セキュリティ検出の目的でネットワークデバイスデータを収集する

SEIMプロジェクトを開始するとき、セキュリティイベント管理への段階的なアプローチは、EGインベントリの優れたアプローチであり、インフラストラクチャに優先順位を付け、セキュリティへの影響/露出に従って各デバイスを評価します。たとえば、ルーターからよりもファイアウォールから詳細なセキュリティイベント情報を取得します。同様に、Webアクセスログ、OSレベルのイベントログ、HIDSの場合。

セキュリティ担当者がファイアウォール、NACインターフェースなどに直接アクセスできるのは正常ですか

それは組織とセキュリティプロセスに依存します。ファイアウォールの構成はネットワーク管理者に任せることができますが、セキュリティ操作はログの監視とポリシーの変更の監査を担当し、その構成に直接アクセスすることはできません。

実際にもっと適切にしたいもののsyslog出力は何ですか？

プロセスのこのステップでは、はいログはSEIM実装のメインデータソースを表します。 SEIMで使用するためにログを集約する際の最大の課題は、誤検知を排除し、言及した「ファイアホース」の影響を回避するために、ノイズをフィルタリングして実際のセキュリティイベントのシグネチャに焦点を当てることです。

提案として、このステップでは、PaperTrailやSplunkなどのログ集約サービスを検討してください。すべてのログイベントとフォーマットをリアルタイムですばやく表示し、フィルターの定義を開始できます。また、一般に、SEIM実装にとって重要なログデータを理解できます。

このシナリオでは、セキュリティアーキテクチャが不可欠です。ロドリゴが言ったように、あなたは優先すべきです。特に関係する予算がある場合。入力/出力ポイントを特定し、問題なく監視する必要がある重要なインフラストラクチャを特定し、その周りにセンサーを配置してみます。

また、データの保持も念頭に置く必要があります。完璧な世界では、私たちは毎日完全なパケットキャプチャをログに記録しますが、実際には、ほとんどのネットワークはトラフィックを生成しすぎて、完全なパケットキャプチャを適切な時間保持できません。データの保存がはるかに簡単で、ログの関連付けやインシデントの調査に必要なデータを提供するNetFlow v5などのソリューションを検討してください。

また、キラーは、NATへのログの半分を失わないようにするために、NATがある場所を特定します。たとえば、ロードバランサーのいずれかの側にX-Forwarded-ForまたはEnhanced Loggingで構成されていない場合、送信元IPアドレスが失われ、調査が困難になります。

ログへのアクセスに関して、私は個人的に、特にネットワークセキュリティアナリストは、さまざまなソースからのログを関連付け、調査を迅速化するために、利用可能なすべてのログにアクセスできる必要があると個人的に信じています。必ずしも管理者アクセスではありませんが、読み取り専用アクセスで十分です。そのため、センサー、ファイアウォール、ルーター/ロードバランサーからのsyslogなどからのログがあります。センサーからのログにしかアクセスできない場合も、人生は難しくなります。

最後のポイントは、すべてのログソースを特定し、適切なSIEMを選択して、すべてのログを集中化/ SIEMに転送することです。 XとYの日付の間で特定のIPアドレスを検索するために別のデバイスにジャンプすることは、そこに強力なSIEMソリューションがたくさんある場合、退屈で時間のかかる恐ろしいものです。

それについて言えば、「廃棄されたログの消防ホース」を作成したくないとおっしゃっていましたが、個人的には、これが最善の方法だと思います。セキュリティの観点からネットワークインフラストラクチャを再設計するには多くの作業が必要になりますが、最終的には必要なものを使用することになるので、ノイズが最小限に抑えられます。

少し時間をかけて実行して、お詫び申し上げます。

ほとんどのネットワークデバイスは、特定の種類のログのみをSyslogに送信するように構成できます。また、L2およびL3に存在するルーティングおよびスイッチングプロトコルからの情報を探しているとは思いません。そのため、特定のセキュリティデバイスと特定の主要ルーターからのログを除いて、すべてのネットワークデバイスからログを収集することの価値はわかりません。

私のアドバイスは、最初にIDSログの配布から開始し、次に他の主要な領域/プロトコル/デバイスを徐々に特定してから、それらからログを配布することです。