Graylog Log Management / SIEM richtig einsetzen, um die Bedrohung durch eigene Mitarbeiter zu minimieren.
Für die Protokollierung und Verfolgung von Insider-Bedrohungen müssen Sie mit den relevanten Daten beginnen. In diesen turbulenten Zeiten nutzen IT-Teams zentralisierte Protokollverwaltungslösungen, um Entscheidungen zu treffen. Wenn sich die Herausforderungen ändern, muss sich auch die Art und Weise, wie Sie Protokolle auf Insider-Bedrohungen überwachen, ändern.
WARUM SIND INSIDER-BEDROHUNGEN IN TURBULENTEN ZEITEN WICHTIG?
Stellenstreichungen, Personalabbau und Änderungen der Geschäftspraktiken im Rahmen der COVID-Mandate für den Heimaturlaub hatten Auswirkungen auf die IT-Teams. Sie hatten nicht nur weniger Ressourcen, sondern mussten auch immer komplexere Identitäts- und Zugriffsmanagement (IAM)-Aktivitäten überwachen.
Verteilte Belegschaften machten es schwer, den Überblick darüber zu behalten, wie Benutzer auf Ressourcen zugreifen und was sie mit dem Zugriff anstellen. Fügen Sie die wirtschaftlichen und gesundheitlichen Unsicherheiten hinzu, haben Sie ein Rezept für eine Katastrophe.
Bösewichte achten auf soziale Medien und beobachten, ob sich der Beschäftigungsstatus auf LinkedIn ändert. Sie suchen nach Konten mit erhöhten Privilegien, damit sie diesen Zugang nutzen können, um Fuß zu fassen. Letztendlich hoffen sie, einen Ransomware-Angriff durchzuführen oder Daten zu exfiltrieren, um sie auf dem Schwarzmarkt zu verkaufen.
Einige erhöhte Insider-Risiken sind:
- Erfolgreiche Phishing-Angriffe
- Diebstahl von Zugangsdaten
- Betrug
Wenn Menschen abgelenkt und gestresst sind, ist es unwahrscheinlich, dass sie sich auf die Sicherheit konzentrieren. Die Beschäftigung mit dem Thema macht sie zu leichteren Phishing-Zielen. Außerdem machen sie sich eher Sorgen um Geld. Finanzielle Zwänge können zu Finanzbetrug führen. Dieser perfekte Sturm bedeutet, dass Sie sich verstärkt auf Insider-Bedrohungen konzentrieren müssen.
PLANEN SIE DIE DATEN, DIE SIE SAMMELN MÖCHTEN
Um Insider-Bedrohungen mit Protokollen zu verfolgen, müssen Sie die relevanten Daten genau kennen und sich darauf konzentrieren. Um bösartige Aktivitäten mit Protokolldaten zu überwachen, müssen Sie die richtigen Benutzeraktivitäten, Zugriffsprotokolldaten und Netzwerküberwachungsinformationen sammeln, um ein neues Risiko zu erkennen.
Verschiedene Datenelemente, deren Sammlung und Verwendung für Risikoentscheidungen Sie in Betracht ziehen sollten:
- Anwendungen, Betriebssystemen und Geräten
- Benutzerkonten
- Zugriffskontrollen
- Systeminformations- und Ereignisverwaltungssystemen (SIEMs)
- SOAR-Tools (Security Orchestration, Automation and Response)
- Intrusion Detection Systeme (IDS)
- Systeme zum Schutz vor Eindringlingen (IPS)
- Endpunkt-Management-Tools
- Endpunkt-Schutzsysteme
- Firewall und VPN-Zugang
- Benutzer- und Entity-Verhaltensanalyse (UEBA)
Bei all diesen Daten brauchen Sie eine zentrale Stelle, die Ihnen hilft, sie zu sammeln und auszuwerten. Die nativen Konnektoren von Graylog machen es einfach, Daten aus Ihrer Umgebung zu aggregieren, unabhängig von der Quelle. Auf diese Weise können Sie Informationen zur Mitarbeiterüberwachung in Echtzeit sammeln und organisieren, um Ihr Bedrohungsmanagement und die Reaktion auf Vorfälle zu verbessern.
SETZEN SIE DIE RICHTIGEN ALARME
Eine zentralisierte Protokollverwaltung macht es einfacher, Daten mit Dingen wie Dashboards und Visualisierungen zu sehen. Um diese effektiv zu nutzen, müssen Sie sie regelmäßig beobachten. Der wahre Wert bei der Erkennung von Insider-Bedrohungen liegt in den Alarmierungsfunktionen.
Sobald Sie die Daten kennen, die für Ihre Umgebung wichtig sind, müssen Sie die Warnmeldungen kennen, die Ihnen helfen, zu reagieren. Warnmeldungen sind der Dreh- und Angelpunkt für Sicherheitsanalysten. Sie geben Aufschluss darüber, welche neuen Risiken auf die Umgebung einwirken, so dass Sie wissen, worauf Sie achten müssen.
Mit Graylog können Sicherheitsexperten zwei zusätzliche Funktionen nutzen, um ihre Prozesse zur Überwachung von Insider-Bedrohungen zu verbessern.
DYNAMISCHE LISTEN
Benutzerdefinierte dynamische Listen kombinieren Alarmparameter mit Nachschlagetabellen. Dies hilft, die Ermüdung von Alarmen zu verringern, wenn Sie mehrere Sicherheitstools und Datenquellen miteinander verbinden. Die dynamischen Listen werden automatisch aktualisiert, wenn sich die von Ihnen festgelegten Parameter ändern. Mit dieser Funktionalität können Sie spezifischere Alarme rund um echte Risiken für Ihre Umgebung erstellen.
Sicherheitsexperten mögen den Wert, den Nachschlagetabellen für ihre Untersuchungen bringen, nicht erkennen. In dynamischen IT-Stapeln müssen die Daten, die die Tabellen verwenden, jedoch regelmäßig aktualisiert werden, um sie aktuell zu halten.
BEISPIEL
Betrachten Sie den Anwendungsfall, in dem ein böser Akteur ein verwaistes Konto verwenden möchte, um in Ihre Systeme zu gelangen. Dies kann entweder ein ehemaliger Mitarbeiter oder ein Cyberkrimineller sein. Sie müssen wissen, ob jemand versucht, diese Anmeldeinformationen zu verwenden, nachdem er eigentlich gekündigt worden sein sollte. Diese Liste wird sich allerdings regelmäßig ändern.
Sie können einen Parameter mit einer Liste von ehemaligen Mitarbeitern definieren. Fügen Sie dann Zugriffsverhalten und Authentifizierungsverhalten hinzu, um mit jedem auf dieser Liste zu vergleichen. Das Auslösen von Alarmen für jede SSH würde zu viel sein.
Wenn Sie eine dynamische Liste ehemaliger Mitarbeiter haben, die automatisch aktualisiert wird, wenn Ihr Active Directory oder HR-System auf den aktuellsten Stand gebracht wird. Dadurch haben ein Sie sehr eindeutiges Risiko, wenn jemand versucht, SSH mit diesen Anmeldeinformationen durchzuführen.
KORRELATIONS-ENGINE
Mit der Korrelations-Engine können Sie Muster in den Daten finden. Sie können ein einzelnes Ereignis nehmen und mehrere Felder mit diesem Ereignis nutzen, um Daten zu korrelieren. Sie können auch Daten aus mehreren Ereignissen nehmen, um einen Alarm außerhalb mehrerer Quellen zu korrelieren.
Korrelationsregeln sind einfach zu verwenden, indem Sie in allen Dashboards die gleichen Suchkriterien erstellen. Dann filtern und kodieren Sie die Daten im Suchfenster. Um erfolgreiche Ausgaben zu erstellen, können Sie einige der integrierten Korrelationsregeln verwenden. Auf diese Weise können Sie Korrelationsereignisse in Ihrer Umgebung besser definieren.
Beispiel:
Stellen Sie sich einen Anwendungsfall vor, in dem jemand erweiterte Berechtigungen in Linux ausnutzt. Während er diese Berechtigung ausnutzt, erstellt er auch einen Benutzer. Darüber benachrichtigt zu werden, wäre der erste Schritt, um auf einen potenziellen Angriff zu reagieren.
Ein anderer Anwendungsfall ist jemand, der sich als Dienst anmeldet und versucht, das Ereignisprotokoll zu löschen. Wenn Ihre Richtlinie dies einem Dienstkonto erlaubt, würde die Aktivität fortgesetzt werden. Einzeln betrachtet, würde keine dieser Aktivitäten einen Alarm auslösen. Durch die Verwendung der Korrelations-Engine erzeugen Sie jedoch eine detailgetreue Alarmausgabe, die eine Reaktion erfordert.
GRAYLOG: ZENTRALISIERTE LOG-ÜBERWACHUNG FÜR INSIDER-BEDROHUNGEN
Insider-Bedrohungen sind ein großes Problem für jede Organisation. Mit einer zentralisierten Log-Management-Lösung können Sie Daten aus verschiedenen Quellen sammeln, aggregieren und korrelieren. Dadurch werden Insider-Bedrohungen in Ihrer Umgebung reduziert und ein Audit-Trail erstellt.
Um jedoch potenzielle Sicherheitsereignisse in Ihrer Umgebung effektiv zu erkennen, müssen Sie Warnmeldungen mit hoher Zuverlässigkeit erstellen. Wenn Sie ein zu breites Netz auswerfen, leidet Ihr Sicherheitsexperte unter Alarmmüdigkeit. Zu enge Parameter bedeuten, dass Sie möglicherweise eine wichtige Aktivität oder ein Muster übersehen. Mit Graylog können Sie präzise Parameter festlegen, indem Sie Daten korrelieren und dynamische Listen nutzen, um die richtige Sicherheitsbalance zu finden. Quelle: graylog.org
Um mehr über die Funktionen, Erweiterungen und die allgemeine Verfügbarkeit von Graylog zu erfahren wenden Sie sich einfach an uns. Kostenfrei und unverbindlich zeigen wir Ihnen gerne die Möglichkeiten von Graylog, sowie weiteren SIEM Lösungen auf.
Über Graylog:
Graylog ist eine führende zentralisierte Log-Management-Lösung, die auf offenen Standards basiert, um Terabytes an Maschinendaten zu erfassen, zu speichern und in Echtzeit zu analysieren. Graylog bietet eine bessere Benutzererfahrung, indem es die Analyse mit einer kostengünstigen und flexiblen Architektur lächerlich schnell und effizient macht. Tausende von IT-Profis verlassen sich auf die Skalierbarkeit von Graylog, den umfassenden Zugriff auf vollständige Daten und die außergewöhnliche Benutzerfreundlichkeit, um täglich Probleme in den Bereichen Sicherheit, Compliance, Betrieb und DevOps zu lösen. Graylog wurde speziell für moderne Log-Analysen entwickelt und beseitigt die Komplexität bei der Datenexploration, bei Compliance-Audits und bei der Suche nach Bedrohungen, so dass Benutzer schnell und einfach die Bedeutung der Daten erkennen und schneller handeln können.
Mehr Informationen zu Graylog SIEM und weitere SIEM und SOC Lösungen erhalten Sie gerne in einem persönlichen Präsentationstermin – wir freuen uns über Ihre Kontaktaufnahme!