web-dev-qa-db-ja.com

企業が監視する必要のある最も関連性の高いセキュリティイベント/インシデントは何ですか?

企業がイベント管理ツールを使用して監視する必要がある最も関連性の高いセキュリティイベント/インシデントは何ですか?サーバー、ウイルス対策、ネットワークなどに関連します。

incident-responsesoc
1
Luis Mtz Bacha

すべてをログに記録し、すべてを分析する必要があります。あなたのサイトやサーバーを破壊しようとしている人々。これらはすべて、脅威をもたらすため、関連するインシデントです。

すべての試みはいつか関連するイベントになる可能性があるため、インシデントとは何かを言うことは関係ありません。重要なのは、それらをさまざまなレベルでカタログ化することです。一部の脅威は他の脅威よりも大きな危険をもたらします。それらのいくつかには、多くの「通常の動作」が含まれている可能性があります。重要なのは、長期間にわたって分析した後にのみ関連するものもあるということです。 1人の攻撃者が侵入に最善を尽くしていることに気付くかもしれません。ハッキングされたサーバーを取得した後、戻って関連するセキュリティイベントを探してインシデントから学ぶ必要があります。

2
Lucas Kauffman

ログのソースによって異なります。ログソースがウィンドウの場合は、アカウントログオンの失敗、パスワードのリセットまたは変更の試行、新しいアカウントの削除または作成、ホスト名の競合を探します。 ltimatewindowssecurity にアクセスして、検索する重要なイベントを見つけることができます。

ファイアウォールログでは、ポートスキャン(1つのホストIPが短時間で100を超える宛先ポートにアクセスする)、SAPでのFTPログイン、マルウェアアクティビティを確認できます。

アプリケーションまたはプロセスによる高帯域幅の消費を確認します。

プロキシログで、SQLインジェクション、データテンパリング、検索クエリなどを確認します。

ユースケース:

  1. 15分以内に同じIPから同じマシンへの異なるユーザー名で5回失敗したログオン試行が試行された場合、およびその後、同じIPから任意のマシンへのログインが成功した場合に警告します。

  2. ホストスキャンがIPによって行われ、同じIPによって正常な接続が確立され、接続されたIPから接続されたIPへの逆方向接続が確立された場合に警告します。

  3. 異なる外部IPから同じ宛先IPへの100を超える接続が1分間に確立された場合に警告します。
  4. 同じ外部IPから異なるポートを介して同じ宛先IPへの100の接続が1分間に確立された場合に警告します。
  5. 同じユーザーが1時間に同じマシンへのログオンに3回以上失敗した場合に警告します。
  6. ユーザーがどのサーバーにもログインできず、認証に失敗した場合は警告し、そのユーザーが同じサーバーにログインできない場合は2時間以内に警告します。
  7. 同じソースIPからのUTM /ファイアウォールによって100を超えるパケットがブロックされ、1時間以内に警告しない場合は、1つに警告します。 (DDOS攻撃の場合、何百万ものパケットがブロックされます。それぞれに電子メールが送信されると、DDOS攻撃にさらされます。)
  8. UnusualUDPTrafficの原因となるソースIPを報告します。
  9. トラフィックがソースまたはIPReputationリストのソースから発生した場合に警告します。
  10. ネットワークトラフィックがソースから発生した場合、またはTRCERTによって公開された悪意のあるリンクリストのソースに発生した場合に警告-トルコ-コンピュータ緊急対応チーム
  11. 誰かがネットワークにDHCPサーバーを設定した場合、または別のゲートウェイがブロードキャストした場合、これを確認するには、次のことを確認します。プロトコルがUDP、宛先ポートが67、宛先IPがそうでないトラフィックが内部から外部または外部から内部に発生した場合に警告します。登録済みIPリスト内。
  12. IPスキャンが発生した場合に警告します。
  13. Webサーバーを介してSQL攻撃が発生した場合に警告します。
  14. サーバーが時間外にアクセスされた場合に警告します。
  15. 同じユーザーが1分間に異なるマシンへのログオン試行に3回以上失敗した場合に警告します。
  16. 攻撃の後にアカウントが変更された場合に警告する
  17. スキャン後に攻撃が続く場合に警告
  18. ソースでホストで認証に失敗したが、2時間以内に同じホストで認証に成功しなかったという異常な状態を検出します
  19. 作成中の新しいアカウントを探し、その同じアカウントからの即時認証アクティビティにより、バックドアアカウントの作成と、システムへのTelnet接続に使用されているアカウントが検出されます。
  20. 異なるホストで過度のログオン失敗がある同じソースを監視し、
  21. 攻撃の発信元が以前に攻撃の宛先であったかどうかを確認します(15分以内)
  22. 同じ送信元IPと宛先IPの間で、重大度4以上のホストファイアウォールからのイベントが10分以内に5つあるかどうかを確認します
  23. 作成されている新しいアカウントを探し、すぐに同じアカウントからのアクセス/認証の失敗アクティビティが続きます
  24. 営業時間外のシステムアクセスを監視する
1
Jigar Lad