اشتراک مقالات

جمع‌آوری، مانیتور و آنالیز Log با استفاده از سامانه SIEM – قسمت دوم (پایانی)

964 مشاهده 3 26 اسفند, 1398

آنالیز Log

در قسمت اول این مقاله در خصوص آنالیز Log و نقش آن در کشف رویدادها و حوادث مربوط به امنیت صحبت کردیم و در ادامه به بررسی نقش سامانه SIEM در این امر پرداختیم. در این قسمت نکات تکمیلی درخصوص مانیتور و آنالیز Log، همچنین Event Logهای ثبت شده در برخی Endpoint Detectionها می‌پردازیم.

لایسنس اسپلانک

تکنولوژی Endpoint Detection and Response چیست

تکنولوژی Endpoint Detection and Response یا به اختصار EDR به شناسایی، بررسی و کاهش حوادث امنیتی در Endpointهای سازمان می‌پردازد. EDR مکمل ابزارهای Endpoint سنتی مانند آنتی‌ویروس، Data Loss Prevention یا DLP و SIEM است. تکنولوژی EDR برای Eventهایی که در Endpoint اتفاق می‌افتد، قابلیت دید فراهم می‌کند. از جمله این Eventها می‌توان به دسترسی به برنامه‌ها و فعالیت‌های رخ داده بر روی آن، عملیات‌های مربوط به سیستم عامل، ساخت، ایجاد تغییرات، کپی و انتقال داده‌ها، میزان استفاده از حافظه و دسترسی کاربر به داده‌های حساس از پیش تعریف شده، اشاره کرد.

سیستم‌های EDR امکان جمع‌آوری و آنالیز Log را فراهم می‌کند. این امکان برای تیم امنیتی اجازه بررسی Eventها را از سرتاسر نمونه‌های مهم Endpoint فراهم می‌کند.

Logهای مربوط به Symantec Endpoint Protection

Symantec Endpoint Protection یک مجموعه امنیتی است که شامل امکاناتی نظیر جلوگیری از نفوذ، فایروال و Anti-malware است. مانیتور و آنالیز Logهای مربوط به Endpoint Protection اطلاعاتی درباره تغییرات پیکربندی، فعالیت‌های مرتبط با امنیت مانند تشخیص ویروس، پیغام خطا بر روی یک Endpoint مشخص و ترافیکی که به یک Endpoint وارد و از آن خارج می‌شود را فراهم می‌کند.

Event Logهای Symantec Endpoint Protection

انواع Logهای Symantec Endpoint Protection عبارتند از:

  • اصلاح پالیسی‌ها
  • کنترل برنامه‌ها و دستگاه‌ها : Eventهایی که بر روی دستگاه‌های Endpoint رخ می‌دهد و شامل فعالیت و رفتارهایی است که توسط سیستم مسدود شده‌اند
  • لاگ‌های Compliance
  • وضعیت کامپیوتر: حالت‌های عملیاتی مانند اسم کامپیوتر، آدرس IP و وضعیت آلودگی
  • لاگ‌های Deception: تعامل Attackerها با «Honeypots» که به عنوان راهکار امنیتی راه اندازی شده است.
  • شبکه و Exploit Mitigation Host
  • Eventهای مربوط به اسکن آنتی‌ویروس
  • Eventهای مشکوک که توسط Symantec شناسایی شده‌اند
  • لاگ‌های سیستم: اطلاعات مربوط به سیستم‌عامل و سرویس‌ها

‫تفاوت استفاده از SIEM و SPLUNK برای امنیت چیست

ویدیوهای بیشتر درباره SIEM

Logهای مربوط به McAfee Endpoint Security  

McAfee Endpoint Security امکان انجام مدیریت متمرکز برای دستگاه‌های Endpoint، حفاظت در برابر بدافزارها، تحت کنترل نگه‌داشتن برنامه‌ها، امنیت وب، تهدید Forensic و تحلیل یادگیری ماشینی برای شناسایی تهدیدات ناشناخته را فراهم می‌کند.

این راهکار به شما امکان تنظیم کردن یکی از سه سطح ذخیره لاگ را برای هر کدام از دستگاه‌های Endpoint فراهم می‌کند. این سه سطح عبارتند از: عدم ذخیره لاگ، Event logging و Debug Logging. فایل‌های لاگ بر روی دستگاه Endpoint و داخل فولدر McAfee ذخیره می‌شود.

Event Logهای McAfee Endpoint Security

McAfee Endpoint Security چندین فایل Log را بر روی دستگاه Endpoint ذخیره می‌کند:

  • log – جمع‌آوری فایل‌های Log حاوی Historic Log
  • log – پیغام‌ها و اخطارهایی که توسط McAfee Agent تولید شده‌اند.
  • log – رویدادهای مربوط به حذف برنامه‌ها
  • log – رویدادهای مربوط به آپدیت برنامه‌ها
  • log – رویدادهای مربوط به نصب برنامه‌ها

مشاوره رایگان راه‌اندازی سامانه SIEM توسط متخصصین شرکت APK – تماس با شماره 8539044-021

آنالیز Log فایروال و مدیریت آن

آنالیز Log های فایروال نقش مهم در امنیت دارند زیرا آنها حاوی مجموعه‌ای از همه ترافیکی که به شبکه شما وارد و از آن خارج می‌شوند، هستند. اگر فعالیت مخربی رخ دهد، حتی اگر حاوی Signatureهای شناخته شده Malware و یا Attack نبوده و توسط فایروال شناسایی نشود، باز هم در فایل لاگ فایروال ثبت شده و احتمالا در هنگام آنالیز Log، به عنوان رفتار غیرطبیعی دیده خواهد شد.

به طور مثال، زمانی که یک ویروس Zero-Day شبکه شما را آلوده می‌کند، حتی اگرهنوز  قابل شناسایی توسط آنتی‌ویروس نباشد، لاگ‌های فایروال تعداد زیادی Denied Connection یا Allowed Connection از طریق یک Remote Host مشکوک را ثبت خواهند کرد. بررسی و آنالیز Logهای فایروال به‌صورت روتین می‌تواند تروجان یا Toolkitهایی را شناسایی کند که سعی در ایجاد دسترسی به دستورات و سیستم کنترل توسط IRC و از طریق فایروال دارند.

 Syslog سیسکو و سطوح ثبت Log

روترهای سیسکو، لاگ‌ها را در فرمت Syslog ذخیره کرده، همچنین اجازه دیدن لاگ‌ها را در کنسول ادمین فراهم می‌کنند. پیام‌ها با Message Codeها برچسب‌گذاری می‌شوند. به طور مثال اغلب کانکشن‌های رد شده دارای کد پیام در محدوده 106001 تا 106023 هستند. اغلب دستگاه‌های فایروال، فضای ذخیره سازی Local ندارند، بنابراین تنظیمات باید به نحوی انجام شود که لاگ‌ها به محل دیگری فرستاده شوند. سیسکو اجازه می‌دهد که لاگ‌های مربوط به سرور Syslog درون یک شبکه، از طریق SMTP، Port Console، Telnet و چندین گزینه دیگر ذخیره شوند.

کدام ورودی‌های لاگ برای آنالیز مهم هستند؟

  • کانکشن‌های مجاز توسط پالیسی‌های امنیتی فایروال: میتواند به پیداکردن شکاف‌ها در پالیسی‌های امنیتی کمک کند.
  • کانکشن‌های رد شده توسط پالیسی‌های امنیتی فایروال: ممکن است حاوی رفتار مشکوک یا Attack باشند.
  • پیغام‌های فعالیت IDS: Attackهایی که توسط قابلیت Intrusion Detection سیسکو شناسایی شده‌اند را نشان می‌دهد.
  • تایید احراز هویت کاربر و استفاده از دستور: امکان بازبینی و نظارت بر تغییرات پالیسی فایروال را فراهم می‌کند.
  • استفاده از پهنای باند: کانکشن‌ها را با مدت زمان و حجم ترافیک استفاده شده نشان می‌دهد. فعالیت‌های خارج از محدوده  برای بررسی مناسب هستند.
  • پیام‌های استفاده از پروتکل: پروتکل‌ها و شماره پورت‌ها را نشان می‌دهد. می‌تواند پروتکل‌های غیرمعمول و یا ناامنی که در شبکه مورد استفاده قرار گرفته‌اند را نشان دهد.
  • کانکشن‌های NAT یا PAT: در صورتی که پیغامی مبنی بر انجام فعالیت‌های مشکوک در داخل شبکه دریافت کردید، بررسی‌های لازم را انجام دهید.

لاگ‌های Check Point

فایروال‌های Check Point قابلیت ذخیره لاگ‌ها را در فرمت Syslog دارند و همچنین اجازه بررسی لاگ را از طریق کنسول ادمین می‌دهند. در فایروال‌های Check Point نگهداری از لاگ‌های امنیت به نحوی است که Eventهایی که به نظر می‌رسند از نظر امنیتی دارای اهمیت بالایی هستند، ذخیره شوند.

دسته‌بندی Eventهای ذخیره شده در لاگ امنیتی

  • پذیرفتن کانکشن
  • رمزگشایی کانکشن
  • قطع کانکشن
  • رمزگذاری کانکشن
  • رد کانکشن
  • مانیتور کانکشن: یک Event امنیتی مانیتور می‌شود اما به دلیل پالیسی‌های فعلی فایروال بلاک نمی‌شود.
  • URL مجاز: URLهایی که برای دسترسی توسط کاربران داخلی مجاز هستند.
  • URL فیلترشده: URLهایی که مجاز به دسترسی توسط کاربران داخلی نیستند.
  • تشخیص ویروس: تشخیص ویروس در ایمیل
  • نشانه‌گذاری اسپم بالقوه: ایمیل به عنوان اسپم بالقوه علامت‌گذاری شد.
  • تشخیص اسپم بالقوه: ایمیل به دلیل اسپم بودن، رد شد.
  • ایمیل مجاز: ایمیل غیر اسپم در لاگ ذخیره شد.
  • آنتی‌ویروس Vstream کانکشن را مسدود کرد.

 شدت سختگیری در سطوح مختلف لاگ‌های امنیتی Check Point

قرمز: تلاش برای کانکشن توسط فایروال با استفاده از پالیسی امنیتی دانلود شده از Service Center یا تعریف شده توسط کاربر، مسدود شد.

نارنجی: ترافیک به عنوان ترافیک مشکوک شناسایی شد اما توسط فایروال پذیرفته شد.

سبز: ترافیک توسط فایروال پذیرفته شد.

بیشتر بخوانید: تسهیل مدیریت امنیتی با استفاده از SIEM مبتنی بر Cloud

مدیریت Log و نسل بعدی SIEM‌ها

مدیریت Log همیشه پیچیده بوده است و این پیچیدگی با گسترش دستگاه‌های شبکه ، EndPointها ، میکروسرویس‌ها، خدمات Cloud و افزایش چشمگیر حجم ترافیک و داده ها بیشتر هم می‌شود.

در یک محیط امنیتی، نسل بعدی راهکار SIEM یا  امنیت اطلاعات و مدیریت رخداد می‌تواند به مدیریت و  استخراج ارزش Event Logهای مرتبط با امنیت کمک کرده و آنالیز Log را ساده‌تر کند.

  • نسل بعدی SIEM ها بر اساس تکنولوژی Data Lake خواهد بود که می‌تواند حجم داده‌های نامحدودی از Historical Log را ذخیره کند.
  • نسل بعدی SIEM با تکنولوژی User Event Behavioral Analytics خواهد بود که بصورت خودکار یک فعالیت پایه یا Baseline بر ای دستگاه‌ها، کاربران و شناسایی رفتارهای غیرعادی یا مشکوک تنظیم خواهد کرد.
  • نسل بعدی SIEM قابلیت بررسی و اکتشاف گسترده داده را فراهم می‌کند که به تحلیل‌گران امنیتی کمک می‌کند تا بتوانند با جستجوی فعال در میان Logها، عمل Treat Hunting یا شکار تهدید را انجام دهند.

مقاله های مرتبط:

آنالیز امنیتی یا Security Analytics چیست و چه مزایایی دارد؟
جمع‌آوری Log و پردازش آن برای SIEM و نقش آن در امنیت شبکه
جمع‌آوری، مانیتور و آنالیز Log با استفاده از سامانه SIEM – قسمت اول
برچسب ها : عملکرد SIEMمعرفی SIEMسامانه siem چیستجمع آوری لاگاستفاده از Log در SIEMاستفاده از لاگ در SIEMSIEM چیستراهکار SIEMاجرای SIEM

مطلب مفید بود؟

 
بیشتر بخوانید