Przeprowadzanie segregacji i priorytetyzacji incydentów to jedna z najbardziej żmudnych części pracy analityka SOC. Jest ona jednak bardzo ważna, gdyż dzięki niej mamy nadzieję, że nowy alarm nie jest kolejnym fałszywym alarmem, przez który tylko tracimy cenny czas. Jeśli dostępna jest wystarczająca ilość danych, analityk nie musi przełączać się między narzędziami i portalami przez kolejne 15 minut w celu uzyskania takiej pewności. Kolejka ważnych zdarzeń zapełnia się, podczas gdy zespół prowadzi dochodzenie. Marnowanie czasu na pozyskiwanie informacji z zewnętrznych źródeł może być bardzo deprymujące.
Podczas wdrażania narzędzia Security Orchestration, Automation and Response (SOAR) jednym z najłatwiejszych ulepszeń, które można wprowadzić, jest automatyczne wzbogacanie alertów i danych w celu zapewnienia analitykom SOC szerszego kontekstu. Poniżej postaramy się przybliżyć, w jaki sposób można to zrobić.
Jakie dane mogą zostać łatwo wzbogacone?
Dla każdego alertu bezpieczeństwa w SIEM dostępne są z pewnością następujące typy wskaźników:
- Adres IP Jeden z najtrudniejszych typów danych do przedstawienia ostatecznego kontekstu, ale kilka informacji może być tutaj pomocnych dla analityka SOC. Większość analityków najpierw przechodzi do danych geolokalizacyjnych, które mogą pomóc w zidentyfikowaniu potencjalnie zagrożonych kont. Jeśli użytkownik loguje się z Warszawy o 8 rano, ale godzinę później już z Chin, prawdopodobnie jest to coś, w co można się zagłębić. Wiedza o tym, który dostawca usług internetowych/organizacja jest właścicielem adresu IP, może być również cenną informacją. Zakres adresów IP należących do firmy Microsoft będzie miał inny priorytet odpowiedzi niż zagraniczni dostawcy VPS, znani z nadużyć ze strony złośliwych aktorów.
- Hash pliku Skrót pliku sam w sobie jest niejednoznacznym ciągiem cyfr i liter – w zasadzie bezużytecznym, jednak dla analityka SOC to unikalny identyfikator próbki. Wzbogacanie skrótu pliku może obejmować kilka kroków, w tym wysłanie kopii powiązanego pliku do piaskownicy w celu analizy. Pierwszym rodzajem wzbogacania, z którego większość korzysta, jest podstawowe wyszukiwanie reputacji w celu sprawdzenia, czy hash pliku jest znany jako szkodliwy, a jeśli tak, to jakiego rodzaju zagrożenie jest z nim powiązane. Inne pomocne informacje o pliku powiązanym z hashem obejmują typ pliku, sprawdzanie poprawności podpisu i informacje o wydawcy.
- Nazwa domeny Ataki phishingowe są bardziej prawdopodobne, gdy domena nadawcy została zarejestrowana na przykład w zeszłym tygodniu. Proste wyszukiwanie WHOIS może dostarczyć wielu informacji. Połączenie tego z wyszukiwaniem rekordów DNS, wyciąganiem adresów IP i dalszym wzbogacaniem wspomnianym wcześniej może być bardzo przydatne w ocenie incydentu.
- Adres URL Analityk SOC może uzyskać wzbogacone dane z określonego adresu URL. Wiele razy legalne strony internetowe zostaną naruszone, a osoba atakująca stworzy strony phishingowe w strukturze folderów witryny, pozostawiając nienaruszoną stronę główną. Łatwym sposobem szybkiego ustalenia, czy tak jest w przypadku danego adresu URL, jest zrobienie adresu URL. Sklonowaną stronę logowania Office 365 można na tej podstawie łatwo wykryć.
- Host Lista hostów może zapewnić bardzo potrzebny kontekst, jeśli istnieje solidny i aktualny system zarządzania zasobami. Zrozumienie środowiska, aplikacji i użytkowników może mieć decydujące znaczenie przy określaniu, czy alert dotyczy incydentu o dużej wadze.
- Username Podobnie jak w przypadku hostów, zrozumienie kont związanych z alertem może określić priorytety odpowiedzi. Organizacje powinny kłaść duży nacisk na oznaczenia związane z kontami z uprawnieniami administracyjnymi. Wiele organizacji traktuje również priorytetowo konta VIP. Wzbogacenie alertu o te dane pomoże zaoszczędzić czas analitykowi, który nie będzie musiał przeszukiwać katalogu użytkowników.
Jak jeszcze wzbogacić SIEM/SOAR?
Oprócz wszystkich sposobów wzbogacenia typów danych wymienionych powyżej, upewnienie się, że korzystamy z dynamicznego IOC zintegrowanego z platformą SOAR, może skrócić jeszcze bardziej czas na kategoryzację incydentu. Większość platform SOAR ma wbudowaną funkcję analizy zagrożeń lub łatwo integruje się z platformą analizy zagrożeń (TIP) innej firmy.
Poza tym, jakie dane mogą pomóc we wzbogaceniu typów wskaźników, zespół SOC musi również wiedzieć, jak wykonać wzbogacenie. Dane wzbogacania powinny być gotowe dla analityka przed przyjęciem alertu, dlatego konieczne jest upewnienie się, że przy tworzeniu alertu pojawi się instrukcja. W zależności od platformy SOAR i wewnętrznych procedur dobrym pomysłem może być również umożliwienie analitykowi ręcznego uruchamiania automatyzacji wzbogacania dla wielu wskaźników.
Oto przegląd metod przeprowadzania wzbogacania dla każdego typu wskaźnika:
Adresy IP Skorzystaj z usług reputacji adresów IP i wyszukiwania adresów geograficznych, aby wykrywać wcześniej znane źródła złośliwego oprogramowania.
Skrót plików Skorzystaj z usługi wyszukiwania reputacji skrótów plików i SIEM/EDR, aby zapytać o rozpowszechnienie skrótu plików w celu wykrycia złośliwego oprogramowania.
Nazwa domeny Skorzystaj z usług wyszukiwania reputacji lub nawet samego polecenia WHOIS, aby określić reputację i wiek domeny. Zaawansowane SOAR posiadają wbudowaną integrację z usługą WHOIS.
Adres URL Skorzystaj z usług wyszukiwania reputacji i narzędzi do zrzutów ekranu witryn internetowych, aby wykryć zaatakowane witryny.
Hosty Użyj systemu zarządzania zasobami w środowisku i pobierz informacje takie jak aplikacje, system operacyjny, zainstalowane poprawki i właściciel systemu. Ten wskaźnik wyróżni obiekty z przestarzałym oprogramowaniem lub niezarządzane urządzenia sieciowe jak drukarki czy IoT.
Konta Przeszukaj katalog użytkowników i pobierz informacje o koncie, takie jak członkostwo w grupach, status włączenia, lokalizacja biura, menedżer czy ostatnia zmiana hasła. Taki wskaźnik wyróżni użytkowników na wyższych stanowiskach czy z wyższymi uprawnieniami.
Podsumowanie
Jednym z głównych celów SOAR jest automatyzacja – czyli wyeliminowanie konieczności ręcznego wykonywania powtarzalnych małych fragmentów pracy przez człowieka. Przeanalizujmy, ile czasu zajęłoby wykonanie wszystkich wymienionych powyżej czynności. Przesłanie skrótu pojedynczego pliku do usługi online zajmuje minutę lub dwie. Jednak umieśćmy to w kontekście analityka, który musi wykonać to zadanie dla dziesiątek lub setek wskaźników kilka razy dziennie. Skryptowe rozwiązania API, które nie wymaga wkładu użytkownika, zautomatyzowałoby to zbędne zadanie. To czas, który zespół SOC mógłby wykorzystać na bardziej wartościowe analizy. Rezultatem byłaby szybsza i dokładniejsza segregacja incydentów, a analitycy doceniliby ograniczenie żmudnej pracy. Automatyzacja zawsze powinna być celem każdego z zadań związanych z analizą zagrożeń.