Jak rozbudować SIEM QRadar?

SIEM stanowi często serce infrastruktury bezpieczeństwa IT. Jednak ograniczenie się do analizy logów nie jest wystarczające zarówno w kontekście współczesnych cyberzagrożeń, jak i możliwości dzisiejszych urządzeń. Zatem jak rozbudować SIEM?

Jak pisaliśmy w poprzednim tekście, analiza logów to niepotrzebne samoograniczanie możliwości systemów typu SIEM. Obecnie na fali wzrostu jest tzw. analiza pakietów. Większość dostępnych na rynku SIEM można rozbudować o tą funkcjonalność. Co ważne, nie wiąże się to ze zmianą funkcjonujących w infrastrukturze urządzeń i zakupem nowych. Ich efektywność można zwiększyć w sposób ekonomiczny poprzez rozbudowę i odpowiednią integrację. Jak? Czytajcie dalej.

Jak rozbudować SIEM QRadar?

IBM QRadar jest jednym z lepszych systemów klasy SIEM. Niestety tak jak większość rozwiązań z tej grupy nie ma pełnego mechanizmu analizy pakietów. Nie mówimy tutaj o analizie przepływów sieciowych (netflow) lecz o pełnej analizie ruchu sieciowego na poziomie surowych pakietów.

IBM QRadar można szybko i prosto zintegrować z rozwiązaniem, które taką funkcjonalność dostarcza, czyli RSA NetWitness Network. Jest to część dużej platformy Threathuntingowej która nie tylko pozwala na analizę pakietów, korelację informacji jakie niosą, ale także zbieranie zdarzeń z endpointów (rozwiązanie klasy EDR), zbieranie logów (SIEM) oraz UEBA. Ale skupmy się na części dotyczącej analizy pakietów, korelacji metadanych i informacji, które niesione są w pakietach oraz alertowaniu. Integracja systemu IBM QRadar z RSA NetWitness Network pozwala na dokładniejszą analizę incydentu lub alertu poprzez dokładne otworzenie mechanizmu ataku lub podejrzanego zachowania oraz zbudowanie reguł korelacyjnych na poziomie RSA NW Network i przekazywanie alertów wprost do systemu SIEM.

Jak taka integracja wygląda?

Paczka pozwalająca na integrację z systemem IBM QRadar dostarczana jest jako ZIP zawierający kontekst akcji, które mogą być wykonane z konsoli IBM QRadar oraz w drugim kierunku.

Mechanizmy które mogą być użyte:

  1. Forward alertów z RSA NW Netwotk do IBM QRadar.

Ten mechanizm integracji pozwala na zbudowanie reguł korelacyjnych w systemie RSA NetWitness bazujących na ruchu sieciowym. W przypadku wykrycia podejrzanego ruchu sieciowego generowany jest alert, który przekazywany jest do IBM QRadar. Obsługa alertu odbywa się na poziomie Offense.

Obsługa alertu IBM QRadar a poziomie Offense

Pozwala to także podczas analizy sprawdzić czy pojawiły się zdarzenia, które mogłyby być powiązane z wykryciem podejrzanego ruchu sieciowego.

Forward alertów z RSA NetWitness do IBM QRadar

Do alertowania można wykorzystać komponent RSA NetWitness – Event Stream Analysis – jako silnik korelacyjny oraz Silnik Raportowania – Reporting Engine. W obu przypadkach wykorzystujemy format logów CEF (Common Event Format). Ten format alertu wymaga jedynie szybkiej konfiguracji po stronie IBM QRadar aby był przez niego odpowiednio parsowany.

IBM QRadar Security Intelligence

  1. RSA Qlink dla NetWitness

Wykorzystanie QLink to nie tyle inny sposób integracji systemów co bardziej mechanizm wzbogacający integrację o możliwość szybkiego przełączania się pomiędzy konsolami IBM QRadar, a RSA NetWitness.

QLink to skrypt PHP. Analityk pracując w konsoli IBM QRadar na Logach lub Flowach może szybko przełączyć się do konsoli RSA NetWitness, a dokładnie do obszaru przeprowadzenia inwestygacji używając np. adresu IP źródła lub celu z konkretnego zdarzenia z IBM QRadar jako punktu startowego rozpoczęcia analizy.

RSA Qlink dla RSA NetWitness

 

  1. „Prawy przycisk myszy” z IBM QRadar do RSA NetWitness

Innym sposobem przeniesienia iwestygacji z IBM QRadar do konsoli RSA NetWitness bez użycia mechanizmu QLink jest zbudowanie akcji „right-click” .

„Prawy przycisk myszy” z IBM QRadar do RSA NetWitness
Integracja IBM QRadar z RSA NetWitness Network powala analitykowi na szybkie przełączanie się miedzy konsolami rozwiązań z automatycznym wyświetleniem danych, które dotyczą zapytania.

Przykładowo, mając konkretny incydent na poziomie Offense w konsoli IBM QRadar analityk przeglądając zdarzenia które wyzwoliły alert nie musi skupiać się jedynie na logach z systemów źródłowych, które podłączone są do systemu SIEM, ale bazując na konkretnych polach i wartościach pól które powiązane są z incydentem (np. adres IP źródła zdarzenia) może jednym kliknięciem zbudować widok całego ruchu sieciowego powiązanego z tym polem, np. z adresem IP źródła zdarzenia.

Druga zaleta integracji to wykorzystanie Silnika Raportowania oraz Silnika Korelacyjnego rozwiązania RSA NetWitness Network jako niezależnych systemów bezpieczeństwa generujących alerty, które mogą być analizowane po stronie IBM QRadar.

Zainteresowało Cię to?

Jak widać rozbudowa SIEM o analizę pakietów nie stanowi rewolucji w zakresie zmian w infrastrukturze IT. Integrację z RSA NetWitness Network SIEM QRadar jesteśmy w stanie przeprowadzić szybko i sprawnie bo mamy już tego typu doświadczenia. Jeśli chciałbyś dowiedzieć się więcej zapraszamy do kontaktu.

2018-11-08T12:47:37+00:002018/11/08|
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • > Skontaktuj się z nami <