Обязательные источники для SIEM

Какие системы подключать в SIEM в первую очередь

Когда у вас есть 10 000 узлов, но ресурсы ограничены, важно подключать их не случайно, а с учетом их критичности и рисков. От чего тут можно отталкиваться:

  1. Критичность узла Насколько важна система для бизнеса. Какие привилегии получат атакующие, захватив эту систему.

  2. Уровень риска Насколько вероятна атака на узел.

  3. Регуляторные требования Их игнорировать нельзя, несмотря на то, что хакеры ничего не знают о них и редко ими руководствуются.

  4. Объем данных

  5. Формат данных Убедитесь, что подключаемый источник поддерживается (правильно разбирается) в SIEM, для него есть контент (правила обнаружения атак, алерты) либо он будет полезен при расследовании. Иначе можно получить поток событий, которые съедает мощности, но при этом не приносит практической пользы.

Это общие рекомендации, которые не учитывают особенностей конкретной инфраструктуры и бизнеса.

Высокий приоритет

Критичные источники данных для SIEM

  • Контроллеры домена (Active Directory) Active Directory (AD) является центральным элементом инфраструктуры. Если злоумышленник скомпрометирует AD, он получит контроль над всей сетью. AD имеет широкую сетевую доступность: к нему можно обратиться из практически любой точки сети. Компрометация AD предоставляет злоумышленнику почти полную свободу действий. Например, с помощью групповых политик (GPO) можно скомпрометировать любую доменную машину, даже без прямого сетевого доступа. AD содержит все учетные записи, включая привилегированные (например, Domain Admins), что делает его крайне привлекательной целью для атак.

  • Управление инфраструктурой (KSC, SCCM, Ansible, Zabbix) Эти системы имеют широкий (если не всеобъемлющий) доступ узлам сети. Если злоумышленник скомпрометирует средство управление инфраструкторой, он сможет установить вредоносное ПО на все устройства или получить доступ к любому узлу. Даже если прямых сетевых доступов нет, такие системы могут позволить злоумышленнику выполнить код на любой машине через агенты, включая те, которые не входят в домен. Системы виртуализации (например, VMware, Hyper-V) также относятся к этой категории, так как они позволяют управлять большим количеством серверов.

  • АРМ администраторов Администраторы имеют широкий доступ ко всем критичным системам и обладают высокими привилегиями.

  • VPN (приложение) VPN — это точка входа в сеть для удаленных сотрудников. Если злоумышленник получит возможность подключиться по VPN, он получит доступ к внутренним ресурсам. Особенно опасно, если для доступа к VPN не используется второй фактор аутентификации.

  • DMZ DMZ — это зона с публичным доступом, которая часто подвергается атакам. Поскольку DMZ доступна из интернета, она становится первой целью для злоумышленников. В первую очередь важно собирать логи операционной системы, так как только получив возможность выполнения кода, злоумышленник может продвигаться дальше внутрь сети. Для популярных приложений с известными уязвимостями рекомендуется собирать логи приложений и защищать их с помощью Web Application Firewall (WAF).

Если из внешнего приложения можно получить доступ к персональным данным (ПДн), что грозит крупными штрафами, такое приложение становится даже более важным, чем контроллер домена.

Средний приоритет

  • Терминальные серверы Терминальные серверы часто используются для доступа к критичным системам. Злоумышленника лучше остановить до того, как он получит доступ к критичным ресурсам через терминальный сервер.

  • АРМ пользователей Пользователи являются основным вектором для фишинга.

    Многие недооценивают важность мониторинга рабочих станций пользователей, но это ошибка. До внутреннего сервера злоумышленнику нужно пройти несколько этапов, а на рабочую станцию пользователя он может попасть в сеть сразу после успешной фишинговой атаки. То есть пользователи ближе всего к периметру.

  • Почта Если в почтовой системе нет уязвимостей удаленного исполнения кода, злоумышленник не сможет получить доступ к внутренней сети напрямую. Однако почта содержит много информации о пользователях и организации. Если злоумышленник получит доступ к почтовому ящику, он может найти конфиденциальную информацию, которая поможет в дальнейшей атаке.

  • Серверы с конфиденциальными данными Утечка данных может нанести огромный ущерб бизнесу и репутации.

    Однако эти серверы обычно недоступны напрямую из интернета, поэтому злоумышленнику нужно пройти несколько этапов, чтобы до них добраться.

  • Приложения, обрабатывающие критичную информацию CRM, 1C и другие системы, которые обрабатывают критичную для бизнеса информацию.

  • Другие серверы Эти серверы менее критичны. Могут атаковаться атакующими как низковисящие фрукты. В основном атакующих на таких серверах интересуют учетные данные Могут быть использованы для дальнейшего перемещение по сети (lateral movement).

Низкий приоритет

  • Другие приложения Вспомогательные IT-системы, такие как Confluence, CMDB и другие.

    Эти системы могут использоваться злоумышленниками для сбора информации, но сами по себе не представляют высокой ценности для атак.

    Популярные приложения с известными уязвимостями представляют больший риск, чем самописные или малораспространенные решения.

  • Все остальное Сетевые устройства, такие как коммутаторы и маршрутизаторы.

Что еще надо учитывать

Кроме особенностей бизнеса надо учитывать:

  • Наличие легаси систем - устаревших ОС и приложений, которые не поддерживаются вендором и имеют известные уязвимости. Их с большей вероятностью будут атаковать.

  • Наличие известных уязвимостей. Как было с AD CS - когда в один день это стал самый популярный вектор компрометации домена, все сразу осознали важность заведения логов приложения AC DS.

  • Возможность обнаружить атаку. Нет смысл заводить приложение, логи которого неинформативны или для которого неясны вектора атак.

PreviousИсточники данных для подключения в SIEMNextРазработка правил обнаружения атак

Last updated

Was this helpful?