellem forskellige netværksaktiviteter eller fælles attributter eller mønstre. Korrelationssystemer kan sammenkæde forskellige sikkerhedshændelser og give et helhedsorienteret billede af sikkerhedsangreb. De kan detektere tegn på mistænkelig aktivitet, kompromittering eller potentielt brud tidligt i netværket, og SIEM-systemet vil også generere advarsler for disse aktiviteter.

  Et eksempel på en korrelationsregel:

  "Hvis det lykkes en bruger at logge ind efter flere mislykkede loginforsøg på kort tid, skal der udløses en advarsel."

  De fleste SIEM-løsninger har foruddefinerede korrelationsregler konstrueret ud fra indikatorer på kompromittering. Da angribere imidlertid konstant bruger mere avancerede teknikker til at hacke et system, skal reglerne ændres og forbedres med jævne mellemrum for ikke at blive forældede. At opbygge korrelationsregler kræver en dybtgående forståelse af en angribers adfærd og taktik.

• 4. Forensisk analyse

  Denne komponent i en SIEM-løsning bruges til at udføre en rodårsagsanalyse og generere en hændelsesrapport med en detaljeret analyse af et angrebsforsøg eller et igangværende angreb, hvilket hjælper virksomheder med straks at træffe hensigtsmæssige afhjælpende foranstaltninger.

  Selv hvis man har de bedste forsvarsmekanismer på plads, er det ikke altid muligt for en virksomhed at afværge alle cyberangreb. En virksomhed kan dog udføre forensiske analyser for at rekonstruere gerningsstederne og fastslå rodårsagen til bruddet. Da logdata omfatter en registrering af alle de hændelser, der fandt sted på en bestemt enhed eller i et bestemt program, kan de analyseres for spor, som skadelige angribere har efterladt.

  SIEM-systemer hjælper sikkerhedsteamet med at gennemse logfilerne, generere forensiske rapporter og finde ud af, hvornår et bestemt sikkerhedsbrud fandt sted, hvilke systemer og data der blev kompromitteret, hvilke hackere der stod bag den skadelige aktivitet, samt indgangsstedet.

  Denne komponent hjælper også virksomheder med at opfylde visse krav såsom opbevaring og arkivering af logdata i lang tid og muligheden for at udføre forensiske undersøgelser af dem.

• 5. Opdagelse af og reaktion på hændelser

  Detektering af hændelser

  Dette modul i en SIEM-løsning er involveret i at detektere sikkerhedsbrud. En sikkerhedshændelse er et forsøg på eller et vellykket databrud i netværket af en uautoriseret part eller en overtrædelse af en organisations sikkerhedspolitikker. Denial-of-service-angreb, misbrug af data og ressourcer, uautoriseret eskalering af privilegier og phishingangreb er nogle almindelige eksempler på sikkerhedshændelser. Disse hændelser skal detekteres og analyseres, og der skal træffes hensigtsmæssige foranstaltninger for at løse sikkerhedsproblemet og samtidig sikre kontinuiteten i forretningsdriften. Under detektering af hændelser stræber organisationer efter at holde den gennemsnitlige tid til at detektere (MTTD) så lav som muligt for at reducere den skade, som angriberne forårsager.

  Hændelser kan detekteres med følgende teknikker:

  • Hændelseskorrelation
  • Threat intelligence
  • Analyse af bruger- og enhedsadfærd (UEBA)

  Reaktion på hændelser

  Dette modul i en SIEM-løsning tager sig af afhjælpende handlinger, der foretages for at løse sikkerhedshændelser, når de detekteres. Med daglige angreb på virksomheder og angribere, der anvender mere sofistikerede teknikker, er det blevet vanskeligere at reagere på hændelser. At reducere den gennemsnitlige tid til løsning (MTTR) er en vigtig prioritet for alle virksomheder.

  Nogle teknikker til at reagere på hændelser omfatter:

  • Automatisering af reaktion på hændelser med arbejdsgange
  • Gennemførelse af forensisk undersøgelse

• 6. Konsol til reaktion på eller advarsel om hændelser i realtid

  SIEM-løsninger udfører logindsamlings- og korrelationsaktiviteter i realtid; hvis der detekteres mistænkelig aktivitet, udsendes der straks en advarsel, og hændelsesreaktionsteamet griber straks ind for at afbøde angrebet eller forhindre det i at ske.

  Advarsler kan også sendes via e-mail eller SMS i realtid og kan kategoriseres ud fra de prioriteter, de tildeles: høj, mellem eller lav. Arbejdsgange kan tildeles sikkerhedshændelser, så når der kommer en advarsel, udføres den tilsvarende arbejdsgang automatisk.

• 7. Threat intelligence

  Threat intelligence giver kontekstuelle oplysninger, der er nødvendige for at identificere forskellige slags cybersikkerhedstrusler og træffe passende foranstaltninger for at forhindre, løse eller afbøde dem. Ved at forstå kilden til angrebet, motivet bag det, de strategier og metoder, der bruges til at udføre det, samt tegnene på kompromittering, kan organisationer bedre forstå truslen, vurdere risiciene og træffe velinformerede beslutninger.

  For at tilføje kontekstuelle oplysninger kan virksomheder enten få trusselsfeeds fra tredjepartsleverandører eller sammensætte og bruge open source-trusselsfeeds, der er tilgængelige i STIX-/TAXII-format. Truslens art kan straks identificeres, og afhjælpning kan påbegyndes, hvilket reducerer MTTR.

  Denne komponent hjælper også sikkerhedsadministratorer med at udføre trusselsjagt, hvor man aktivt søger gennem hele netværket efter eventuelle trusler eller indikatorer på kompromittering, som måske omgår sikkerhedssystemet.

• 8. Analyse af bruger- og enhedsadfærd (UEBA)

  Denne komponent hjælper med at detektere sikkerhedshændelser. Angribere udvikler konstant nye teknikker til at hacke netværk, og derfor bliver konventionelle sikkerhedssystemer hurtigt forældede. Organisationer kan dog forsvare sig mod alle slags cybertrusler ved hjælp af maskinlæringsteknikker.

  UEBA-komponenter anvender maskinlæringsteknikker til at udvikle en adfærdsmodel baseret på den normale adfærd hos brugere og maskiner i en virksomhed. Denne adfærdsmodel udvikles for hver bruger og enhed ved at behandle store mængder data fra forskellige netværksenheder. Enhver hændelse, der afviger fra denne adfærdsmodel, betragtes som en anomali og vil blive vurderet yderligere for potentielle trusler. Brugeren eller enheden får tildelt en risikoscore; jo højere risikoscore, desto større mistanke. På baggrund af risikoscoren foretages en risikovurdering, og der iværksættes afhjælpende aktiviteter.

  Nogle vil måske spørge, hvad forskellen er på et korrelationssystem og UEBA. Mens førstnævnte er et regelbaseret system, der bruges til at detektere hændelser og trusler, spotter sidstnævnte, som navnet antyder, mistænkelige hændelser baseret på adfærdsanalyse. Hvis en virksomhed skal afværge angreb effektivt, skal den bruge både den konventionelle regelbaserede mekanisme og den moderne adfærdsanalyse.

• 9. Administration af IT-compliance

  Når det gælder databeskyttelse og ‑sikkerhed, forventes det generelt, at en virksomhed lever op til de nødvendige standarder, regler og retningslinjer pålagt af forskellige tilsynsorganer. Disse lovkrav varierer for forskellige virksomheder afhængigt af branchetype og region. Hvis virksomheden ikke overholder dette, vil den blive straffet.

  For at sikre at en organisation opfylder alle de myndighedspålagte krav til beskyttelse af følsomme data, indeholder SIEM-løsninger en complianceadministrationskomponent. Proaktive foranstaltninger som anvendelse af forskellige teknikker til at identificere uregelmæssigheder, mønstre og cybertrusler bør også iværksættes for at beskytte følsomme data mod at blive kompromitteret.

  SIEM-løsninger har mulighed for at gemme og arkivere logdata i en længere periode, så revisorer kan kontrollere revisionssporene. De kan også generere compliancerapporter som HIPAA, SOX, PCI DSS, GDPR og ISO 27001 gennem logindsamling og ‑analyse samt klar-til-brug-rapporter i henhold til de specifikke lovkrav.

Alle disse SIEM-komponenter arbejder sammen om at hjælpe sikkerhedsteamet ved at give indsigt i forskellige former for trusler, deres angrebsmønstre og skadelige aktiviteter, der kan finde sted i netværket, samt de nødvendige foranstaltninger, der skal træffes for at løse eventuelle sikkerhedsproblemer.