Co może monitorować SOC Security Operations Center z użyciem rozwiązań opensource
W artykule opiszę istotny fragment działania rozwiązania SIEM (Security Information and Event Management): rozwiązanie host IDS: oprogramowanie Wazuh.
SIEM jest głównym narzędziem działania instytucji SOC Security Operation Center, która powinna istnieć w każdej organizacji świadomej zagrożeń cyberbezpieczeństwa, dla której analiza ryzyka wskazuje, że utrata danych lub środowiska IT, czy też jego uszkodzenie wiąże się z ryzykiem istotnym dla działania (czyli w zasadzie dla wszystkich ?).
SIEM jako narzędzie pozyskuje dane z różnych źródeł i poddaje je normalizacji czyli obróbce pozwalającej na jednakową interpretację zdarzeń i wyciągnięcie z nich podobnych wniosków w przypadku zastosowania różnych formatów wejściowych. Można zastosować tutaj analogię – SIEM rozumie różne języki i tłumaczy je tak aby wszystkie były dostępne w jednym wybranym języku w taki sposób, aby można było porównać wypowiedzi. SIEM poddaje dane również dodatkowej obróbce korelując dane, tj. zestawiając dane z różnych źródeł w ciąg logiczny obrazujący np. propagację zagrożenia w sieci. Takie podejście pozwala na wczesne wykrywanie zagrożeń, każdy atak lub działanie z zakresu cyberbezpieczeństwa składa się bowiem z fragmentów, stanowiących małe kroki, które prowadzą do finalnego celu.
W tej chwili zajmiemy się jednak jednym instrumentem generującym dane wejściowe dla systemu SIEM: rozwiązaniem host intrusion detection system: Wazuh
Przy użyciu Wazuh, czyli rozwiązania realizującego funkcje Host IDS (host intrusion detection system), możemy monitorować szereg „ciekawych” zdarzeń mających miejsce na stacjach roboczych, serwerach i innych końcówkach podłączających się do sieci.
Rozwiązanie działa przy wykorzystaniu agentów instalowanych na monitorowanych zasobach.
Otrzymujemy do analizy logi z systemów monitorowanych, na podstawie których można wyciągać wnioski o potencjalnym ataku sieciowym lub zaistniałym problemie.
Monitoring w znakomitej większości ma charakter analizy zachowania (logów) pod katem sygnatur pozwalających na wykrywanie różnego typu problemów i zdarzeń bezpieczeństwa. Jednak dzięki magazynowaniu zdarzeń w rozwiązaniu Elasticsearch możliwa jest także statystyczna analiza zdarzeń.
Korelacja i analiza zdarzeń również pod kątem statystycznym pozwala nam na generowanie alertów dotyczących potencjalnych zagrożeń, przykładowo na podstawie ilości alertów ich częstotliwości, występowaniu ich w dużej ilości na konkretnej maszynie czy tez koncentracji zdarzeń wokół jednego użytkownika lub procesu.
W ramach działań Security Operations Center monitorujemy przykładowo:
- ataki na hasła: metodą brute force
[br]
Można dane o atakach typu brute force również przedstawić w zależności od adresów poddanych atakowi jak poniżej:
[br]
- monitorowanie integralności plików i rejestrów, czyli obserwacja jak zmieniają się lub są modyfikowane kluczowe zasoby stacji
[br]
Możemy monitorować także potencjalne rootkity zainstalowane na serwerach
- możliwe jest także wykrywanie malware
Zdarzenia Wazuha, które poddajemy również monitoringowi to przykładowo:
Host-based anomaly detection event (rootcheck).
Windows malware detected.
Windows Adware/Spyware application found.
System Audit: Vulnerable web application found.
Possible kernel level rootkit
File missing. Root access unrestricted.
Syslogd exiting (logging stopped).
syslog: Illegal root login.
Unauthorized user attempted to use sudo.
SQL injection attempt.
XSS (Cross Site Scripting) attempt.
A web attack returned code 200 (success).
PHP CGI-bin vulnerability attempt.
MSSQL Injection attempt (/ur.php, urchin.js)
URL too long. Higher than allowed on most browsers. Possible attack.
Multiple SQL injection attempts from same source IP.
Multiple XSS (Cross Site Scripting) attempts
SQL injection attempt.
SQL injection attempt.
SYSTEM user successfully logged to the system.
Buffer overflow attack on rpc.statd
Buffer overflow on WU-FTPD versions prior to 2.6
Possible buffer overflow attempt.
„Null” user changed some information.
Buffer overflow attempt (probably on yppasswd).
Heap overflow in the Solaris cachefsd service.
Stack overflow attempt or program exiting with SEGV (Solaris).
Multiple authentication failures.
Multiple authentication failures followed by a success.
Multiple viruses detected – Possible outbreak.
Attacks followed by the addition of an user.
User account enabled or created
User account disabled or deleted
User account locked out (multiple login errors)
Windows audit log was cleared
Logon Failure – Account currently disabled
Logon Failure – Specified account expired
Logon Failure – User not allowed to login at this computer
Logon Failure – Account’s password expired
Windows DC Logon Failure
User account unlocked
Security enabled group created
Security enabled group deleted
Group Account Created
Group Account Deleted
Security Enabled Global Group Created
Security Enabled Global Group Member Added $(win.eventdata.memberSid)
Security Enabled Global Group Member Removed $(win.eventdata.memberSid)
Security Enabled Local Group Created $(win.eventdata.memberSid)
Security Enabled Local Group Member Added $(win.eventdata.memberSid)
Security Enabled Local Group Member Removed $(win.eventdata.memberSid)
Security Enabled Local Group Deleted
Security Enabled Universal Group Created
Security Enabled Universal Group Member Added
Security Enabled Universal Group Member Removed
Security Enabled Universal Group Deleted
Administrators Group Changed
Enterprise Domain Controllers Group Changed
Authenticated Users Group Changed
Terminal Server Users Group Changed
Domain Admins Group Changed
Domain Guests Group Changed
Domain Controllers Group Changed
Schema Admins Group Changed
Enterprise Admins Group Changed
Group Policy Creator Owners Group Changed
Guests Group Changed
Power Users Group Changed
Account Operators Group Changed
Server Operators Group Changed
Backup Operators Group Changed
Replicators Group Changed
Remote Desktop Users Group Changed
Enterprise Read-only Domain Controllers Group Changed
Read-only Domain Controllers Group Changed
Allowed RODC Password Replication Group Changed
Denied RODC Password Replication Group Changed
Event Log Readers Group Changed
Windows DC – Possible replay attack
Security Enabled Global Group Deleted $(win.eventdata.memberSid)
Multiple Windows Logon Failures
Pełną listę alertów oprogramowania Wazuh znajdziemy na stronie Wazuha.
Takie zdarzenia można wyfiltrować także za pomocą prostego filtra Elasticsearch identyfikującego zdarzenia Wazuh po id zdarzenia. Te informacje o zdarzeniach przedstawiamy klientowi w raportach SOC oraz poddajemy głębszej analizie.
[br]
System pozwala na prezentację zdarzeń w dowolny elastyczny sposób, przykładowo zdarzenia poddane agregacji po adresie IP generującym zdarzenia. To pozwala na detekcje potencjalnie najbardziej problematycznych urządzeń.
[br]
Stacje generujące najwięcej zdarzeń należy poddać dogłębnej weryfikacji.
Agregacje można także prowadzić z użyciem użytkownika, tę informację warto również monitorować udostępniając w raportach SOC.
[br]
Artykuł pokazał jedynie wycinek danych, jakich używa SOC do monitorowania i wykrywania zagrożeń.
Postaramy się wkrótce uzupełnić te informacje o kolejne istotne źródła : IoC Indicators of Compromise, Netflow: ruch sieciowy, IDS; network intrusion detection system.
Potrzebujesz wsparcia? Napisz do nas!
Materiał przygotował Piotr Ksieniewicz – główny inżynier Network Expert
[br] Piotr Ksieniewicz posiada ponad 10 letnie doświadczenie w pracy w sieciach IP. Inżynier CCIE#23799, CISSP #774774 o specjalności Routing & Switching. Piotr lubi wyzwania dlatego z reguły przedłuża status CCIE innymi egzaminami – ma na koncie zdany egzamin pisemny z Security i Voice. Pracował zarówno w niewielkich sieciach jak i przy największych sieciach bankowych na świecie.
Cyberbezpieczeństwo
To również może Cię zainteresować:
Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów
Network w liczbach
