Blog

Jak poprawnie tworzyć reguły korelacyjne w SIEM?

Na przykładzie wykrycia Malware używając McAfee Endpoint Security.

Jak poprawnie tworzyć reguły korelacyjne na przykładzie wykrycia Malware bazując na oprogramowaniu McAfee Endpoint Security.

Czym jest Malware?

Malware to oprogramowanie, które ma na celu uszkodzenie komputera, systemu lub sieci urządzeń bądź przejęcie częściowej kontroli nad ich działaniem. Próbuje również uzyskać dostęp do Twoich danych osobowych. Ilość Malware rośnie wykładniczo głównie z powodu technologii, które mogą przekształcić złośliwe oprogramowanie w nowe, nierozpoznane wersje, często w mniej niż 24 godziny.

Zapraszamy do przeczytania poprzedniego artykułu z tej serii pt.

"Czym jest SIEM?"

Jak wiadomo do konsoli systemu McAfee SIEM trafiają miliardy zdarzeń z różnych podłączonych systemów.

McAfee ESM

Jak zatem poprawnie stworzyć regułę korelacyjną? Jak wyszukać interesujący nas incydent bezpieczeństwa w postaci wykrycia wirusa w systemie McAfee ESM w gąszczu innych zdarzeń z różnych systemów? Na te i inne pytania postaram się odpowiedzieć w niniejszym artykule.

Wyszukiwanie zdarzenia wykrycia wirusa.

Aby szybciej i efektywniej zdiagnozować incydent wykrycia wirusa zawsze warto w pierwszej kolejności wybrać źródło zdarzeń, które będzie zawierało incydent bezpieczeństwa. W naszym przypadku będzie to ePolicy Orchestrator. Wybierając tylko jedno źródło mamy pewność że bazujemy tylko na jego  zdarzeniach ograniczając niepotrzebne logi w widokach w konsoli.

McAfee ESM

W celu zobrazowania całego procesu poniżej przedstawiono diagram pokazujący jak wygląda cykl incydentu związanego z wykryciem Malware:

McAfee ESM

Jak to wygląda w praktyce?

W celu wygenerowania incydentu związanego z wykryciem Malware użyto spreparowanego pliku na stacji roboczej. Mechanizm On-Access Scan w oprogramowaniu McAfee Endpoint Security wykrył zainfekowany plik na stacji roboczej.

McAfee ESM

Zdarzenie wykrycia Malware zostaje przekazane do centralnej konsoli zarządzającej McAfee ePolicy Orchestrator. Po wejściu w szczegóły Workstation w Threat Events widać zdarzenie w konsoli ePO.

McAfee EPO

Zdarzenia zostają pobrane do Event Receiver’a, a następnie przekazane do konsoli ESM.
W zdefiniowanym źródle ePO w konsoli należy odszukać incydent wykrycia wirusa. Ważnymi zmiennymi w szczegółach zdarzenia, które będą pomocne przy tworzeniu nowej reguły korelacyjnej są pola Signature ID oraz Normalized ID.

Normalized Groups

Czym jest Normalized ID i czym się różni od Signature ID?

Ponieważ nazwy reguł mogą się różnić w zależności od dostawców, co utrudnia zebranie informacji o zdarzeniach, McAfee ESM stale tworzy listę znormalizowanych identyfikatorów reguł, które umożliwiają organizowanie informacji o zdarzeniach. Aby usprawnić pracę stworzono listę znormalizowanych identyfikatorów zdarzeń, dzięki którym można wyświetlić wyniki zapytań na wykresach kołowych, słupkowych i listach lub filtrować widoki pulpitu nawigacyjnego.

Signature ID to numer identyfikacyjny reguły, która może pomyślnie przeanalizować zdarzenie.

W powyższym przykładzie został pokazany Normalized ID zdarzenia wykrycia Malware. W celu stworzenia poprawnie reguły korelacyjnej należy użyć tego atrybutu. Dla przykładu stworzenia nowej reguły korelacyjnej zostanie użyte właśnie to pole.

Tworzenie reguły korelacyjnej:

Z okna Policy Editor należy wybrać w drzewie opcję Correlations. Następnie należy utworzyć nową regułę korelacyjną poprzez New -> Correlation Rule. Szczegóły reguły korelacyjnej są podane poniżej:

Należy pamiętać o nazwie identyfikującej regułę, określeniu Severity oraz wybraniu odpowiedniego Normalization ID. Całość należy zatwierdzić przyciskiem OK.

Correlation Rule

Ostatnimi czynnościami jest włączenie reguły, wyłączenie agregacji oraz wykonanie rollout polityk.

Policy Editor

Po utworzeniu reguły korelacyjnej zostanie od razu wyświetlona jej sygnatura dzięki czemu można w łatwy sposób wyszukać wszystkie zdarzenia związane z daną regułą korelacyjną.

Ostatnim krokiem jest ponowne wywołanie incydentu związanego z wykryciem Malware i weryfikacja czy reguła korelacyjna wykonała się poprawnie.

Podstawowe informacje z wartościami znormalizowanymi można zobaczyć w karcie Details, w szczegółach wywołanej reguły korelacyjnej:

Dodatkowe informacje min. takie jak nazwa skompromitowanego pliku, jego lokalizacja na stacji roboczej, czy metoda wykrycia znajdują się w karcie Custom Types.

W ten sposób uzyskujemy pewność, że wszystkie potencjalne przyszłe wystąpienia tego typu incydentów zostaną natychmiast wychwycone i operator SIEM będzie mógł podjąć odpowiednie działania.

Zapraszamy do śledzenia naszych social media, gdzie pojawią się informacje o nowych artykułach.

Chcesz poznać więcej rozwiązań McAfee?

Infradata - rozwiązania McAfee

McAfee

Security Engineer - Zbigniew Charucki - 5 maja 2021

Skontaktuj się z nami!

Chcesz dowiedzieć się więcej na temat rozwiązania lub zadać konkretne pytania? Zadzwoń albo zostaw wiadomość.

Zbigniew Charucki
Security Engineer Infradata

Chcesz porozmawiać na temat tego rozwiązania lub uzyskać wycenę?

Skontaktuj się z nami już dziś!

Zadzwoń do nas lub zostaw wiadomość. Nasz zespół jest gotowy, żeby Ci pomóc.

Zostaw wiadomość +48 22 5671740 Zapytaj o wycenę

Udostępnij tę stronę:

Ta witryna korzysta z plików cookie. Kontynuując przeglądanie tej witryny, wyrażasz zgodę na stosowanie przez nas plików cookie. Kliknij tutaj, aby dowiedzieć się więcej