SIEM DASHBOARD12critical47high183medium2,341low[14:32:01] LOGIN FAILURE user=admin from 203.0.113.99 ×17[14:32:14] LATERAL MOVEMENT detected: workstation-42 → file-server[14:32:30] EXFIL ALERT: 4GB outbound to unfamiliar IP

SIEM a SOC

11 min prečítanéBezpečnosť

SIEM je centrálny nervový systém podnikových bezpečnostných operácií – platforma, ktorá zhromažďuje, koreluje a upozorňuje na bezpečnostné udalosti z celej infraštruktúry organizácie. SOC je tím, ktorý sleduje SIEM. Táto kombinácia definuje, ako sa zisťujú a riešia moderné bezpečnostné incidenty.

Celé telo článku je uvedené v angličtine nižšie.

SIEM (Správa bezpečnostných informácií a udalostí) je kategória platforiem, ktoré zhromažďujú protokoly z celej IT infraštruktúry organizácie, normalizujú ich, porovnávajú udalosti medzi zdrojmi a vytvárajú upozornenia, keď sa objavia vzorce obáv. SOC (Security Operations Center) je tím, ktorý reaguje na tieto výstrahy.

Čo robí SIEM

  • Zbierka denníkov. Prijímanie denníkov z brán firewall, koncových bodov, serverov, aplikácií, cloudových služieb – čokoľvek, čo môže produkovať poskytovateľov identity logs.
  • Normalization. Konvertujte rôzne formáty protokolov do spoločnej schémy, aby bola možná korelácia medzi zdrojmi.
  • Storage. Dlhodobé uchovávanie (zvyčajne 90 dní v teple, 1+ rok v chlade) vyšetrovanie.
  • Correlation. Použiť pravidlá a analýzy na zistenie vzorcov z viacerých zdrojov (neúspešné prihlásenie od používateľa A v krajine X, po ktorom nasleduje úspešné prihlásenie z krajiny Y, po ktorom nasleduje prudký nárast exfiltrácie údajov).
  • Upozorňovanie. fire.
  • Rozhranie vyšetrovania. Nástroje pre analytikov na prehĺbenie konkrétnych incidentov, otáčanie medzi tokmi udalostí.
  • Reporting. Panely pre vedúcich pracovníkov, audítorské správy pre regulátoryjorZPLSIZEMX36 produkty
    • Splunk — líder na trhu. Výkonný dopytovací jazyk (SPL), široké pokrytie zdrojov údajov. Drahé vo veľkom meradle.
    • Microsoft Sentinel – natívne v cloude (Azure), dobrá integrácia s telemetriou Microsoft 365.
    • Elastic SIEM (predtým už bežal Elastic Security) – postavený na tímoch Elastic it.
    • Google Chronicle / SecOps – ponuka spoločnosti Google, silná na integrácii spravodajstva o hrozbách.
    • IBM QRadar – dlhodobo etablovaná, integrovaná so širším balíkom zabezpečenia IBM. Exabeam — ponuky druhej úrovne s rôznymi diferenciáciami.
    • Wazuh — SIEM s otvoreným zdrojom, obľúbený pre organizácie s obmedzeným rozpočtom.

    SOC tímová štruktúra

    X má typickú veľkú organizáciu PLZ72X S analytici:

    • Tier 1. Triage. Počiatočná kontrola výstrahy, rozhodnite sa, či sa oplatí eskalovať. Veľký objem, veľa falošných poplachov.
    • Tier 2. Vyšetrovanie. Hlboko sa ponorte do upozornení, ktoré sa stupňujú na úrovni 1. Korelujte medzi zdrojmi, zistite, či ide o skutočný incident.
    • Tier 3. Reakcia na incidenty a vyhľadávanie hrozieb. Aktívne vyšetrovanie, koordinácia s ostatnými tímami, proaktívne vyhľadávanie skrytých hrozieb.
    • SOC manažér. Dohliada na tím, koordinuje prácu so širším IT a manažmentom.
    • Engineers. Udržujte SIEM, píšte pravidlá detekcie, laďte podpisy.

    Menšie organizácie to rozdelia do jednej alebo dvoch rolí, často doplnených poskytovateľom riadenej detekcie a odozvy (MDR). Typické veľké organizácie SIEM produkujú tisíce upozornení denne; väčšina z nich je falošne pozitívna alebo má nízku závažnosť. Úlohou analytika úrovne 1 sa stáva filtrovanie hluku, nie zachytávanie skutočných hrozieb.

    Moderné SIEM a priľahlé produkty riešia toto:

    • Lepšia korelácia zníženie hluku prostredníctvom kontextu
    • Strojové učenie na dosiahnutie priority upozornení
    • SOAR (Orchestration, Automation, and Response), ktoré automatizujú platformy work
    • UEBA (Analytika správania používateľov a entít), ktorá zisťuje anomálie vs. nespracované pravidlá
    • XDR (Rozšírená detekcia a odozva), ktorá integruje SIEM, EDR, NDR korelácia

    SOC vs MDR vs MSSP

    • SOC — interný tím prevádzkujúci internú SIEM. Maximálna kontrola, maximálne náklady. Veľké podniky.
    • MSSP (Poskytovateľ spravovaných bezpečnostných služieb) — outsourcované bezpečnostné operácie. Poskytuje monitorovanie a základnú odozvu. Cenovo výhodné pre stredne veľké organizácie.
    • MDR (riadená detekcia a odozva) — sofistikovanejšia MSSP, ktorá aktívne vyhľadáva hrozby a reaguje na incidenty. Vyššie náklady ako MSSP, nižšie ako interné SOC.

    Správna voľba závisí od veľkosti organizácie, rizikového profilu, regulačných požiadaviek a rozpočtu. Väčšina organizácií do 500 ľudí používa MSSP alebo MDR namiesto vytvárania interných SOC.

    Čo sa monitoruje

    Štandardné zdroje údajov SIEM:

    • Windows Event Logs/Linux syslog z každého servera a pracovnej staniceXPLZ45tPanel Alto logs Cisco)
    • VPN denníky
    • denníky poskytovateľa identity (Okta, Microsoft Entra)
    • Cloudové denníky auditu (AWS CloudTrail, Azure Activity Logs, GCP Audit Logs)
    • Z555ZPLZ56Denníky zabezpečenia e-mailu výstrahy
    • Protokoly webového servera proxy
    • Protokoly aplikácií (v závislosti od toho, ktoré aplikácie sú kritické)

    Objem údajov sa rýchlo zväčšuje. Stredne veľký podnik generuje denne viac ako 100 GB údajov denníka; veľké podniky generujú TB/deň. Ceny SIEM sa často týkajú objemu príjmu; to vytvára skutočné inžinierske napätie medzi zhromažďovaním všetkého a riadením nákladov.

    Pre jednotlivcov

    SIEM a SOC sú nástroje podnikového rozsahu. Koncepčný ekvivalent pre jednotlivcov: venujte pozornosť bezpečnostným upozorneniam od vášho poskytovateľa e-mailu, vašej banky, vašich cloudových účtov. Hlavní poskytovatelia spotrebiteľov majú vstavané ľahké verzie toho, čo SIEM robia pre podniky – upozorňujú vás na podozrivú aktivitu. Zaobchádzajte s týmito výstrahami tak, ako by ste chceli, aby analytik SOC zaobchádzal so skutočnými výstrahami: radšej vyšetrujte, ako odmietnite.

Často kladené otázky

Potrebujú malé podniky SIEM?
Nie nevyhnutne. Pre malé podniky (do 50 zamestnancov) môže stačiť služba MDR alebo dokonca dobrá EDR s cloudovým reportovaním. SIEM sa stávajú cennými, keď objem protokolov a rozmanitosť zdrojov prevyšuje to, čo dokáže spracovať vstavaná výstraha jednotlivých nástrojov.
Aký je rozdiel medzi SIEM a EDR?
EDR sa zameriava na koncové body – notebooky, servery, niekedy aj mobilné zariadenia. SIEM agreguje zo všetkých zdrojov vrátane koncových bodov, siete, cloudu a aplikácií. Sú komplementárne; moderné produkty XDR ich integrujú.
Je práca SOC dobrou kariérnou cestou?
Áno – vysoký dopyt, dobrý rast miezd, vystavenie mnohým bezpečnostným doménam. Úroveň 1 sa opakuje a je náchylná na vyhorenie; cesta sa zvyčajne presunie do úrovne 2/3 v priebehu 1-3 rokov a odtiaľ k špecializácii (spravodajstvo o hrozbách, detekčné inžinierstvo, reakcia na incidenty).
Dokáže SIEM odhaliť zero-day útoky?
Niekedy skôr prostredníctvom vzorcov správania ako špecifických podpisov. Hromadná exfiltrácia dát, nezvyčajný bočný pohyb alebo anomálne správanie účtu možno zistiť aj vtedy, keď konkrétny exploit nie je známy. Miera úlovkov do značnej miery závisí od kvality detekcie a inžinierstva, nielen od schopnosti SIEM.
Ako dlho SOC uchovávajú záznamy?
Bežné: 90 dní horúce (okamžité dopytovanie), 1 rok chladné (archivované, ale dostupné), často 7 rokov chladné pre kontexty dodržiavania predpisov (finančné služby, zdravotná starostlivosť). Náklady na uchovávanie sa sčítavajú; mnohé organizácie obmedzujú zadržiavanie, aby spravovali náklady SIEM.
SIEM a SOC vysvetlili: Ako organizácie sledujú svoje siete v noci