Come i registri IDS e Firewall sono aggregati e alimentano il registro aggregato in SIEM?

I log non devono necessariamente essere uguali. Non hanno nemmeno bisogno di registrare i dati sugli stessi tipi di informazioni (anche se può aiutare). L'aggregazione consiste semplicemente nel raccogliere le informazioni insieme.

In un SIEM, ciò di cui sei più interessato sono entità identificabili: utenti, IP, domini, servizi, ecc. I log di Firewall, IDS e Antivirus conterranno informazioni su queste cose, ed è così che un SIEM può ricamare informazioni .

Ad esempio:

• Registro IDS: schema di traffico malevolo noto dall'IP IP 10.10.10.9 a IP di destinazione 10.10.10.10 alle 12:00
• Registro antivirus: Utente Sun-IT disabilitato Scansione antivirus su IP 10.10.10.10 11:50
• Registro firewall: l'IP sorgente 10.10.10.10 ha inviato un volume elevato di dati fuori dalla rete alle 12:05 pm

La logica nell'aggregatore estrae i campi dati per fornire una timeline e un flusso logico:

• L'utente Sun-IT ha disabilitato l'anti-virus il 10.10.10.10, che è stato quindi inviato contenuto dannoso dal 10.10.10.9, e quindi 10.10.10.10 ha inviato grandi quantità di dati al di fuori dell'organizzazione.
• 10.10.10.9 e Sun-IT sono gli attori sospetti (una fase di supporto decisionale)
• quarantine 10.10.10.9, 10.10.10.10, reimpostare le credenziali di Sun-IT e investigare in modo forense 10.10.10.9 e Sun-IT (questo è un passaggio di automazione / orchestrazione)

I log stessi non hanno bisogno di registrare le stesse informazioni o anche di essere nello stesso formato. I campi dati devono essere sufficientemente riconoscibili per consentire all'aggregatore di log di identificare e unire insieme i punti dati.

Il modo in cui i registri sono aggregati / memorizzati dipende dal caso d'uso in cui è stato distribuito il SIEM e l'architettura di implementazione.

Un tipico SIEM ti offrirà seguenti casi d'uso:

1. Raccolta log
2. Ritenzione registro
3. Analisi log
4. Correlazione eventi
5. Forensics
6. Conformità IT
7. Avviso in tempo reale
8. Monitoraggio attività utente
9. Monitoraggio dell'integrità dei file
10. Ecc.

Lo scenario di distribuzione potrebbe anche variare a seconda della scala / ambito di implementazione e il modo in cui i registri sono aggregati dipenderà anche da questi scenari. Ad esempio, i seguenti potrebbero essere alcuni scenari:

• Distribuzione di Log Collector nei percorsi di origine e nel server di log centrale per memorizzare i registri. Quindi inviare solo i registri relativi alla sicurezza al database SIEM: solo i registri richiesti verranno archiviati nel database SIEM e il resto sarà nel server dei registri centrali del registro

• Raccogli, archivia ed elabora interi log nel database SIEM - dove verranno archiviati interi log in SIEM

Un SIEM che raccoglie registri ed elaborazione è univoco per ciascun fornitore SIEM poiché molti di essi hanno i propri Connettori / Modelli (o formati di log supportati) per i dispositivi / sorgenti log disponibili comunemente. Tutti i fornitori SIEM ti forniranno un elenco di dispositivi supportati e qualsiasi dispositivo non incluso in questo elenco da collegare manualmente, in cui il fornitore SIEM potrebbe aiutarti a disegnare il tuo connettore.

È possibile fare riferimento ai seguenti collegamenti per un elenco di dispositivi supportati dal fornitore SIEM di esempio (i connettori sono prontamente disponibili):

link

La maggior parte dei fornitori SIEM ha il proprio modo di memorizzare i log (il formato dei dati nella struttura della tabella può essere diverso). La maggior parte di essi elaborerà i log ricevuti e convertirà nella struttura che la loro piattaforma principale può comprendere.

I connettori / modelli sopra menzionati vengono utilizzati per convertire il formato sorgente nativo nel formato comprensibile SIEM.