Recopilación de datos de dispositivos de red con fines de detección de seguridad

Al iniciar un proyecto SEIM, un enfoque paso a paso para la gestión de eventos de seguridad es un buen método. Por ejemplo, invierta y priorice su infraestructura, y califique cada dispositivo según su impacto / exposición de seguridad. Por ejemplo, obtendrá información de eventos de seguridad más detallada desde un firewall que desde un enrutador. Del mismo modo, con los registros de acceso web, los registros de eventos a nivel del sistema operativo y HIDS.

  

Es normal que los usuarios de seguridad tengan acceso directo a firewalls, interfaces nac, etc.

Eso depende de la organización y los procesos de seguridad. La configuración del firewall se puede dejar a los administradores de la red, mientras que las operaciones de seguridad pueden ser responsables de monitorear los registros y auditar los cambios en las políticas, sin tener acceso directo a su configuración.

  

¿Es el resultado de syslog lo que realmente queremos más apropiado?

En este paso de su proceso, los registros yes representan la fuente de datos principal para su implementación de SEIM. El mayor desafío al agregar registros para su uso en SEIM es filtrar el ruido y concentrarse en las firmas de eventos de seguridad reales, con el fin de eliminar los falsos positivos y evitar el efecto de "manguera de fuego" que menciona.

Como sugerencia, en este paso, considere la posibilidad de registrar servicios de agregación como PaperTrail y Splunk. Obtendrá rápidamente una vista de todos sus eventos y formatos de registro en tiempo real, puede comenzar a definir filtros y, en general, comprender qué datos de registro serán críticos para su implementación de SEIM.

La arquitectura de seguridad es esencial en este escenario. Como dijo Rodrigo, debes priorizar. Especialmente cuando hay un presupuesto involucrado. Identifique los puntos de ingreso / egreso, identifique la infraestructura crítica que NECESITA monitorear sin cuestionar e intente implementar sensores alrededor de eso.

También es necesario tener en cuenta la retención de datos. En un mundo perfecto, registraríamos la captura de paquetes completa todo el día todos los días, pero en realidad, la mayoría de las redes generan demasiado tráfico para mantener la captura de paquetes completa durante un período de tiempo decente. Considere soluciones como NetFlow v5, que es mucho más fácil para el almacenamiento de datos y aún así proporciona los datos que necesita para correlacionar registros e investigar incidentes.

También, el asesino, identifica dónde tienes NAT para asegurarte de no perder la mitad de los registros en NAT. Por ejemplo, si tiene un sensor en uno de los lados de un equilibrador de carga que no está configurado con X-Forwarded-For o Enhanced Logging, las direcciones IP de origen se perderán y las investigaciones serán dolorosas.

Cuando se trata de acceder a los registros, personalmente creo que los analistas de seguridad de la red en particular deberían tener acceso a todos los registros disponibles para ayudar a correlacionar los registros de varias fuentes y acelerar las investigaciones. No necesariamente el acceso de administrador, pero el acceso de solo lectura sería suficiente. Por lo tanto, tendría registros de sus sensores, firewalls, syslogs de enrutadores / balanceadores de carga, etc. Si solo tiene acceso a los registros que se originan de los sensores, una vez más, la vida puede ser difícil.

El punto final es identificar todas las fuentes de registro, elegir un SIEM adecuado y centralizar / reenviar todos los registros al SIEM. Saltar a diferentes dispositivos para buscar una dirección IP específica entre X e Y fecha es tedioso y horriblemente lento cuando hay muchas soluciones SIEM poderosas por ahí.

Cuando se trata de eso, mencionaste que no querías crear una "manguera de fuego de troncos desechados", personalmente creo que lo anterior es la mejor manera de hacerlo. El rediseño de la infraestructura de red desde una perspectiva de seguridad requerirá mucho trabajo, pero al final, trabajará con lo que necesita y, con suerte, el ruido será mínimo.

Corrió con el tiempo un poco, disculpas.

La mayoría de los dispositivos de red se pueden configurar para enviar solo tipos específicos de registros a un Syslog. Además, no creo que esté buscando la información de los Protocolos de enrutamiento y conmutación que existen en L2 y L3. Por lo tanto, a excepción de los registros de ciertos dispositivos de seguridad y ciertos enrutadores clave, no veo el valor de recopilar registros de todos los dispositivos de red.

Mi consejo es que empieces a enviar los registros de IDS primero y luego identifiques gradualmente las otras áreas / protocolos / dispositivos clave y luego envíes los registros desde ellos.