Las soluciones de gestión de eventos e información de seguridad (SIEM) son indispensables para los modernos centros de operaciones de seguridad, ya que proporcionan información crucial sobre posibles amenazas y permiten mitigarlas. Sin embargo, un reto común al que se enfrentan los equipos de seguridad es la avalancha de falsos positivos que generan las herramientas SIEM. Estas alertas, aunque aparentemente inofensivas, pueden conducir a la fatiga de las alertas, al despilfarro de recursos e incluso a ocultar incidentes de seguridad genuinos. Esta guía proporciona un enfoque práctico de resolución de problemas para minimizar los falsos positivos y mejorar la efectividad de su SIEM.

Comprender la causa raíz

Antes de sumergirse en la solución de problemas, es esencial comprender las razones comunes de la fatiga de alertas o falsos positivos activados por una solución SIEM:

  • Reglas demasiado agresivas: reglas de detección de amenazas SIEM amplias o sensibles que activan alertas sobre actividades benignas.
  • Líneas de base imprecisas: las soluciones SIEM, que utilizan componentes de análisis del comportamiento de los usuarios, utilizan líneas de base para identificar anomalías. Si estas líneas de base son inexactas o están desactualizadas, pueden generar falsas alarmas.
  • Falta de contexto: una alerta puede calificarse con el mejoramiento de los datos. Sin suficiente información contextual, los sistemas SIEM pueden malinterpretar actividades legítimas como maliciosas.
  • Fuentes de datos mal configuradas: en ocasiones, unos logs o fuentes de datos mal configurados pueden dar lugar a datos inexactos y falsas alertas.
  • Inteligencia contra amenazas desactualizada: el uso de fuentes de inteligencia contra amenazas obsoletas puede dar lugar a alertas de actividades benignas conocidas.

Descubra cómo el umbral inteligente de ManageEngine Log360 puede ayudarle a reducir los falsos positivos en los eventos de alerta basados en el volumen.

Cómo reducir los falsos positivos en la herramienta SIEM

Las alertas de falsos positivos en las plataformas SIEM suponen un importante reto operativo, especialmente para los SOC que cuentan con poco personal. Afecta a la eficiencia de los analistas de seguridad y presenta problemas críticos de asignación de recursos. Esta sección ofrece un resumen general de las técnicas que pueden ayudarle a reducir los falsos positivos y mejorar la precisión de la detección de amenazas de la solución SIEM. Examinaremos metodologías para el refinamiento de reglas, la normalización de datos, la detección de anomalías y la optimización de plataformas, centrándonos en la implementación práctica para reducir el ruido y mejorar la precisión de la correlación de eventos de seguridad.

  • Normalización y mejoramiento de fuentes de datos
  • Ajuste avanzado de reglas y refinamiento lógico
  • Análisis de comportamiento y detección de anomalías
  • Mejoramiento de los datos

Normalización y mejoramiento de las fuentes de datos: Sentar las bases de la precisión

La precisión de sus alertas SIEM depende directamente de la calidad de los datos que recibe. El análisis sintáctico y la extracción de campos son pasos fundamentales en este proceso. El uso de herramientas dedicadas de gestión de logs o de la función de recopilación de datos de una solución SIEM garantiza un análisis sintáctico consistente y la normalización de los datos de log. Garantizar que los datos de log se representen con precisión validando los campos extraídos con formatos de datos conocidos evita interpretaciones erróneas.

Obtenga más información sobre el análisis sintáctico y la normalización de Log360 para gestionar efectivamente sus datos de log.

Ajuste avanzado de reglas y refinamiento lógico: Esculpir la precisión a partir de grandes trazos

En el centro de la minimización de los falsos positivos se encuentra el ajuste fino de las reglas de detección que controlan la función de detección de amenazas de su SIEM. Para ajustar sus reglas de detección,

Detección de amenazas por capas:

Necesita adoptar un enfoque de detección de amenazas por capas en el que se documente cada disparador de un único evento y las reglas de correlación con múltiples condiciones que activen la alerta. La correlación de varios eventos añade un sistema de verificación de varios niveles para el motor de detección de amenazas, lo que hace que la detección sea relativamente precisa.

Ejemplo: en lugar de activar una alerta por el inicio de sesión desde una dirección IP desconocida, añada una secuencia de eventos como el inicio de sesión desde una dirección IP desconocida seguido del acceso a archivos sensibles en un plazo de cinco o diez minutos.

Esto reduce drásticamente la probabilidad de falsas alertas activadas por eventos aislados y benignos.

Alertas basadas en la frecuencia de aparición:

El refinamiento adicional de las alertas se produce a través de umbrales basados en el tiempo, que se centran en la frecuencia de los eventos más que en las ocurrencias aisladas. Más de cinco intentos fallidos de inicio de sesión en un minuto es un indicador más convincente de un posible ataque que un inicio de sesión fallido.

Priorización y supresión de reglas:

En este enfoque estratégico de la gestión de alertas, se da prioridad a las reglas críticas, mientras que se suprimen las reglas de baja prioridad que generan sistemáticamente falsos positivos. ¿Cómo determina si una regla es crítica o no? Priorice las reglas en función de la gravedad de la amenaza, la criticidad de los activos, los requisitos de cumplimiento y el impacto potencial en las operaciones empresariales.

Enfoque práctico para la priorización de reglas:

  • Clasificación basada en el riesgo: asigne gravedad a cada categoría de amenaza y asigne cada regla de detección a una o más categorías de amenaza y herede la puntuación de gravedad más alta.
  • Puntuación de la criticidad de los activos: asigne puntuaciones de criticidad a los activos en función de su impacto en las operaciones empresariales. Las reglas que monitorean los activos críticos reciben mayor prioridad.
  • Alineación con el cumplimiento: adentifique las reglas que abordan directamente los requisitos de cumplimiento y se debe dar prioridad a las reglas relacionadas con el cumplimiento.
  • Evaluación y perfeccionamiento de reglas: realice un análisis de la tasa de verdaderos positivos (TPR) y de la tasa de falsos positivos (FPR). Controle la TPR y la FPR de cada regla a lo largo del tiempo. Las reglas con un TPR alto y un FPR bajo son muy efectivas y deben priorizarse.
  • Complejidad y rendimiento de las reglas: evalúe la complejidad de cálculo de cada regla. Las reglas complejas con un alto consumo de recursos pueden necesitar ser optimizadas o priorizadas en función de su efectividad o de su asociación con la criticidad o el riesgo de los activos.

Aparte de la optimización de reglas, se pueden implementar dependencias de reglas para que una de nivel superior pueda suprimir automáticamente una de nivel inferior. Considere la posibilidad de implementar una lógica de priorización automatizada que dé prioridad a las reglas en función de criterios definidos. También podría implementar una priorización dinámica basada en la inteligencia de amenazas en tiempo real y en la actividad de la red. Por ejemplo, aumentar la prioridad de las reglas relacionadas con una amenaza específica que sea tendencia en ese momento.

Lógica de reglas con estado:

La lógica de reglas con estado añade una capa de memoria a la SIEM, lo que le permite recordar eventos pasados y ajustar su comportamiento en consecuencia. Por ejemplo, si un usuario ha iniciado sesión desde un lugar específico en la última hora, es menos probable que un inicio de sesión posterior desde el mismo lugar sea motivo de alarma.

Análisis del comportamiento y detección de anomalías: Descubrir las señales sutiles

Más allá de la detección basada en reglas, las líneas de base fundamentadas en ML permiten a la SIEM aprender el comportamiento normal de la red e identificar anomalías sutiles que las reglas tradicionales podrían pasar por alto. Al crear líneas de base dinámicas, el sistema puede adaptarse a la evolución de los patrones de la red y reducir los falsos positivos causados por los umbrales estáticos. El análisis del comportamiento de usuarios y entidades (UEBA) lleva esto un paso más allá al analizar los patrones de comportamiento de usuarios y entidades para detectar amenazas internas y cuentas comprometidas. Esto ayuda a identificar desviaciones del comportamiento normal que podrían indicar una actividad maliciosa. La detección estadística de anomalías utiliza modelos estadísticos, como la desviación estándar, para identificar valores atípicos en los datos de log, como picos inusuales en el tráfico de red.

Mejoramiento de datos: Crear excepciones con precisión

El mejoramiento de los datos desempeña un rol fundamental en la minimización de los falsos positivos al proporcionar un contexto crucial a las alertas SIEM. Estos datos contextuales proceden de la integración de diversas fuentes, como fuentes de inteligencia contra amenazas, bases de datos de gestión de activos, directorios de usuarios y otras herramientas de seguridad que implementan las organizaciones. Mejorar contextualmente las alertas con telemetría y datos de seguridad relevantes aumenta significativamente la precisión del análisis y reduce el tiempo medio de resolución. Por ejemplo, mejorar una alerta con datos de geolocalización puede distinguir entre un inicio de sesión legítimo desde una oficina remota y un inicio de sesión sospechoso desde una ubicación desconocida. Del mismo modo, la incorporación de datos sobre la criticidad de los activos permite a la SIEM priorizar las alertas en función de la sensibilidad del sistema afectado, reduciendo el ruido generado por las alertas de activos menos críticos. Además, el mejoramiento del contexto del usuario, como los roles laborales y los privilegios de acceso, ayuda a diferenciar entre las actividades autorizadas y los comportamientos potencialmente maliciosos. Al proporcionar una visión completa del evento, el mejoramiento de los datos permite a los analistas de seguridad tomar decisiones con conocimiento de causa, reduciendo la probabilidad de falsas alarmas y centrando sus esfuerzos en las amenazas reales.

Escenario práctico de reducción de falsos positivos mediante el mejoramiento de datos contextuales

Una solución SIEM genera una alerta Actividad de inicio de sesión inusual detectada - Inicio de sesión .desde la dirección IP 203.0.113.12

Sin el mejoramiento de los datos, el analista de seguridad:

  • Observa que el inicio de sesión procede de una IP desconocida
  • Podría iniciar una investigación a gran escala, interrumpiendo potencialmente el flujo de trabajo del usuario.

Esta alerta podría ser un falso positivo si el usuario se está desplazando de un lugar a otro o trabajando a distancia.

Por otro lado, si esta alerta se mejora con datos contextuales como:

  • Geolocalización y mejoramiento de la fuente contra amenazas: SIEM se integra con la fuente de inteligencia contra amenazas y determina que 203.0.113.12 se encuentra en Sídney, Australia, con una puntuación de reputación bastante buena y sin historial de actividad maliciosa.
  • Mejoramiento del contexto del usuario: la solución SIEM se integra con el proveedor de acceso a la identidad para averiguar que el usuario es un representante de ventas. Además, a través de la integración ITSM también añade más contexto indicando que el itinerario de viaje del usuario se ha enviado la semana pasada.

Resultado: la solución SIEM presenta ahora la alerta con datos mejorados: actividad de inicio de sesión inusual detectada desde la dirección IP aparentemente segura 203.0.113.12 (Sídney, Australia, con una puntuación de reputación>70). Confirmación del itinerario de viaje del usuario. No hay actividad maliciosa. Alerta de bajo riesgo.

Esto ayuda a los analistas de seguridad a determinar rápidamente que se trata de un inicio de sesión legítimo. Se evitan los falsos positivos, ahorrando tiempo y recursos.

Consideraciones prácticas: El elemento humano de la gestión SIEM

El monitoreo y el ajuste continuos son esenciales para mantener una SIEM efectiva. Los patrones de alerta deben ser monitoreados regularmente, y las reglas y configuraciones ajustadas según sea necesario. La documentación y el intercambio de conocimientos garantizan que se documenten todos los cambios y configuraciones de las reglas, y que el equipo de seguridad comparta los conocimientos y las mejores prácticas. Las pruebas y la validación son cruciales antes de implementar cualquier cambio de reglas o configuraciones en la producción. Las pruebas minuciosas en un entorno de pruebas minimizan el riesgo de consecuencias imprevistas. Los intercambios de comentarios con otros equipos proporcionan un contexto valioso para los falsos positivos. El equipo de la red, los administradores del sistema y los propietarios de las aplicaciones pueden proporcionar información sobre las actividades legítimas que podrían activar falsas alarmas.

Mediante la implementación de estos consejos técnicos avanzados, las organizaciones pueden reducir significativamente los falsos positivos de las alertas SIEM, crear un entorno de monitoreo de la seguridad más eficiente y efectivo y, en última instancia, fortalecer su postura general de ciberseguridad.

¿Qué sigue?

Optimice la seguridad con la solución SIEM de ManageEngine, Log360.

DescargarObtener una visita guiada por el producto
En esta página
 
  • Comprender la causa raíz
  • Cómo reducir los falsos positivos en la herramienta SIEM
  • Consideraciones prácticas: El elemento humano de la gestión SIEM