Обогащение данных - ключевой компонент, необходимый для эффективного обнаружения, расследования и реагирования на угрозы. Использование обогащенных данных делает борьбу с угрозами безопасности более простой и эффективной.
За прошедшие годы система безопасности претерпела значительные изменения. Сегодня в типичной корпоративной среде существует такое количество устройств безопасности, что проблема заключается не в неспособности обнаружить, а в неспособности оценить все имеющиеся сигналы и отделить угрозы.
Проще говоря, безопасность сегодня - это проблема больших данных. Множество решений для обеспечения безопасности предоставляют информацию в различных форматах и в разное время. В центре этого потока информации находится платформа управления информацией и событиями безопасности (SIEM). SIEM-решения предназначены для сбора огромных объемов и разнообразных данных из технических и нетехнических источников и отображения их в визуальных форматах, облегчающих восприятие информации.
Согласно отчету Cybersecurity Insiders 2019 SIEM Report, 76% опрошенных экспертов по кибербезопасности считают, что SIEM очень или очень важна для обеспечения безопасности их организации. Кроме того, 75% опрошенных утверждают, что с тех пор, как они начали использовать SIEM, их способность обнаруживать угрозы улучшилась.
В чем же секрет того, как SIEM справляется с огромным объемом данных о безопасности?
Ответ - обогащение данных
В процессе обогащения данных к данным о событиях безопасности добавляется контекстная информация, как событийная, так и не событийная, с целью преобразования исходных данных в содержательные. События безопасности могут быть обогащены контекстной информацией из справочников пользователей, средств инвентаризации активов (например, CMDB), средств геолокации, сторонних баз данных анализа угроз и множества других источников.
Обогащенные данные позволяют SIEM более эффективно выполнять обнаружение угроз, поиск угроз и реагирование на инциденты.
Обнаружение угроз значительно повышается при использовании обогащения в реальном времени. Контекст бизнес-данных и данных разведки угроз может быть использован для улучшения аналитики обнаружения, что повышает способность SIEM выявлять угрозы. Он также может быть использован для повышения оценки риска угрозы, что позволяет определить приоритетность угроз с более высоким уровнем риска для исследования.
При поиске угроз и реагировании на инциденты дополнительный контекст, получаемый за счет обогащения, позволяет оперативно проводить расследования и принимать соответствующие меры. Например, дополнительный контекст, полученный из канала анализа угроз, может идентифицировать вложение электронной почты как известное имя вредоносного файла. Другим примером может служить использование критичности активов. Определив критичность тех или иных элементов инфраструктуры (например, серверов, виртуальных машин и других устройств), можно определить приоритетность расследования угроз для ключевой инфраструктуры.
В каждом из этих сценариев контекст играет ключевую роль в отсеивании шумов и определении приоритетности угроз высокого риска.
Типичная контекстная информация, используемая для обогащения данных безопасности, включает:
- контекст идентификации (например, системы управления идентификацией и доступом (IAM), каталоги, системы планирования ресурсов предприятия (ERP) и Active Directory (AD)).
- Информация об активах (например, база данных управления конфигурацией (CMDB))
- привилегии доступа (например, членство в группах AD)
- Нетехнические данные (например, данные проверки биографии и пропусков)
- Контекст уязвимостей (например, отчеты о сканировании)
- Социальный и онлайновый контекст (например, социальные сети и чаты)
- Сетевые карты и геолокация (например, классификация внутренних сетей для трансграничной аналитики).
Поскольку количество событий и оповещений стремительно растет, обогащение необработанных событий безопасности соответствующим контекстом становится обязательным требованием к современному SIEM-решению. Однако некоторые SIEM-решения сталкиваются с проблемами масштабируемости при работе с большими данными.
Для чего может использоваться обогащение данных
Обогащение данных в реальном времени позволяет реализовать несколько ключевых сценариев безопасности предприятия. Ниже приведены некоторые из ключевых примеров использования.
Агрегация событий и рисков
Когда SIEM обогащает данные о безопасности, платформа также сопоставляет их с объектом (например, пользователем, хостом или IP-адресом). Это позволяет агрегировать события и осуществлять поиск обогащенных событий по всем источникам данных, ориентируясь на любую сущность. Это также позволяет агрегировать и приписывать сущности баллы риска, что позволяет определять приоритетность угроз.
Контекст в момент времени
Информация об угрозах, уязвимостях и IP-адресах - все это информация, полученная в момент времени. Например, домен может быть плохим сегодня, но чистым завтра, и наоборот. Применение обогащения в режиме реального времени позволяет SIEM улавливать этот контекст. Обогащение, выполняемое в момент поиска или чтения, неточно. Данные из пользовательских каталогов (например, AD) используются для обогащения пользовательского контекста необработанного события. Аналогично, данные CMDB используются для обогащения контекста активов. Обогащенные данные могут быть использованы в аналитике и доступны для поиска угроз, где использование контекстной информации значительно сокращает время расследования.
Анализ угроз для обогащения информации
Большинство SIEM-решений способно сравнивать события с информацией об угрозах для поиска угроз. Однако для оперативной службы безопасности чрезвычайно полезно, когда данные анализа угроз используются для обогащения событий безопасности в режиме реального времени. SIEM может добавлять контекстную информацию об угрозах из таких источников, как whois, virustotal и других, чтобы обеспечить организации надежной встроенной информацией для улучшения аналитики и поиска. Контекстная информация может использоваться для аналитики в реальном времени, профилирования поведения, повышения риска, обновления списков наблюдения, таблиц поиска и активных списков.
Сопоставление пользователь-IP-хост
События безопасности могут быть связаны с пользователем, хостом, IP-адресом или несколькими другими идентификаторами.
Карта оценки рисков организации
SIEM строит и поддерживает иерархию организаций, используя данные из каталогов пользователей, таких как AD. Выявленные угрозы ассоциируются с отдельными организациями для создания карты оценки рисков организации.
Интеграция бизнес-контекста
Интеграция контекстной информации, имеющей отношение к бизнесу (например, иерархия организации и таблицы рисков, местоположение офисов пользователей, адреса электронной почты пользователей и т.д.), позволяет проводить уникальную аналитику, например, анализ аналогов. Это расширяет возможности оценки рисков в рамках отдельных организаций, позволяет изолировать и устранять больше типов угроз.
В заключение
Обогащение данных решает эту проблему, снижая количество ложных срабатываний и расширяя возможности аналитиков и охотников за угрозами в их расследованиях. Обогащение превращает шум больших данных в интеллектуальную аналитику.