Exabeam: Роль журналів у кібербезпеці


    Нова платформа мережевої видимості - Visibility Without Borders (VWB)

     Ведення журналів завжди було фактичною частиною історії кібербезпеки для будь-якої організації. Журнали – це цифровий відбиток спроби вторгнення і можуть надавати будь-яку інформацію, починаючи від дрібниць і закінчуючи повною історією зламу.

     Однак певні типи журналів часто не враховуються, а навіть якщо вони включені, їх не використовують ефективно. Ми зосередимося на найважливіших журналах, які ігноруються в більшості організацій, і запропонуємо деякі конкретні журнали або служби для початку роботи.

    Не всі журнали створені рівними, тому ми розділимо їх на п’ять областей ведення журналів (переважно орієнтованих на Windows), які можуть принести величезну користь будь-якій організації, яка прагне покращити свою позицію в кібербезпеці з точки зору видимості та застосування.

    Журнали автентифікації

    Успішні входи до системи

    Звичайно, успішні входи до системи можуть не потрапляти до заголовків, але вони є основою будь-якої інфраструктури безпеки. Вони допомагають гарантувати, що потрібні люди отримують доступ до потрібних ресурсів у потрібний час. Вважайте їх невідомими героями, які тихо захищають ваше цифрове сховище від зловмисників.

    Приклади журналів для пріоритезації:

    • Журнал подій Windows (ідентифікатор події 4624 – успішний вхід до системи)
    • Журнал автентифікації Windows (ідентифікатор події 4776 – успішна перевірка облікових даних)
    • Журнал подій Windows (ідентифікатор події 4648 – спроба входу до системи з використанням явних облікових даних)
    • Журнал подій Windows (ідентифікатор події 4768 – Запит на квиток автентифікації Kerberos)
    • Події входу в VPN (журнали, залежні від постачальника)
    • Журнал автентифікації Linux (/var/log/auth.log)
    • Системний журнал Linux (/var/log/syslog)

    У системах Windows і Linux відповідно ці журнали реєструють успішні події входу до системи, включаючи інтерактивні входи через консоль, мережеві входи, такі як VPN, та автентифікацію за допомогою NTLM, Kerberos, SSH або інших протоколів автентифікації, а також системні повідомлення та контекст для успішних входів до системи. Поєднання успішних спроб входу до системи з контекстом облікових даних користувачів з привілеями може значно розширити вашу видимість потенціалу вторгнення та загальної критичності.

    Неуспішні спроби входу до системи

    Неуспішні спроби входу до системи; часто їх ігнорують, але вони дуже важливі. Ці маленькі крупинки інформації можуть стати вашою системою раннього попередження про потенційні загрози. Вони повідомляють, коли хтось намагається порушити вашу оборону, даючи вам шанс зірвати їхні підступні плани, перш ніж вони зможуть завдати реальної шкоди.

    Приклади журналів для пріоритезації:

    • Журнал подій Windows (ідентифікатор події 4625 – невдалий вхід до системи)
    • Журнал автентифікації Windows (ідентифікатор події 4771 – Помилка служби автентифікації Kerberos)
    • Журнал автентифікації Linux (/var/log/auth.log)
    • Системний журнал Linux (/var/log/syslog)

    Неуспішні спроби входу до системи можуть здатися чимось, на що не варто звертати уваги, але реальність полягає в тому, що вони відбуватимуться набагато частіше, ніж успішні спроби входу в більшості сценаріїв витоку даних. Ці журнали можуть виявляти атаки методом грубої сили та їх можна поєднувати з успішними входами, щоб скласти ширшу картину спроби вторгнення. Основною сферою уваги для помилок автентифікації Kerberos будуть ваші контролери домену, які зберігають ключі до всієї інфраструктури вашого домену і часто є найбільш затребуваними цілями.

    Блокування облікових записів та зміни

    Блокування облікових записів може здатися незначною незручністю, але воно може стати вашим найкращим другом, коли йдеться про протидію кібератаки. Уявіть їх як охоронців в ексклюзивному клубі, які не пускають нікого, хто не має VIP-пропуску. Контролюючи блокування облікових записів, ви можете виявити підозрілу активність і заблокувати свою систему, перш ніж стане занадто пізно. Крім того, зміни в облікових записах, такі як їх створення або видалення, можуть бути чіткими ознаками латерального переміщення та зачистки.

    Приклади журналів для пріоритезації:

    • Журнал подій Windows (ідентифікатор події 4740 – Блокування облікового запису користувача)
    • Журнал подій Windows (ідентифікатор події 4720 – Створено обліковий запис користувача)
    • Журнал подій Windows (ідентифікатор події 4726 – Видалено обліковий запис користувача)
    • Журнал подій Windows (ідентифікатор події 4738 – Змінено обліковий запис користувача)

    Windows чудово справляється з відстеженням блокування та змін облікових записів користувачів, а також причин їх виникнення. Ці коди подій можуть бути дуже ефективним інструментом, особливо в поєднанні з невдалими або успішними спробами входу до системи, щоб знайти того набридливого підлітка, який намагається пробратися назад до клубу.

    Журнали мережевого трафіку

    Журнали мережевого трафіку охоплюють величезну різноманітність журналів, і важко виділити лише кілька, які забезпечують найкращу видимість. Вони включають як північ-південь (вхідний і вихідний трафік до вашої мережі), так і схід-захід (латеральне переміщення всередині вашої мережі) дії нападника, і всі напрямки важливі.

    Деякі з журналів, які слід почати відстежувати, включають:

    • Запити DNS
    • Діяльність мережевих протоколів (наприклад, RDP-входи, доступ до загальних папок, SMB)
    • Журнали мережевих пристроїв безпеки (наприклад, брандмауер, IPS/IDS)
    • Аудит бази даних
    • Активність веб-сервера
    • Веб-проксі
    • Відстеження повідомлень поштового сервера
    • VPN-з’єднання

    У цих категоріях занадто багато журналів, щоб перерахувати їх усі, тому ми залишаємо на розсуд читача пріоритезацію конкретних мережевих журналів. Забезпечте відповідний баланс між моніторингом трафіку N/S і E/W, щоб отримати найкращу видимість.

    Системні журнали

    Запуск/закриття системи

    Кожна система має свій ритм; свій цикл запуску та закриття. Моніторинг подій запуску та закриття системи у ваших системних журналах може надати цінну інформацію про стан і стійкість вашої інфраструктури. Раптові або несподівані закриття можуть бути ознакою апаратного збою або зараження шкідливим програмним забезпеченням, тоді як повторні невдачі при запуску можуть свідчити про глибшу проблему, яка потребує уваги. У Windows, наприклад, Event Viewer відстежує запуски та закриття системи та відповідні журнали.

    Приклади журналів для пріоритезації:

    Встановлення програмного забезпечення

    Встановлення програмного забезпечення є ключем до створення нових функцій і додавання функціональності до ваших систем, але воно також може становити потенційну загрозу безпеці, якщо його не правильно відстежувати. Контролюючи події встановлення програмного забезпечення у ваших системних журналах, ви можете виявити несанкціоновані або шкідливі встановлення програмного забезпечення, перш ніж вони призведуть до краху всієї будівлі.

    Журналювання Windows Installer записує інформацію про встановлення та видалення пакетів програмного забезпечення за допомогою технології Windows Installer. Цей журнал може надавати детальну інформацію про процес встановлення, включаючи те, які файли було встановлено, зміни в реєстрі та будь-які помилки, що виникли під час встановлення.

    Системні помилки

    Системні помилки можуть не бути найпривабливішою частиною системних журналів, але вони є одними з найважливіших. Від апаратних збоїв до програмних помилок, системні помилки можуть бути ознакою того, що у вашій інфраструктурі виникла серйозна проблема. Відстежуючи події системних помилок у системних журналах, ви можете виявити потенційні проблеми, перш ніж вони переростуть у повномасштабні катастрофи.

    Як і в двох попередніх категоріях, системні помилки можна відстежувати та контролювати за допомогою Event Viewer і відповідних журналів у середовищах Windows, а також syslog у середовищах Linux.

    Журнали програм

    Дії користувачів

    Моніторинг дій користувачів у журналах ваших програм може надати цінну інформацію про те, як ваші користувачі взаємодіють із вашим програмним забезпеченням. Від спроб входу до системи до використання функцій, відстеження дій користувачів може допомогти вам виявити аномалії та визначити потенційні загрози безпеці, такі як несанкціонований доступ або незвичайна поведінка.

    Приклади журналів для пріоритезації:

    • Аудит системи, доступ до веб-сервера та аудит, специфічний для програми
    • Журнал подій Windows (ідентифікатор події 4765 – Змінено політику аудиту системи)

    Виклики API

    Виклики API можна розглядати як таємні рукостискання, які дозволяють різним програмним системам спілкуватися між собою. Моніторинг викликів API у журналах ваших програм може допомогти вам відстежувати, як ваші програми взаємодіють із зовнішніми службами та ресурсами. Відстежуючи виклики API, ви можете виявити спроби несанкціонованого доступу, потенційні вразливості безпеки або навіть ознаки витоку даних.

    Приклади журналів для пріоритезації:

    • Шлюз API, сервер API та клієнт API
    • Журнал подій Windows (ідентифікатор події 5156 – Підключення до платформи фільтрації)
    • Журнал подій Windows (ідентифікатор події 5158 – Відхилено пакет платформи фільтрації)
    • Журнал подій Windows (ідентифікатор події 4688 – Створено новий процес)

    Журнали помилок

    Від помилок кодування до проблем із сервером, журнали помилок можуть бути ознакою того, що у вашій програмі щось не так. Моніторинг журналів помилок у журналах ваших програм може допомогти вам виявити потенційні проблеми, перш ніж вони матимуть шанс вплинути на ваших користувачів або ваш бізнес.

    Приклади журналів для пріоритезації:

    • Системна помилка, помилка програми та помилка бази даних
    • Журнал подій Windows (ідентифікатор події, ідентифікатор події 6008 – несподіване завершення роботи)
    • Журнал подій Windows (ідентифікатор події 1001 – повідомлення про помилки Windows)
    • Журнал подій Windows (ідентифікатор події 1000 – помилка програми)

    Журнали цілісності файлів

    Зміни файлів

    Зміни файлів на перший погляд здаються невинними, але вони можуть нести в собі важливу інформацію про цілісність ваших цифрових активів. Моніторинг змін файлів у журналах цілісності дозволяє відстежувати зміни, внесені до важливих файлів і каталогів. Незалежно від того, чи це несанкціоноване редагування, підозріла зміна або навіть доброзичливе оновлення, яке пішло не так, відстеження змін файлів допомагає вам підтримувати цілісність і безпеку ваших даних.

    Приклади журналів для пріоритезації:

    • Журнал подій Windows (ідентифікатор події 4663 – Спроба доступу до об’єкта)
    • Журнал подій Windows (ідентифікатор події 4656 – Запит на обробку дескриптора об’єкта)
    • Журнал подій Windows (ідентифікатор події 4660 – Об’єкт видалено)

    Поєднання цих важливих журналів дає чітке уявлення про деякі з найцікавіших подій, пов’язаних зі змінами файлів. Великий обсяг подій доступу, запису або видалення може свідчити про наявність шкідливого програмного забезпечення або програм-шифрувальників.

    Зміни прав доступу

    Простіше кажучи, зміни прав доступу контролюють, хто, за словами сірого чарівника Толкіна, має або не має права проходити. Моніторинг змін прав доступу у ваших журналах цілісності дозволяє відстежувати зміни прав доступу до файлів і власності. Цей контроль допомагає вам виявляти спроби несанкціонованого доступу, внутрішні загрози або навіть випадкові помилки в конфігурації, які можуть поставити під загрозу конфіденційність і доступність ваших даних. Це навіть може допомогти вам перемогти Балора.

    Приклади журналів для пріоритезації:

    • Журнал подій Windows (ідентифікатор події 4670 – Змінено дозволи на об’єкті)
    • Журнал подій Windows (ідентифікатор події 4704 – Призначено право користувачеві)
    • Журнал подій Windows (ідентифікатор події 4738 – Змінено обліковий запис користувача)

    Зміни прав доступу дуже часто ігноруються, а ще частіше неправильно налаштовуються. Багато значних історичних проривів було досягнуто за допомогою неправильно керованих або налаштованих облікових записів. Ведення журналів цих важливих дій має вирішальне значення.

    Видалення файлів

    Видалення файлів не завжди є рутинною очисткою – вони також можуть свідчити про потенційну втрату даних або зловмисну діяльність. Моніторинг видалення файлів у журналах цілісності дозволяє відстежувати, коли та ким файли видаляються з вашої системи. Відстеження видалення файлів допомагає вам захистити ваші критичні активи та підтримувати цілісність даних перед випадковим видаленням, навмисним саботажем або навіть кіберзлочинцем, який намагається приховати свої сліди.

    Приклади журналів для пріоритезації:

    • Журнал подій безпеки Windows (код події 4663 – була зроблена спроба доступу до об’єкта)
    • Журнал подій безпеки Windows (ідентифікатор події 4660 – об’єкт видалено)
    • Журнал подій безпеки Windows (ідентифікатор події 5145 – мережевий спільний об’єкт перевірено, щоб побачити, чи можна надати клієнту бажаний доступ)

    Легко “проспати” складне завдання з розробки ефективної стратегії управління журналами, але ми сподіваємося, що ця стаття дала вам уявлення про її важливість. Хоча варто зазначити, що список журналів тут не є вичерпним.

    Роль і місце Exabeam в портфелі рішень компанії NWU та на вітчизняному IT-ринку

    Exabeam є світовим лідером у сфері кібербезпеки, який створив портфоліо продуктів New-Scale SIEM™ для вдосконалення операцій безпеки. Продукти Exabeam допомагають організаціям виявляти загрози, захищатися від кібератак і перемагати противників. Потужне поєднання хмарного керування журналами безпеки, поведінкової аналітики та досвіду автоматизованих розслідувань забезпечує безпрецедентну перевагу перед внутрішніми загрозами, національними державами та іншими кіберзлочинцями. Exabeam розуміє нормальну поведінку, попри те, що вона постійно змінюється, надаючи командам служби безпеки цілісне уявлення про інциденти для швидшого та більш повного реагування.

    Саме тому Exabeam це безальтернативна обов’язкова складова SOC-тріади від світового лідера кібербезпеки на вітчизняному IT-ринку. Рішення представлене в портфелі компанії NWU, що є офіційним дистриб’ютором Exabeam на території України, завдяки чому у вас є можливість купити Exabeam в Україні або отримати змістовну консультацію щодо впровадження Exabeam у вашу систему безпеки.

    Отримати більш детальну інформацію або замовити тестування 

    Продукти Exabeam

    Request a consultation