¿Cómo se agregan los IDS y los registros del cortafuegos y alimentan el registro agregado al SIEM?

No es necesario que los registros sean iguales. Ni siquiera necesitan registrar datos sobre los mismos tipos de información (aunque puede ayudar). La agregación es simplemente para reunir la información.

En un SIEM, lo que más te preocupa son las entidades identificables: usuarios, IP, dominios, servicios, etc. Los registros de Firewall, IDS y Antivirus contendrán información sobre estas cosas, y es así como un SIEM puede unir información .

Por ejemplo:

• Registro de IDS: patrón de tráfico malicioso conocido de la IP de origen 10.10.10.9 a la IP de destino 10.10.10.10 a las 12:00 p.m.
• Registro de antivirus: el usuario Sun-IT deshabilitó el análisis de antivirus en IP 10.10.10.10 11:50 am
• Registro del cortafuegos: la IP de origen 10.10.10.10 envió un gran volumen de datos fuera de la red a las 12:05 p.m.

La lógica en el agregador saca los campos de datos para proporcionar una línea de tiempo y un flujo lógico:

• El usuario Sun-IT desactivó el antivirus el 10.10.10.10, que luego se envió contenido malicioso desde el 10.10.10.9 y luego el 10.10.10.10 envió grandes cantidades de datos fuera de la organización.
• 10.10.10.9 y Sun-IT son los actores sospechosos (un paso de apoyo a la decisión)
• cuarentena 10.10.10.9, 10.10.10.10, reinicie las credenciales de Sun-IT e investigue de forma forense 10.10.10.9 y Sun-IT (este es un paso de automatización / orquestación)

Los registros en sí no necesitan registrar la misma información ni estar en el mismo formato. Los campos de datos solo tienen que ser lo suficientemente reconocibles para que el agregador de registros pueda identificar y unir los puntos de datos.

La forma en que se agregan / almacenan los registros depende del caso de uso en el que haya implementado su SIEM y la arquitectura de implementación.

Un SIEM típico le ofrecerá los siguientes casos de uso:

1. Colección de registro
2. Registro de retención
3. Análisis de registro
4. Correlación de eventos
5. Forense
6. Cumplimiento de TI
7. Alerta en tiempo real
8. Monitoreo de la actividad del usuario
9. Supervisión de integridad de archivos
10. Etc.

El escenario de implementación también podría variar dependiendo de la escala / alcance de la implementación y la forma en que se agreguen los registros también dependerá de estos escenarios. Por ejemplo, los siguientes podrían ser algunos escenarios:

• Implementando Log Collectors en las ubicaciones de origen y el servidor de registro central para almacenar los registros. Luego, envíe solo los registros relacionados con la seguridad a la base de datos de SIEM; solo los registros requeridos se almacenarán en la base de datos de SIEM y el resto estará en el servidor de registro central de registros

• Recopile, almacene y procese registros completos en la base de datos de SIEM, donde todos los registros se almacenarán en SIEM

Un SIEM que recopila los registros y el procesamiento es exclusivo de cada proveedor de SIEM, ya que la mayoría de ellos tienen sus propios Conectores / Plantillas (o formatos de registro compatibles) para los dispositivos / fuentes de registro comúnmente disponibles. Todos los proveedores de SIEM le proporcionarán una lista de dispositivos compatibles y cualquier dispositivo que no esté en esta lista para conectarse manualmente, donde el proveedor de SIEM podría ayudarlo a diseñar su propio conector.

Puede consultar los siguientes enlaces para ver una lista de dispositivos compatibles con proveedores de SIEM (los conectores están disponibles):

enlace

La mayoría de los proveedores de SIEM tienen su propia forma de almacenar registros (el formato de datos a la estructura de la tabla puede diferir). La mayoría de ellos procesará los registros recibidos y los convertirá a la estructura que su plataforma central pueda entender.

Los conectores / plantillas mencionados anteriormente se utilizan para convertir el formato de origen nativo al formato comprensible de SIEM.