Komponenter i SIEM-arkitekturen

Företag står inför en ständig kamp mot ett växande antal dagliga cyberattacker. Säkerhetsinformation och händelsehantering (SIEM) är ett säkerhetssystem som används i stor utsträckning av olika företag för att skydda sina nätverk mot dessa cyberattacker.

En SIEM-lösning består av olika komponenter som hjälper säkerhetsteam att upptäcka dataintrång och skadlig aktivitet genom att kontinuerligt övervaka och analysera nätverksenheter och händelser. Denna artikel beskriver de olika komponenterna i en SIEM-arkitektur.

De 9 komponenterna i en SIEM-arkitektur

• 1. Dataaggregering

  Denna komponent i en SIEM-lösning ansvarar för att samla in loggdata som genereras av flera källor inom ett företagsnätverk, såsom servrar, databaser, applikationer, brandväggar, routrar, molnsystem och mer. Loggarna – som innehåller en historik över alla händelser i en viss enhet eller applikation – samlas in och lagras på en central plats eller i ett datalager.

  De olika teknikerna för logginsamling i SIEM inkluderar:

  • Agentbaserad logginsamling:

    Med denna teknik installeras en agent på varje nätverksenhet som genererar loggar. Dessa agenter ansvarar för att samla in loggarna från enheterna och vidarebefordra dem till den centrala SIEM-servern. Utöver dessa uppgifter kan de även filtrera loggdata på enhetsnivå baserat på fördefinierade parametrar, parsa dem och konvertera dem till ett lämpligt format innan de vidarebefordras. Denna anpassade metod för logginsamling och vidarebefordran bidrar till en optimal användning av bandbredden.

    Den agentbaserade metoden för logginsamling används främst i slutna och säkra zoner där kommunikationen är begränsad.

  • Agentfri logginsamling:

    I den här metoden används inga agenter på nätverksenheterna. Istället måste konfigurationsändringar göras i enheten så att den kan skicka genererade loggar till den centrala SIEM-servern på ett säkert sätt. I enheter som switchar, routrar, brandväggar osv. stöds ofta inte installation av tredjepartsverktyg för logginsamling, vilket gör det svårt att samla in loggdata med hjälp av en agent. I sådana fall kan en agentfri teknik för logginsamling användas. Detta minskar också belastningen på nätverksenheten eftersom man slipper installera ytterligare en agent.

  • API-baserad logginsamling:

    I denna teknik kan loggar samlas in direkt från nätverksenheterna med hjälp av applikationsprogrammeringsgränssnitt (API:er). Virtualiseringsprogramvara tillhandahåller API:er som gör det möjligt för SIEM-lösningen att samla in loggar från virtuella maskiner på distans. När företag byter från lokala system till molnlösningar blir det också svårare att föra över loggar direkt till SIEM, eftersom tjänsterna inte längre är knutna till fysisk infrastruktur. När detta sker använder molnbaserade SIEM-lösningar API:er som mellanhand för att samla in och söka i nätverksloggarna.

• Om den här förklaringen: Detta innehåll är en del av vår fördjupade serie om Vad är SIEM och SIEM-verktyg. Utforska vidare för insikter från experter och bästa praxis!

  2. Analys av säkerhetsdata (rapporter och instrumentpaneler)

  SIEM-lösningar har en säkerhetsanalysfunktion som främst består av live-instrumentpaneler som på ett intuitivt sätt visar säkerhetsdata i form av grafer och diagram. Dessa instrumentpaneler uppdateras automatiskt och gör det lättare för säkerhetsteamet att snabbt upptäcka hot och åtgärda problem. Med hjälp av dessa instrumentpaneler kan säkerhetsanalytiker upptäcka avvikelser, korrelationer, mönster och trender som kan förekomma i data och få olika insikter om händelser som äger rum i realtid. SIEM-lösningar ger också användarna möjlighet att skapa och anpassa sina egna instrumentpaneler.

  En annan aspekt av denna komponent för säkerhetsanalys är fördefinierade rapporter. SIEM-lösningar innehåller ofta hundratals färdiga rapporter som ger överblick över säkerhetshändelser, upptäcker hot och underlättar säkerhets- och efterlevnadsgranskningar. Dessa rapporter är oftast baserade på kända tecken på intrång (IoC:er) och kan anpassas efter organisationens egna säkerhetskrav.

  De flesta SIEM-system låter användaren filtrera, söka och analysera rapporter på djupet, skapa egna scheman för rapportgenerering, visa data i tabeller och grafer, och exportera rapporterna i olika filformat.

• 3. Korrelation och övervakning av säkerhetshändelser

  En korrelationsmotor är en av de viktigaste komponenterna i en SIEM-lösning. Med hjälp av fördefinierade eller användardefinierade korrelationsregler analyseras den insamlade loggdata för att hitta eventuella samband mellan olika nätverksaktiviteter, gemensamma attribut eller mönster. Korrelationsmotorer har förmågan att sammanställa olika säkerhetsincidenter för att ge en helhetsbild av säkerhetsattacker. De kan upptäcka tecken på misstänkt aktivitet, intrång eller potentiella säkerhetsöverträdelser tidigt i nätverket, och SIEM-systemet genererar även varningar för dessa aktiviteter.

  Ett exempel på en korrelationsregel:

  ”Om en användare lyckas logga in efter flera misslyckade inloggningsförsök under en kort tidsperiod, ska en varning genereras.”

  De flesta SIEM-lösningar innehåller färdiga korrelationsregler baserade på kända indikatorer på intrång (IoC:er). Eftersom angripare ständigt utvecklar nya, mer sofistikerade metoder krävs det att reglerna uppdateras och förbättras kontinuerligt, annars förlorar de sin effekt. För att skapa korrelationsregler krävs en djupgående förståelse av angriparens beteende och taktik.

• 4. Forensisk analys

  Den här delen av SIEM-lösningen används för att analysera grundorsaken till attacker och generera en incidentrapport som innehåller en detaljerad analys av ett attackförsök eller en pågående attack, vilket hjälper företag att omedelbart vidta lämpliga åtgärder.

  Även med starka säkerhetssystem är det inte säkert att ett företag kan stoppa varje cyberattack. Ett företag kan dock genomföra en forensisk analys för att rekonstruera brottsplatsen och fastställa orsaken till intrånget. Eftersom loggdata innehåller en förteckning över alla händelser som inträffat i en viss enhet eller applikation, kan den analyseras för att hitta spår efter angripare.

  Med hjälp av SIEM-system kan säkerhetsteamet analysera loggar, skapa forensiska rapporter och identifiera när säkerhetsintrånget skedde, vilka system och data som har komprometterats, vilka hackare som ligger bakom den skadliga aktiviteten samt var intrånget började.

  Denna komponent hjälper också företag att uppfylla vissa efterlevnadskrav, såsom lagring och arkivering av loggdata under långa perioder, samt möjligheten att utföra forensiska undersökningar av dessa.

• 5. Upptäckt och hantering av incidenter

  Upptäckt av incidenter

  Den här delen av SIEM-systemet fokuserar på att identifiera säkerhetshot och incidenter. En säkerhetsincident är när någon obehörig försöker eller lyckas ta sig in i nätverket, eller när organisationens säkerhetsregler överträds. Exempel på vanliga säkerhetsincidenter är överbelastningsattacker, felaktig användning av resurser, obehörig eskalering av privilegier och nätfiske. Sådana incidenter behöver snabbt identifieras och utvärderas, och lämpliga åtgärder måste vidtas för att lösa säkerhetsproblemet samtidigt som affärsverksamheten kan fortsätta utan avbrott. Vid incidentdetektering strävar organisationer efter att hålla den genomsnittliga tiden för att upptäcka incidenter (MTTD) så låg som möjligt för att begränsa skadorna som orsakas av angriparna.

  Incidentdetektering kan utföras med hjälp av följande tekniker:

  • Händelsekorrelation
  • Hotinformation
  • Analys av användar- och enhetsbeteende (UEBA)

  Incidentrespons

  Den här delen av SIEM-systemet hanterar de korrigerande åtgärder som vidtas för att lösa säkerhetsincidenter när de upptäcks. Eftersom företag dagligen ställs inför mängder av säkerhetsproblem och angripare som använder allt mer sofistikerade metoder, är det idag en stor utmaning att effektivt hantera incidenter. Att minska genomsnittliga tiden för att avvärja hot (MTTR) är en viktig prioritering för alla företag.

  Exempel på metoder för att hantera säkerhetsincidenter är:

  • Använda arbetsflöden för att automatisera hanteringen av incidenter
  • Utföra en forensisk utredning

• 6. Konsol för realtidsrespons eller varningar vid händelser

  SIEM-lösningar utför logginsamling och korrelationsaktiviteter i realtid. Om någon misstänkt aktivitet upptäcks utlöses en varning direkt, och incidenthanteringsteamet agerar omedelbart för att begränsa attacken eller förhindra att den inträffar.

  Varningsmeddelanden kan också skickas via e-post eller SMS i realtid, och delas in i prioritet: hög, medel eller låg, beroende på allvarlighetsgrad. Man kan koppla arbetsflöden till olika typer av incidenter, så att rätt åtgärder startar automatiskt när en varning utlöses.

• 7. Hotinformation

  Hotinformation ger den information och det sammanhang som behövs för att känna igen olika typer av cybersäkerhetshot och vidta lämpliga åtgärder för att förebygga, lösa eller mildra dem. Genom att få insikt i vem som ligger bakom attacken, varför den sker, hur den genomförs och vilka varningssignaler som finns, kan organisationer bättre förstå hotet, bedöma riskerna och fatta välgrundade beslut.

  För att lägga till kontextuell information kan företag antingen hämta hotflöden från tredjepartsleverantörer eller samla in och använda öppna hotflöden som finns tillgängliga i STIX/TAXII-format. Hotets typ kan snabbt fastställas och rätt åtgärder sättas in direkt, vilket kortar ner MTTR.

  Denna komponent hjälper även säkerhetsadministratörer att utföra hotjakt, en process där man aktivt söker igenom hela nätverket efter hot eller IOC:er som kan ha undgått säkerhetssystemet.

• 8. Analys av användar- och enhetsbeteende (UEBA)

  Denna komponent hjälper till att upptäcka säkerhetsincidenter. Eftersom angripare ständigt utvecklar nya tekniker för att hacka sig in i nätverk blir konventionella säkerhetssystem snabbt föråldrade. Organisationer kan dock skydda sig mot alla typer av cyberhot med hjälp av maskininlärningstekniker.

  UEBA-komponenter använder maskininlärningstekniker för att utveckla en beteendemodell baserad på det normala beteendet hos användare och maskiner i ett företag. Beteendemodellen skapas individuellt för varje användare och systemkomponent genom att analysera stora datamängder från nätverksenheter. Om en händelse skiljer sig från det förväntade beteendet klassas den som en avvikelse och utvärderas som ett möjligt hot. En riskpoäng tilldelas användaren eller enheten – ju högre riskpoäng, desto större misstanke. Riskpoängen ligger till grund för bedömningen, och därefter sätts rätt åtgärder in.

  Vissa kanske undrar vad skillnaden är mellan en korrelationsmotor och UEBA. Medan den förstnämnda är ett regelbaserat system som används för att upptäcka incidenter och hot, identifierar den sistnämnda – som namnet antyder – misstänkta händelser baserat på beteendeanalys. För att ett företag effektivt ska kunna avvärja attacker bör det förlita sig både på den traditionella regelbaserade mekanismen och på modern beteendeanalys.

• 9. Hantering av IT-efterlevnad

  När det gäller dataskydd och säkerhet förväntas ett företag i allmänhet uppfylla de standarder, regler och riktlinjer som ställs av olika tillsynsmyndigheter. Dessa regleringskrav varierar för olika företag beroende på vilken bransch de verkar inom och i vilken region de är verksamma. Om företaget inte följer reglerna kommer det att straffas.

  För att säkerställa att en organisation uppfyller alla efterlevnadskrav som fastställts av myndigheter för att skydda känslig data, innehåller SIEM-lösningar en särskild funktion för regelefterlevnad. Proaktiva åtgärder, såsom att använda olika tekniker för att identifiera avvikelser, mönster och cyberhot, bör också vidtas för att skydda känsliga data från att komprometteras.

  SIEM-lösningar har kapacitet att lagra och arkivera loggdata under en längre tidsperiod så att revisorer kan granska granskningsspåren. De kan också generera efterlevnadsrapporter som HIPAA, SOX, PCI DSS, GDPR, ISO 27001 genom logginsamling och analys, samt färdiga rapporter enligt de specifika krav som anges i regelverket.

Alla dessa SIEM-komponenter arbetar tillsammans för att hjälpa säkerhetsteamet genom att ge insikter om olika typer av hot, deras attackmönster och misstänkt aktivitet i nätverket – samt vägledning om vilka åtgärder som måste vidtas för att hantera eventuella säkerhetsproblem.