جمع‌آوری، مانیتور و آنالیز Log با استفاده از سامانه SIEM – قسمت اول

فایل‌های Log حاوی اطلاعات زیاد و ارزشمندی هستند که کمک شایانی به شناسایی مشکلات و الگوهای موجود در سیستم‌های محصول می‌کنند. مانیتور و آنالیز Log شامل اسکن کردن Logها، جستجوی آنها برای پیدا کردن الگوها، قوانین و رفتارهای استنتاجی که نشانگر وقایع یا Eventهای مهم هستند، می‌شود که باعث ایجاد یک هشدار و ارسال آن برای کارکنان بخش عملیات یا امنیت می‌گردد.

با مانیتور و آنالیز Log می‌توان قبل از آنکه کاربر درگیر آن مشکل شود، به کشف و شناسایی مشکل، کمک نمود و رفتارهای مشکوک را که نشان‌دهنده حمله به سیستم‌های سازمان است، شناسایی کرد. همچنین می توان به منظور شناسایی ناهنجاری‌هایی که نیاز به بررسی دارند، با ثبت رفتار اولیه دستگاه‌ها، به امن سازی سیستم ها یا کاربران کمک کرد.

اصول اولیه Security Event Log

جمع آوری و مانیتور Log، فعالیت اصلی تیم امنیت است. جمع آوری اطلاعات Log از سیستم‌های مهم و ابزارهای امنیتی، سپس تجزیه و تحلیل آنها رایج ترین روش برای شناسایی رویدادهای غیرعادی یا مشکوک است. Eventهایی که ممکن است نمایانگر یک مشکل امنیتی باشد.

دو مفهوم اساسی که در مدیریت امنیت Log وجود دارد، رویدادها و حوادث هستند. رویداد یا Event که بر روی یک دستگاه Endpoint در داخل شبکه اتفاق می‌افتد، در صورتی که یک یا چند رویداد می‌توانند به عنوان حادثه یا Incident تلقی شوند. به‌طور مثال Attack، نقض پالیسی‌های امنیتی، دسترسی غیرمجاز، تغییر داده یا سیستم بدون رضایت Owner از نمونه‌های لاگ‌های امنیتی می‌باشند.

رویدادهای Log متداول مرتبط با امنیت

• گزارش از آنتی ویروس مبنی بر آلوده شدن یک دستگاه توسط بدافزار
• گزارش از فایروال مبنی بر وجود ترافیک به/از آدرس شبکه‌ای غیرمجاز
• تلاش برای دستیابی به یک سیستم مهم از طریق یک هاست یا IP ناشناخته
• تلاش‌های مکرر و ناکام برای دستیابی به یک سیستم مهم
• تغییر سطح دسترسی کاربر
• استفاده از پروتکل/پورت‌های غیرمجاز یا ناامن

حوادث امنیتی متداول

• ایمیل‌های مخرب توسط کاربران سازمانی دریافت و فعال شده است
• وب سایت‌های آلوده توسط کاربران سازمانی قابل دسترسی است (به عنوان مثال ، دانلود Drive)
• استفاده نادرست یا ممنوع توسط یک کاربر مجاز
• دسترسی غیرمجاز
• تلاش برای به خطر انداختن، رد کردن دسترسی یا حذف سیستم‌های سازمانی
• از دست دادن یا سرقت تجهیزات مانند لپ تاپ‌های کارمندان و سرورها
• جابجایی غیر مجاز داده‌ها و یا آلودگی به بدافزارها از طریق Removable Media

ضرورت مانیتور Log و آنالیز آن با استفاده از سامانه SIEM

در دنیای امنیت، سیستم اصلی برای جمع‌آوری و مانیتور کردن Log و تولید هشدار در سیستم‌های امنیتی، سامانه SIEM یا Security Information And event Management نام دارد. سامانه SIEM دیتای Log وهشدارهای Real-Time را از راهکارهای امنیتی و سیستم‌های IT مانند Mail Server، Web server و سیستم‌های اهراز هویت جمع‌آوری می‌کند.

آشنایی با SIEM یا امنیت اطلاعات و مدیریت رویداد

ویدیوهای بیشتر درباره SIEM

سامانه SIEM داده‌ها را تجزیه و تحلیل کرده و با ایجاد ارتباطات بین آنها، به شناسایی ناهنجاری‌ها، آسیب‌پذیری‌ها و حوادث کمک می‌کند. تمرکز اصلی سامانه SIEM بر روی رویدادهایی مانند ورود مشکوک به سیستم، بدافزار یا افزایش نابهنگام سطح دسترسی است. هدف سامانه SIEM شناسایی Eventهایی است که به لحاظ امنیتی اهمیت بالایی دارند و لازم است که توسط نیروی انسانی تحلیل شوند. سپس اقدام به فرستادن هشدار برای این رویدادها می‌کند. همچنین سامانه SIEM های مدرن، داشبوردی کامل و ابزارهایی برای تجسم داده‌ها ارائه می‌دهند. این امکان به تحلیل‌گران کمک می‌کند که بتوانند در میان داده‌ها، بصورت فعال به دنبال نقاطی بگردند که ممکن است نشان‌دهنده یک حادثه امنیتی باشد. این امر به عنوان Threat Hunting یا شکار تهدید شناخته می‌شود.

روش‌های متداول مانیتور و آنالیز Log در سامانه SIEM

بصورت متداول، سامانه SIEM برای تولید و اعلام هشدار از داده‌های موجود در Log از دو روش استفاده می‌کند.

• قوانین همبستگی: مشخص کردن دنباله ای از Eventها که نشان‌دهنده یک ناهنجاری است. این ناهنجاری می‌تواند تهدید امنیتی، نقاط آسیب‌پذیر و یا یک حادثه امنیتی فعال باشد.
• نقاط آسیب‌پذیر و ارزیابی ریسک: که شامل اسکن کردن شبکه‌ها برای شناسایی الگوهای Attack و آسیب‌پذیری‌ها است.

ایراد استفاده از این روش‌های متداول و قدیمی این است که تعداد زیادی False Positive تولید می‌کنند. همچنین در تشخیص Eventهای جدید و غیر منتظره  موفق عمل نمی‌کنند.

روش‌های نسل بعدی مانیتور و آنالیز Log در سامانه SIEM

در سامانه SIEM پیشرفته، از تکنولوژی ای به نام User Event Behavioral Analytics یا به اختصار UEBA استفاده می‌‌شود. UEBA از Machin Learning برای جستجوی الگوهای رفتاری انسان استفاده می‌کند. بصورت اتوماتیک یک Baseline از این الگوهای رفتاری ایجاد کرده و بصورت هوشمندانه رفتارهای غیرعادی و مشکوک را شناسایی می‌کند.

این روش به شناسایی ریسک‌های ناشناخته یا غیرقابل تعریف با قوانین همبستگی مانند تهدیدهای داخلی، حملات هدفمند، کلاهبرداری و ناهنجاری‌هایی که در بازه زمانی طولانی یا در سیستم‌های چند سازمان اتفاق می‌افتند، کمک می‌کند.

بیشتر بخوانید: نحوه عملکرد و کاربرد SIEM در شناسایی تهدیدات

استفاده از Logهای Endpoint برای ایجاد امنیت

پیش از این مانیتور کردن و فعالیت‌های امنیتی به صورت عمده بر روی ترافیک شبکه انجام می‌گرفت تا تهدیدات شناسایی شوند. در حال حاضر، تمرکز روز افزون بر روی Endpointها مانند دسکتاپ‌ها، سرورها و موبایل‌ها  قرار دارد. Endpointها غالبا به‌عنوان هدف توسط Attacker انتخاب می‌شوند. این حمله‌کنندگان می‌توانند روش‌های متداول سنجش امنیت را به راحتی دور بزنند. به طور مثال لپ‌تاپی که در اتوبوس جا گذاشته می‌شود ممکن است توسط یک Attacker دزدیده شده و از آن برای نفوذ در سیستم‌های سازمانی استفاده شود. بدون یک نظارت دقیق بر روی فعالیت‌های لپ‌تاپ‌ها، این اقدام یا Attackهایی شبیه به آن، شناسایی نخواهند شد.

Event Logهای ویندوز

سیستم عامل ویندوز یک پروتکل ثبت Log برای Eventها ارائه می‌کند که به برنامه‌‎ها و خود سیستم اجازه می‌دهد که اتفاقات مهم مربوط به سخت افزار و نرم‌افزار را ثبت کنند. Eventهای ثبت شده، بصورت مستقیم توسط ادمین و با استفاده از Windows Event Viewer قابل مشاهده هستند.

Eventهای ثبت‌شده در Log ویندوز 

در Event log ویندوز اطلاعاتی نظیر نصب نرم‌افزارها، مدیریت امنیت، عملیات اولیه Startup، مشکلات و خطاها قابل دیدن است. همه انواع این Eventها می‌توانند از لحاظ امنیتی دارای اهمیت باشند و باید توسط ابزارهای مانتیورینگ و جمع آوری Log مورد نظارت و بررسی قرار بگیرند.

Security Logهای ویندوز

Windows Security log قسمتی از Event Log ویندوز هستند. آنها حاوی Eventهای مرتبط با امنیت هستند که توسط ادمین و با استفاده از System’s Audit Policy مشخص شده است. مایکروسافت، Security Log را به عنوان “بهترین و آخرین دفاع” برای پیدا کردن نقص‌ها و حفره‌های امنیتی در سیستم ویندوز معرفی می‌کند.

Eventهای ثبت شده در Security log ویندوز

Eventهای زیر و مانند آن به عوان eventهای امنیت در ویندوز ثبت می‌شوند: ورود به اکانت، مدیریت اکانت، دسترسی به سرویس دایرکتوری، ورود به سیستم، دسترسی به Objectها (مانند دسترسی به فایل)، تغییر پالیسی، مجوز استفاده، ردیابی فرآنیدهای سیستم و eventهای سیستم

Logهای مربوط به iOS و iOS Crash Report

بر خلاف ویندوز و لینوکس، سیستم عامل iOS به‌صورت پیش‌فرض Eventهای مربوط به سیستم و برنامه‌ها را، به استثنای گزارش‌های خرابی برنامه، در Log ثبت نمی‌کند. iOS 10.0 به بعد یک API جهت ثبت Log ارائه می‌کند که به برنامه‌های خاصی اجازه ثبت eventهای مربوط به برنامه‌ها و ذخیره آنها در یک مکان متمرکز بر روی دیسک را می‌دهد. پیغام‌های Log با استفاده از Console App در ابزار Log command-line قابل مشاهده هستند. به دلیل اینکه سیستم عامل iOS روش مناسبی برای دسترسی به Logها از راه دور فراهم نمی‌کند، چندین راه حل Third-Party به وجود آمده‌اند که امکان گردآوری و جمع‌آوری Logهای iOS را فراهم می‌کنند.

Event Logهای لینوکس

در Logهای لینوکس یک جدول زمانی از Eventهایی که در سیستم عامل لینوکس و برنامه‌ها رخ می‌دهد، ثبت می‌شود. سیستم مرکزی Logها در دایرکتوری /var/Log قرار دارد. لاگ‌های مربوط به برنامه خاص، ممکن است در فولدر خود برنامه ذخیره شوند، بطور مثال در فولدر ‘~/.chrome/Crash Reports’  اطلاعات مربوط به گوگل کروم ذخیره می‌شود.

Eventهایی ثبت شده در Log لینوکس

در لینوکس فایل‌های Log برای Eventهای سیستم، Kernel، Package Managers، پردازش‌های راه‌اندازی، Xorg، آپاچی، MySQL و تعدادی از سرویس‌های متداول ثبت می‌شوند. مانند ویندوز، همه این Eventها ممکن است به لحاظ امنیتی دارای اهمیت بالایی باشند.

مهمترین Logهای لینوکس برای مانیتور کردن 

Log مربوطه	مسیر ذخیره سازی
همه فعالیت‌های مربوط به سیستم لینوکس	var/log/syslog or /var/log/messages/
همه Logهای مربوط به Authentication	/var/log/auth.log or /var/log/secure
پیغام‌هایی که در حین راه‌اندازی سیستم تولید می‌شوند	/var/log/boot.log
رویدادهایی که مربوط به سرور ایمیل هستند	/var/log/maillog or var/log/mail.log
اطلاعات مربوط به Kernel	/var/log/kern
اطلاعات مربوط به درایورهای دستگاه‌ها	/var/log/dmesg
تلاش‌های ورود ناموفق	/var/log/faillog
رویدادهای مربوط به Cron Jobs و Cron Deamon	/var/log/cron
رویدادهای مربوط به نصب پکیج‌های Yum	/var/log/yum.log
خطاهای مربوط به HTTP و لاگ‌های دسترسی حاوی همه HTTP Requestها	/var/log/httpd/
Logهای مربوط به MySql	/var/log/mysqld.log or /var/log/mysql.log

در قسمت دوم این مقاله به مدیریت لاگ می‌پردازیم.

مقاله های مرتبط: