ソリューション：弾性SIEM - 家庭およびビジネスセキュリティのための（）

多くの人があるかもしれないSIEM非常に奇妙な言葉。これは、英語の単語でのS ecurity Iの nformationおよびEベント管理の頭字語。セキュリティ情報およびイベント管理手段ことを意味しています。今日の記事では、弾性SIEMに焦点を当てます。検索や脅威の安全な動作を促進するためのスピード、規模と関連性の弾性SIEM使用。弾性スタック7.2バージョンので、伸縮性は、SIEMソリューションの提供を開始しました。

ネットワーク攻撃やデータ侵害が増加すると、我々は、機密データをセキュアに維持するように言われました。しかし、ネットワークセキュリティは、同様に重要な積極的。当社の情報システムについての私たちは、情報セキュリティを改善する方法を判断するのに役立ちますが起こっています。セキュリティ分析は非常に重要である理由です。

中小企業の場合は、ネットワークセキュリティ、ネットワーク攻撃と防御を保護するための予算、十分なスタッフと適切なツールを必要とします。これらのツールは、セキュリティ情報およびイベント（SIEM）その環境でのログ分析機器のためのソリューションが含まれています。しかし、中小企業や家族のために、安全で効果的な分析へのアクセスは、時間やお金がかかることがあります。 

弾性SIEMは、セキュリティ分析と良い方法の監視機能を提供するために、中小企業や家族のための限られた時間とリソースの一種です。これは、大企業のための素晴らしいですが、このブログのシリーズのために、私たちは小さな実装に注力していきます。

SIEMプロフィール

SIEMとは何ですか？

セキュリティ情報およびイベント管理（SIEM）は、異なるリソースの活動の多くはITインフラストラクチャ全体を集約し、分析することができるソフトウェアソリューションです。SIEMは、ネットワーク機器、サーバー、ドメインコントローラからセキュリティデータを収集します。SIEMこのデータストレージ、標準化、統合とアプリケーションの分析は、トレンドを見つけ任意のアラームを調査する脅威や組織を検出します。次のようにSIEM実装プロセスを説明することができます。

それがどのように動作するかSIEM？

SIEMは、インシデントレスポンスチームのための2つの主要な機能を提供します。

• セキュリティ関連の事件が報告されたと証拠
• アラームセットマッチ、特定のルールの分析に基づいて、それはセキュリティ上の問題があることを示して

SIEMは、システムを検索し、レポート作成、データ集約の中核です。SIEMは、ネットワーク環境全体、マージからの大量のデータを収集し、それが簡単にアクセスできるようにするため。あなたの指先のデータ分類とレイアウトを使用すると、データのセキュリティの脆弱性を検討する必要があるかもしれません。

セキュリティ情報とイベント管理

ガートナーは、 SIEM（脅威の検出、調査および応答時間）の3つの主要な機能を識別-あなたは多くの場合を含め、SIEM市場で他の機能が表示されます。

• 基本的なセキュリティ監視
• 高度な脅威検出
• フォレンジックとインシデントレスポンス
• ログ収集
• データの正規化
• 通知と警告
• セキュリティイベント検出
• 脅威の対応ワークフロー

 

なぜ、弾性スタックSIEMに適しましたか？

Elasticsearch機能

Elasticsearchは、弾性コアコンポーネントです。Elasticsearch機能で当社初見：

弾性スタックそのスピード、スケールとの関連性と区別するために、他の多くの製品：

1）速度（スピード）：Elasticsearchデータの膨大な量の顔は、ミリ秒の高速検索を提供することができます。これは、セキュリティ、従業員の速度は、より効率的なElasticsearchを可能にし、より効果的な、そして最終的に脅威に対応するため、それらを有効にする彼らが損傷を引き起こす前に検出しました。

• ご使用の環境を監視するために、対話型のダッシュボードを使用してください。
• アドホッククエリの矢継ぎ早経由の脅威を見つけるために。
• 無料の基本データと透視図を抽出します。

2）スケール（スケール）。Elasticseachは簡単に拡張をクラスタ化します。増え続けるデータの顔は、Elasticsearchは、より多くのデータを保存するために多くのクラスタ・ノードを追加することができます。データセキュリティのための要件の一部は、データの少なくとも6ヶ月を維持する必要性。Elasticsearchは簡単にこれらのニーズを満たすことができ、さらに増加データの場合には、Elasticsearchの検索速度影響を受けませんが、また、ミリ秒の高速検索を実現します。弾性スケーラビリティのレベルでは、大規模な分析チームは、一時的にマシンデータの多くを探索することができます。これは、他のシステムやアプリケーション、およびロックを防ぐために、その非独自のファイル形式でのオープンAPIのサポートの統合です。

あなたはセキュリティの仕事に従事している場合は、私は、スケーラビリティが大きな課題他の技術であることを伝える必要はありません。10年前、シスコ火星を使用している15年前かどうか、アークサイトまたはいつでも、この十年を使用して、独自のツールを使用することは、真です。

あなたは時代遅れの技術を使用している場合は、次の2つの質問を考慮してください。

• あなたがデータいったん破棄する必要がどのくらいの技術的な制限やライセンスの制限により、？
• あなたはどのくらいの期間（7日間）のために保つことができますか？15日？たぶん30日？

弾性広く収集されたデータは、データは、時間の長い期間のために保持し、より高速な検索します。

3）妥当性：弾性自動異常な機械学習、および自動相関を検出することにより、既知の脅威、その強力な検索と可視化機能の脅威の監視と調査中。

Elasticseachすることができます簡単にどこからでもデータを取り込み

どれSIEMシステムは、データ取得が非常に重要な部分です。我々はすでに、ElasticsearchがオープンAPIを提供し、簡単にドッキングのために他のシステムに適用することができるの話、およびデータを統合しました。これは、独自のファイル形式を持っていません。Elasticseach、現在のデータをインタフェースするには、次の三つの方法を提供するために：

上記のように、私たちは次のことができます。

1. ビート：私たちはElasticsearchでビートを介してデータをインポートすることができます
2. Logstash：私たちは、データのインポートをLogstashすることができます。Logstashデータソースもビートすることができ
3. RESTのAPI：我々は、伸縮性がでElasticsearchに提供される豊富なAPIを介してデータをインポートすることができます。私たちは、Java、Pythonの、ゴー、Nodejs他Elasticsearch APIを介して我々のデータのインポートを完了することができます。

ビート、ビート、どのように仕事にそれの他の弾性スタックとのためであるそれはそう？私たちは、次の図を見ることができます：

私たちは、上から見ることができ、データはElasticsearchで、次の三つの方法にインポートすることができますビート：

• ビート==> Elasticsearch
• ==> Logstash ==> Elasticsearchビート
• ==>カフカ==> Logstash ==> Elasticsearchビート

その上記のように：

• 私たちは、直接多くの場合、これはプログラムのより人気一種であっても、今、ビートにElasticsearchにデータを渡すことができます。それも、Elasticsearchは、より強力な組み合わせとの完全な供給パイプラインを組み合わせることができます。
• 解像度、豊かな、変換、削除、追加などを：私たちは、強力なフィルタの組み合わせLogstashを使用してデータ・ストリームを提供する処理することができます。あなたは私の以前の記事を参照してくださいすることができ、「データ変換、分析、抽出、豊かでコア業務。」
• 我々は時間にLogstashその結果、一度に大量のデータを生成することが可能例えば、データストリームの不確実性を、持っていない場合は、いくつかの例については、我々はカフカによってキャッシュを行うことができます。あなたは私の記事を参照することができ、「使用カフカ展開スタック弾性。」

実際に抽出データに任意のソースのような - ビートで事前に構築され、すぐにエンドポイントからでき、ネットワーク機器、アプリケーションを統合しました。そして、あなたが見つけるか、またはそれを構築するための弾性コミュニティと共同で統合を、表示されない場合。これらはすべてオープンソースであり、それが私たちの賛成側にあります。

 

弾性SIEMアーキテクチャ

SIEMは、脅威の警告調査または対話型検索の一部として、ホスト関連及びネットワーク関連のセキュリティインシデントを分析することができます。

コア弾性SIEM SIEMは、対話型のワークスペースで新しいアプリケーション、である、セキュリティチームは、事件や予備調査を分類することができます。タイムラインイベントビューアは、Kibana内からの攻撃の収集と保存証拠にそのアナリストを可能に固定され、イベント関連の注意事項、およびあなたが簡単に任意のデータ形式は、ECSを次の扱うことができるので、結果は、コメントしており、共有しました。

Kibanaは、視覚化検索とそのデータのセキュリティは絶好の場所をフィルタリングするためにセキュリティチームとなっています。弾性SIEMアプリケーションは、セキュリティチームKibanaのお気に入り（インタラクティビティ、検索、一時的な応答性のドリルダウン）のすべての側面を使用し、直感的な製品の経験としてそれをパッケージ化し、典型的なSOC（セキュリティ・オペレーション・センター）で動作することができます一貫処理します。

KibanaでSIEMアプリケーションは、事件や予備調査を分類するためのセキュリティチームのための対話型のワークスペースを提供します。また、機械学習異常検出動作と、検出エンジンルールが自動的に不審な活動の全体のサーバおよびワークステーションのフリートを検出するための方法を提供します。

SIEMコンポーネント

弾性スタックSIEMは、次のコンポーネントが必要です。

弾性エンドポイントセキュリティを予防、エンドポイントセキュリティプラットフォームとエージェントの検出と応答機能を提供することです。このイベントとセキュリティアラートがElasticsearchに直接配信しました。

ビートは、プロキシデータ配送業者がシステムに取り付けられた開放されています。Elasticsearchにセキュリティイベントやその他のデータを送信するビート。

Elasticsearchはリアルタイム分散ストレージ、検索および分析エンジンです。このようなログや指標などの半構造化データストリームの良好な指標を、Elasticsearch。

Kibanaは Elasticsearchオープンソースの解析と可視化プラットフォームで使用するためのものです。あなたは、インデックスElasticsearchに保存されたデータとKibana検索、表示、および相互作用を使用することができます。あなたは簡単にグラフ、表、地図、各種の高度なデータ解析やデータの可視化を行うことができます。

KibanaでSIEMのアプリケーションが解析し、ホストとネットワークのセキュリティインシデントの調査のための専用のユーザインタフェースを提供します。

 

追加の弾性部品

あなたは他のSIEM製品と一緒に弾性を利用して、疑わしい活動を特定し、調査に役立つ機能することができます：

• 機械学習
• 警告
• キャンバス  -私は自分の好きなパネルをカスタマイズすることができます

データソース

SIEMを抽出し、弾性エンドポイントセキュリティ、ビート及びビートモジュール、を含む様々なソースからのデータを分析することができるAPMトランザクションとを共通のデータ定義弾性（にマッピングECS）サードパーティのデータ収集。

ホストデータソース

• Auditbeat

  • システムモジュール - Linuxでは、MacOSの、勝ちます

    • パッケージ
    • プロセス
    • ログイン
    • ソケット
    • ユーザーとグループ
  • auditdのモジュール（Linuxカーネル監査情報）
  • ファイルの整合性モジュール（FIM） - のLinux、MacOSの、勝ちます

• Filebeat

  • システムログ（認証ログ） - Linuxの
  • サンタ - MacOSの

• Winlogbeat

  • Windowsイベントログ - Windowsの

ネットワークデータソース

• Packetbeat

  • 流れ
  • DNS
  • 他のプロトコル

• Filebeat

  • Zeek NMSモジュール
  • Suricata IDSモジュール
  • iptablesの/ Ubiquitiモジュール
  • CoreDNSモジュール
  • 特使プロキシモジュール（Kubernetes）
  • パロアルトネットワークスのファイアウォールモジュール
  • Cisco ASAのファイアウォールモジュール
  • AWSモジュール
  • CEFモジュール
  • Googleクラウドモジュール
  • NetFlowのモジュール

データの種類

上記のホストおよびネットワーク・データ・ソースから、SIEMヘルプは、私は、データ型の次の4つのタイプを抽出します。

1）監査イベント：収集データに使用AuditbeatのLinux監査フレームワークは、システムとファイルの詳細情報の整合性を監視します。SIEMアプリケーションにおける分析のためElasticsearchに輸送。

2）認証ログイン：試みと関連活動のログイン認証データと調査Auditbeat Filebeatシステムモジュールの収集を使用します。

3）DNSトラフィック：ユーザー・アクセス・パターンを、フィールド活動、クエリの動向：付きPacketbeat DNSデータがネットワーク上で何が起こっているかを確認するために収集しました。

4）NetFlowは：データ・ストリーム（広い視野および解析モジュールによってを分析することによってFilebeat NetFlowが）環境を確立するために収集します。

一般的なビューを提供

データを収集することは一つのことです。ユニファイド能力は別です確認してください。手段弾性共通スキーマ（ECSは）、あなたは、このようなログ、およびコンテキストデータストリーム、どんなにデータソースの分散液として、環境全体の分析情報を集中することができます。KibanaでSIEMと呼ばれる専用のアプリケーションを、持っている、セキュリティ専門家は、共通のホストおよびネットワークセキュリティワークフローをより簡略化された方法の調査と分類を許可することができます。

オプスと脅威は、チームワークを探しています

弾性SIEMアプリケーションは、セキュリティチームは、事件を分類し、予備的な調査を行うことができ、対話型のワークスペースです。脅威、タイムライン上で収集証拠、固定とコメント関連のイベント、および発券やイベントに転送可能性のモニタリングSOARプラットフォームを。

 

弾性SIEMのお客様

過去数年間、弾性スタックは、インターネット上の脅威から自社のシステムやデータを保護することができ、セキュリティの専門家のための最初の選択肢となっています。ベル・カナダおよびスラック弾性スタックセキュリティ分析を使用して。シスコタロスはその中核検索プロセスへの脅威としてElasticsearchます。ネットワーク・セキュリティ・オペレーションの共有化により作成されたテンの学術提携センターOmniSOCとオークリッジ国立研究所は、コアSIEMソリューションとして柔軟なスタックを選択します。そして、我々は、セキュリティ事業者をサポートするために、弾性スタックの形成の周りのオープンソースプロジェクトのようなRockNSM、HELKを見てきました。

概要

今日の発表では、我々はいくつかの基本的な概念を紹介し、弾性SIEM SIEMです。だから、私の記事の後、我々はSIEMの手が、展開方法について説明します。「お読みくださいソリューション：弾性SIEMを-家庭およびビジネスセキュリティ（b）のために。」ありがとうございます！

 

参考：

【1】https://www.varonis.com/blog/what-is-siem/

【2】https://www.elastic.co/guide/en/siem/guide/current/siem-overview.html