Различные типы журналов в SIEM и их форматы

На этой странице

  • Типы данных журналов
  • Различные форматы журналов
  • Common Event Format (CEF)

Решение для управления информационной безопасностью и событиями безопасности (SIEM) обеспечивает надежную защиту сети организации путем мониторинга различных типов данных в сети. Данные журнала регистрируют все действия, происходящие на устройстве и в приложениях во всей сети. Чтобы оценить состояние безопасности сети, решения SIEM должны собирать и анализировать различные типы данных журналов.

В этой статье подробно описываются различные типы данных журналов, которые следует собирать и анализировать с помощью решения SIEM для обеспечения безопасности сети.

Типы данных журналов

Решения SIEM отслеживают шесть различных типов журналов:

1. Журналы устройств периметра сети

Устройства периметра сети отслеживают и регулируют входящий и исходящий трафик сети. К таким устройствам относятся межсетевые экраны, виртуальные частные сети (VPN), системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS). Эти устройства генерируют журналы, содержащие большой объем данных, а журналы устройств периметра сети имеют решающее значение для понимания событий безопасности, происходящих в сети. Данные журнала в формате syslog помогают ИТ-администраторам проводить аудит безопасности, устранять неполадки в работе и лучше понимать трафик, проходящий через корпоративную сеть и из нее.

Зачем нужно отслеживать данные журнала устройства периметра сети?

  • Для обнаружения вредоносного трафика в сети. Эти журналы содержат сведения о входящем трафике, IP-адресах веб-сайтов, просматриваемых пользователями, и неудачных попытках входа в систему, что помогает отслеживать аномальное поведение трафика.
  • Для обнаружения неправильных настроек безопасности. Неправильные настройки безопасности являются наиболее частой причиной взлома межсетевых экранов. Несколько изменений в настройках межсетевого экрана могут открыть двери вредоносному сетевому трафику. Мониторинг журналов межсетевых экранов поможет вам обнаружить несанкционированные изменения конфигурации безопасности.
  • Для обнаружения атак. Анализ журналов межсетевых экранов помогает обнаружить закономерности в сетевой активности. Например, когда сервер в течение короткого времени получает большое количество SYN-пакетов для подключения клиента к серверу, это может указывать на распределенную атаку типа "отказ в обслуживании" (DDoS).

Анализ данных типичного журнала устройства периметра сети (межсетевого экрана)

2015-07-06 11:35:26 ALLOW TCP 10.40.4.182 10.40.1.11 63064 135 0 - 0 0 0 - - - SEND

Запись журнала выше указывает временную метку события, за которой следует действие. В этом примере показаны день и час, когда межсетевой экран разрешил трафик. Он также содержит информацию об используемом протоколе, а также IP-адресах и номерах портов источника и назначения. С помощью таких данных журнала можно обнаружить попытки подключения к портам, которые вы не используете, что указывает на то, что трафик является вредоносным.

Об этом объяснении: Этот контент является частью нашей подробной серии статей о том, что такое SIEM и инструменты SIEM. Продолжайте изучать экспертные мнения и передовой опыт!

2. Журналы событий Windows

Журналы событий Windows - это запись всего, что происходит в операционной системе Windows. Эти данные журнала далее классифицируются на следующие:

  • Журналы событий приложений: это события, регистрируемые приложениями в операционной системе Windows. Например, в журнале этого приложения регистрируется ошибка, приводящая к закрытию приложения.
  • Журналы безопасности: это любые события, которые могут повлиять на безопасность системы. Сюда входят неудачные попытки входа в систему и случаи удаления файлов.
  • Журналы системы: содержат события, которые регистрируются операционной системой. Журналы показывают, были ли процессы и драйверы успешно загружены.
  • Журналы службы каталогов: содержат события, регистрируемые службой Active Directory (AD). Они записывают операции AD, такие как аутентификация и изменение привилегий. Эти журналы доступны только для контроллеров домена.
  • Журналы DNS-серверов: доступны для DNS-серверов и содержат такую информацию, как IP-адреса клиентов, запрошенные домены и запрошенные записи. Доступны только для DNS-серверов.
  • Журналы службы репликации файлов: содержат события репликации контроллера домена. Доступны только для контроллеров домена.

Зачем нужно отслеживать журналы событий Windows?

  • Для обеспечения безопасности сервера. Большинство критически важных серверов, таких как файловые серверы и контроллеры доменов AD, работают на платформе Windows. Важно отслеживать данные этих журналов, чтобы понимать, что происходит с критически важными ресурсами.
  • Для обеспечения безопасности рабочих станций Windows. Журналы событий предоставляют ценную информацию о функционировании рабочей станции. Мониторинг журналов событий Windows, создаваемых устройством, позволяет отслеживать действия пользователя на предмет аномального поведения, что может помочь обнаружить атаки на ранних стадиях. В случае атаки журналы могут помочь восстановить действия пользователя для криминалистических целей.
  • Для мониторинга компонентов оборудования. Анализ журналов событий Windows помогает диагностировать проблемы с неисправностями аппаратных компонентов рабочей станции, указывая причину неисправности.

Анализ типичного журнала событий Windows

Warning 4/28/2020 12:32:47 PM WLAN-AutoConfig 4003 None

Windows классифицирует каждое событие по уровню его серьезности как "Предупреждение", "Информация", "Критическое" и "Ошибка". Уровень безопасности в данном случае - "Предупреждение". Приведенная выше запись журнала относится к службе WLAN AutoConfig, которая представляет собой утилиту управления подключениями, позволяющую пользователям динамически подключаться к беспроводной локальной сети (WLAN). Следующий сегмент указывает дату и время, когда произошло событие. В журнале указано, что функция автонастройки WLAN обнаружила ограниченное сетевое подключение и пытается автоматически восстановить его. Используя этот журнал, решение SIEM может проверить наличие аналогичных журналов на других устройствах в отметке времени, указанной в этом журнале, чтобы устранить проблему с сетевым подключением.

3. Журналы конечных точек

Конечные точки - это устройства, которые подключены к сети и взаимодействуют с другими устройствами через серверы. В качестве примеров можно привести настольные компьютеры, ноутбуки, смартфоны и принтеры. Поскольку организации все чаще переходят на удаленную работу, конечные точки создают точки входа в сеть, которые могут быть использованы злоумышленниками.

Зачем нужно отслеживать журналы конечных точек?

  • Для мониторинга активности на съемных дисках. Съемные диски часто уязвимы для установки вредоносных программ и попыток кражи данных. Такие попытки можно обнаружить, отслеживая журналы конечных точек.
  • Для мониторинга активности пользователей. Пользователи обязаны соблюдать внутренние и внешние нормативные положения своей организации, касающиеся установки и использования программного обеспечения на своих рабочих станциях. Журналы конечных точек можно использовать для мониторинга этих политик и предоставления уведомлений в случае нарушений.

Анализ типичного журнала конечного устройства

Error 6/20/2019 5:00:45 PM Terminal Services- Printers 1111 None

В приведенном выше журнале указано, что произошла ошибка в драйвере Terminal Services Easy Print. На это указывает источник ошибки и идентификатор события (1111). Если у пользователя возникают проблемы с печатью файла, можно проанализировать журналы, чтобы определить точную причину проблемы и способы ее устранения.

4. Журналы приложений

Предприятия используют различные приложения, такие как базы данных, приложения веб-серверов и другие внутренние приложения для выполнения определенных функций. Эти приложения часто имеют жизненно важное значение для эффективного функционирования бизнеса. Все эти приложения генерируют данные журналов, которые дают представление о том, что происходит внутри приложений.

Зачем нужно отслеживать журналы приложений?

  • Для устранения неполадок. Сведения в этих журналах помогают выявлять и устранять проблемы, связанные с производительностью и безопасностью приложений.
  • Для мониторинга действий. Журналы, созданные в базе данных, отражают запросы пользователей. Эти сведения также помогают обнаружить попытки несанкционированного доступа к файлам и манипулирования данными со стороны пользователей. Кроме того, они полезны для устранения неполадок в базе данных.

Анализ типичного журнала приложения

02-AUG-2013 17:38:48 * (CONNECT_DATA=(SERVICE_NAME=dev12c)
(CID=(PROGRAM=sqlplus)(HOST=oralinux1)(USER=oracle))) *
(ADDRESS=(PROTOCOL=tcp)(HOST=192.168.2.121)(PORT=21165))
* establish * dev12c * 0

Приведенная выше запись журнала взята из системы базы данных Oracle. Журнал содержит запись попытки подключения с хост-компьютера. В журнале указываются время и дата получения запроса сервером базы данных. Также указывается пользователь и хост-компьютер, с которого поступил запрос, а также его IP-адрес и номер порта.

5. Журналы прокси-серверов

Прокси-серверы играют важную роль в сети организации, обеспечивая конфиденциальность, регулируя доступ и экономя пропускную способность. Поскольку все веб-запросы и ответы проходят через прокси-сервер, журналы прокси-сервера могут раскрыть ценную информацию о статистике использования и поведении пользователей конечных точек при просмотре страниц.

Зачем нужно отслеживать журналы прокси-серверов?

  • Для определения базового поведения пользователя. Анализ действий пользователей в браузере с помощью собранных журналов прокси-сервера может помочь сформировать базовую картину их поведения. Любое отклонение от базового уровня может свидетельствовать об утечке данных и указывать на необходимость дальнейшей проверки.
  • Для контроля длины пакетов. Журналы прокси-серверов могут помочь отслеживать длину пакетов, передаваемых через прокси-сервер. Например, если пользователь неоднократно отправляет или получает пакеты одинаковой длины в течение определенного интервала времени, это может указывать на обновление программного обеспечения или на вредоносное ПО, обменивающееся сигналами с серверами управления.

Анализ типичного журнала прокси-сервера

4/8/2020 2:20:55 PM User-001 192.168.10.10 GET https://wikipedia.com/

В приведенном выше журнале указано, что пользователь "User-001" запросил страницы с сайта Wikipedia.com в указанные в журнале дату и время. Анализ запросов, URL-адресов и временных меток в журналах помогает обнаружить закономерности и способствует восстановлению доказательств в случае возникновения события.

6. Журналы устройств Интернета вещей (IoT)

Интернет вещей (IoT) - это сеть физических устройств, которые обмениваются данными с другими устройствами в Интернете. Эти устройства оснащены встроенными датчиками, процессорами и программным обеспечением для сбора, обработки и передачи данных. Как и конечные точки, устройства, входящие в состав системы Интернета вещей, генерируют журналы. Данные журналов с устройств Интернета вещей предоставляют информацию о функционировании аппаратных компонентов, таких как микроконтроллеры, требованиях к обновлению прошивки устройства, а также потоке данных на устройство и из него. Важнейшей частью регистрации данных в системах Интернета вещей является место хранения данных журнала. Эти устройства не обладают достаточным объемом памяти для хранения журналов. Поэтому журналы необходимо пересылать в централизованное решение для управления журналами, где они могут храниться в течение длительного периода времени. Затем решение SIEM анализирует журналы для устранения ошибок и обнаружения угроз безопасности.

Журналы из всех вышеперечисленных источников обычно передаются в централизованное решение для ведения журналов, которое сопоставляет и анализирует данные для предоставления обзора безопасности сети. Журналы хранятся и передаются в различных форматах, таких как CSV, JSON, пара "ключ-значение" и общий формат событий.

Различные форматы журналов

CSV

CSV - это формат файла, в котором значения хранятся в формате, разделенном запятыми. Это формат обычного текстового файла, который позволяет с легкостью импортировать CSV-файлы в базу данных хранилища независимо от используемого программного обеспечения. Поскольку CSV-файлы не являются иерархическими или объектно-ориентированными, их также легче преобразовывать в другие типы файлов.

JSON

JavaScript Object Notation (JSON) - это текстовый формат для хранения данных. Это структурированный формат, который облегчает анализ сохраненных журналов. Его также можно запрашивать по определенным полям. Эти дополнительные функции делают JSON очень надежным форматом для управления журналами.

Пара "ключ-значение"

Пара "ключ-значение" состоит из двух элементов: ключа и сопоставленного ему значения. Ключ является константой, а значение меняется в зависимости от разных записей. Форматирование подразумевает группировку схожих наборов данных под общим ключом. Выполнив запрос по определенному ключу, можно извлечь все данные по этому ключу.

Common Event Format (CEF)

Common Event Format (CEF) - это формат управления журналами, который обеспечивает взаимодействие, упрощая сбор и хранение данных журналов с различных устройств и приложений. В нем используется формат сообщений syslog. Это самый распространенный формат ведения журналов, поддерживаемый множеством поставщиков и программных платформ, состоит из заголовка CEF и расширения CEF, которое содержит данные журнала в парах "ключ-значение".

Ниже приведены различные типы данных журнала и их форматы. Сбор этих журналов вручную из разных источников в сети и их сопоставление - утомительный и трудоемкий процесс. Решение SIEM может помочь вам в этом. Решение SIEM анализирует журналы, собранные из разных источников, сопоставляет данные журналов и предоставляет информацию, помогающую организациям обнаруживать кибератаки и восстанавливаться после них.

Рекомендуемая литература

Централизованное управление журналами Управление системными журналами Упреждающий поиск угроз Анализ угрозОбнаружение угроз