Al considerar qué registros de eventos de Windows se incorporarán a una solución SIEM, ¿debería consultar solo los registros de eventos de seguridad o todas las categorías de registros de eventos? ¿Qué tan útiles son las otras categorías para detectar y responder a incidentes de seguridad?
En esta época, la mayoría de los productos comerciales de SIEM / SEIM / SIM / SEM / SEEM / CSIM / SCIM / SIM se envían con una gran cantidad de los llamados "informes enlatados". En general, cada uno de estos informes se diseñará para analizar registros específicos de tipos específicos de sistemas y procesarlos. Por ejemplo, dado un informe "Intentos de autenticación fallidos de Windows", se podría suponer que los Id. De evento que se asignan de nuevo a los eventos de autenticación se procesarán en busca de FALLAS. Mientras que un "Windows - Firewall Blocks" buscaría los EventIDs que se asignan al subsistema de firewall se procesaría.
Las preguntas reales que debes hacerte son estas;
La respuesta a la pregunta # 1 es realmente sobre todo enmarcar la situación en tu propia cabeza. Así que puede tenerlo en cuenta cuando piense en los otros 2. Una vez que haya respondido esas preguntas, puede ver el producto SIEM que tiene y determinar "¿Qué datos se requieren para producir esa información?"
Tenga en cuenta que su también puede variar enormemente dependiendo de las fuentes de registro específicas. Por ejemplo, puede decidir que un servidor web que no sirve para nada, excepto la información de contacto de un departamento, solo necesita enviar registros de autenticación e IIS, mientras que puede desear que todos los registros de todos provengan de sus controladores de dominio. Esto también puede verse muy influenciado por cualquier restricción de licencia, ya que muchos productos comerciales se licenciarán según la cantidad de fuentes de registro y / o eventos por segundo (EPS).
Desafortunadamente, no hay una respuesta breve y clara. Todo depende de lo que quieras y de lo que sea capaz tu solución.
Depende de qué tipo de evento esté considerando un incidente. Hay información que puede usar para informar en tiempo real (por ejemplo, conectar dispositivos USB) que no necesariamente se reportan en el registro de seguridad. Más reinicios de servicio y otros eventos relevantes que podrían estar relacionados con eventos de seguridad. Los registros de antivirus y firewalls también se pueden enviar si está utilizando el tipo correcto de servicios de reenvío.
Debería poder recopilar gran parte de esto de todas las diferentes categorías de registros de eventos. Tiendo a no concentrarme en una sola ubicación, ya que puedes encontrar rápidamente que tienes anteojeras.