Per qualsiasi soluzione SIEM, le regole di rilevamento integrate sono funzionalità chiave che possono garantire che il rilevamento delle minacce informatiche sia più semplice ed efficace. Per qualsiasi analista della sicurezza, le regole di rilevamento integrate sono utili, ma è fondamentale essere in grado di utilizzare regole di rilevamento della sicurezza personalizzate che possono essere adattate alla strategia di sicurezza dell'organizzazione.
Le regole integrate incentrate sul rilevamento delle minacce informatiche tendono a non invecchiare bene, poiché potrebbero non essere ottimizzate per rilevare le minacce più recenti. Comprendere le minacce informatiche a cui è esposta l'organizzazione e creare regole di rilevamento su misura è fondamentale. Le regole di rilevamento della sicurezza personalizzate consentono di prevenire i falsi positivi e di garantire che la strategia di sicurezza dell'organizzazione sia più in linea con il rilevamento delle minacce esterne.
Le regole di rilevamento, così come Roma, non possono essere costruite in un giorno. C'è un processo per progettarle in modo che possano identificare le minacce informatiche in modo rapido ed efficiente. Questo post consente di comprendere come impostare regole di rilevamento su soluzioni SIEM e illustra il ciclo di vita di una regola di rilevamento.
Il primo passaggio per impostare una regola di rilevamento consiste nell'identificare le richieste della rete. Questo si basa su una valutazione delle minacce informatiche che la tua organizzazione deve affrontare, delle risorse che potrebbero essere a potenziale rischio e della soluzione SIEM in cui hai pianificato di investire o in cui hai investito. Questi fattori possono aiutare a determinare la regola di rilevamento di cui deve essere dotata la soluzione di sicurezza. Fondamentale per lo sviluppo di una regola di rilevamento è rendersi conto che dipende fortemente dalle origini di minaccia informatica a cui si è abbonati.
La soluzione di intelligence sulle minacce informatiche che stai usando determinerà le condizioni logiche per determinare la necessità e la progettazione della regola di rilevamento. Ad esempio, in caso di attacco zero-day, non è possibile fare affidamento sulle firme esistenti, per comprendere la minaccia e creare regole. Tuttavia, se il SIEM dispone di funzionalità UEBA, l’analista può creare regole di rilevamento per avvisare gli amministratori di comportamenti anomali, ad esempio qualsiasi attività Internet in uscita non autorizzata su porte non autorizzate.
Dopo aver determinato le condizioni logiche per la regola di rilevamento, è il momento di configurarla. Ciò include la configurazione di un ambiente di test in grado di gestire grandi volumi di log da diverse origini di log in modo da poter testare la regola di rilevamento. La creazione di molte origini di log solo per testare la regola SIEM non è pratica. In questo modo è possibile inserire i log di produzione nell'ambiente di test, che può raddoppiare i costi di inserimento poiché si inseriscono questi log per due ambienti.
Se hai individuato un modo fattibile per inserire i log nel tuo ambiente di test, è il momento di convalidare la logica della tua regola di rilevamento. In questo caso, avere uno strumento di simulazione degli attacchi di violazione o un red team in grado di eseguire il pen test manuale può aiutare a convalidare la regola di rilevamento.
Durante la convalida, tieni presente che dovrai cercare questi fattori per l'efficienza delle regole di rilevamento:
La regola di rilevamento SIEM standard deve essere testata per i seguenti casi di test.
Dopo aver eseguito questi test, è necessario ottimizzare la regola di rilevamento per eliminare i falsi positivi, che è un problema comune, con le nuove regole di rilevamento. L'inserimento nell'elenco di determinate applicazioni o porte può aiutare a ridurre i falsi positivi. Dopo l'ottimizzazione, è necessario eseguire nuovamente la regola di rilevamento per testarne la correlazione e le riduzioni di falsi positivi.
Dopo aver messo a punto la regola di rilevamento, è necessario introdurre la nuova regola nell'ambiente di produzione. Questa decisione richiede la partecipazione di tutti i membri chiave del SOC per rivedere la regola di rilevamento, verificarne le prestazioni e suggerire miglioramenti.
La capacità di consentire all'analista della sicurezza di creare regole di rilevamento su misura che possono essere ottimizzate in base alla configurazione di rete dell'organizzazione è una funzionalità cruciale che le soluzioni SIEM dovrebbero offrire. Log360 è una soluzione SIEM che consente di creare regole di rilevamento personalizzate utilizzando il suo generatore di regole personalizzate, che consente di creare metodologie di rilevamento specifiche che forniscono una sicurezza più personalizzata ed efficace per la tua organizzazione.