Para qualquer solução SIEM, as regras de detecção integradas são os principais recursos que podem garantir que a detecção de ameaças seja mais fácil e eficaz. Para qualquer analista de segurança, as regras de detecção integradas são úteis, mas é vital poder utilizar regras de detecção de segurança personalizadas que podem ser adaptadas para se adequar à estratégia de segurança da organização.
As regras internas focadas na detecção de ameaças não costumam envelhecer bem, pois podem não ser ajustadas para detectar as ameaças mais recentes. Compreender as ameaças às quais sua organização está suscetível e criar regras de detecção personalizadas é fundamental. As regras de detecção de segurança personalizadas ajudam a evitar falsos positivos e garantem que a estratégia de segurança da sua organização esteja mais sintonizada com a detecção de ameaças externas.
Regras de detecção, tal qual Roma, não serão construídas em um dia. Há um processo para projetá-los para que possam identificar ameaças com rapidez e eficiência. Esta postagem ajuda você a entender como criar uma regra de detecção para seu SIEM e orienta você pelo ciclo de vida de uma regra de detecção.
Demanda e criação
A primeira etapa para criar uma regra de detecção é identificar as demandas de sua rede. Isso é baseado em uma avaliação das ameaças que sua organização enfrenta, os ativos que podem estar em risco potencial e a solução SIEM que você planejou investir ou na qual investiu. Esses fatores podem ajudá-lo a determinar qual regra de detecção sua solução de segurança deve estar equipado com. Crucial para desenvolver uma regra de detecção é perceber que ela depende muito das fontes de ameaças nas quais você está inscrito.
A inteligência de ameaças que você está obtendo determinará as condições lógicas para determinar a necessidade e o design de sua regra de detecção. Por exemplo: no caso de um ataque de dia zero, você não pode confiar nas assinaturas existentes para entender a ameaça e criar regras. No entanto, se o seu SIEM tiver recursos de UEBA, um analista poderá criar regras de detecção para alertar os administradores sobre comportamentos anômalos, como qualquer atividade de saída não autorizada da Internet em portas não permitidas.
Configuração e execução
Depois de determinar as condições lógicas para sua regra de detecção, é hora de configurá-la. Isso inclui configurar um ambiente de teste que possa lidar com grandes volumes de logs de várias fontes de log para que você possa testar sua regra de detecção. Criar muitas fontes de log apenas para testar sua regra SIEM é impraticável. Isso deixa você com a opção de ingerir seus logs de produção em seu ambiente de teste, o que pode dobrar os custos de ingestão, pois você está consumindo esses logs para dois ambientes.
Validação e retificação
Se você descobriu uma maneira viável de ingerir os logs em seu ambiente de teste, é hora de validar a lógica de sua regra de detecção. É aqui que ter uma ferramenta de simulação de ataque de violação ou uma equipe vermelha que pode realizar testes manuais de caneta pode ajudar a validar sua regra de detecção.
Ao validar, lembre-se de que você precisará procurar esses fatores para a eficiência da regra de detecção:
-
Redução percentual de eventos brutos. (O ideal seria uma redução de 99,99%).
-
Desempenho do sistema devido à execução de consultas complexas. (Idealmente, isso é menos de 1% de queda no desempenho).
-
Porcentagem de falsos positivos (idealmente menos de 33%) e porcentagem de falsos negativos (idealmente menos de 10%).
-
Porcentagem de ameaças correlacionadas positivamente identificadas. (Idealmente, isso é maior que 35%).
A regra de detecção SIEM padrão deve ser testada para os seguintes casos de teste.
-
Teste de pulverização de senha
-
Ataques de dropper do PowerShell (para Windows)
-
PsExecTest
-
SudoTes com falha (para Linux)
-
Arquivo de teste de malware Eicar
Depois de realizar esses testes, você precisa ajustar sua regra de detecção para eliminar falsos positivos, que é um problema comum com novas regras de detecção. Colocar certos aplicativos ou portas na lista de permissões pode ajudar a reduzir falsos positivos. Após o ajuste, você deve executar sua regra de detecção novamente para testar sua correlação e reduções de falsos positivos.
Lançar
Depois de ajustar sua regra de detecção, você deve introduzir a nova regra em seu ambiente de produção. Essa decisão requer a participação de todos os membros-chave do seu SOC para revisar a regra de detecção, verificar seu desempenho e sugerir melhorias.
A capacidade de permitir que seu analista de segurança crie regras de detecção personalizadas que podem ser ajustadas à configuração de rede da organização é um recurso crucial que as soluções SIEM devem oferecer. O Log360 é uma solução SIEM que ajuda você a criar regras de detecção personalizadas usando seu criador de regras personalizadas, permitindo que você crie metodologias de detecção específicas que fornecem segurança mais personalizada e eficaz para sua organização.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Tanya Austin.