Azure Sentinel וניהול SIEM ארגוני

לאחרונה השיקה Microsoft את Azure Sentinel שהוא למעשה מערכת SIEM מבוססת ענן (Native SIEM) המשלב יכולות מוכרות של SIEM קלאסי לצד יכולות מתקדמות המשלבות מענה ותגובה אוטומטי לפי תרחישים שונים.

על SIEM, SOC וכאלה

מערכות SIEM, תפיסת SOC ארגונית, צוות IR ומענה לאירועי אבטחה.

צוות SOC הינו צוות חשוב בארגון ובמערך אבטחת המידע הארגוני ולכן צוות SOC, מערכת SIEM ונהלים הם שלושה מאפיינים חשובים בתמצונה הכללית של מערל האבטחה בארגון.

לרוב צוות ה IR וצוות ה SOC מבצעים מעקב אחר מערכות האבטחה בארגון והרשת באמצעות המשאבים וכלים בינהם SIEM ארגוני.

תפקידו של צוות SOC היא לנטר את המערכות ולגלות חריגה, סיכונים וגרוע מכך התקפה על ארגון ולעדכן ישירות את צוות IR בכדי שיוכל לבצע ניתוח על המידע שהגיע במטרה לעצור את האירוע.

צוות SOC אמון על מספר משימות:

  • ביצוע בקרות באמצעות SIEM או מערכות אחרות
  • תחקור אירועים והעברת המידע במידת הצורך לצוות IR
  • הכנת תנאים וחוקים על גבי מערכת SIEM ומערכות אחרות
  • שליחת דוחות מוגדרים מראש

את המערכות אשר צוות SOC עובד עימו ביומיום הוא מערכת SIEM.

מערכות SIEM למינהם הם מערכות המאפשרות ניהול, בקרה ושליטה על אירועי אבטחה בארגון ע"י כך שהם מבצעות איסוף מידע והתראות מתוך מערכות ורכיבים שונים מחוברים למערכת SIEM וכתוצאה מכך מייצרת תמונת מצב מסוימת של מערך אבטחת מידע ארגונית.

הטרמינולוגיה משתנה בין מערכות SIEM שונות, אך העקרון זהה כמעט אצל רוב מערכות SIEM הקיימות כיום.

מערכות SIEM אוספות מידע מכל מערכת או רכיב נדרשים, וניתן למנות בין היתר:

  • תשתיות ענן כדוגמת iDP, Mobile Management
  • מערכות הגנה שונות, כגון מערכות CASB או EDR
  • שרתים Windows & Linux (ולעיתים תחנות קצה מסוימות)
  • רכיבי אבטחה קלאסיים, כדוגמת: Firewall, VPN, Proxy
  • אפליקציות ספציפיות (לרוב ייאסף מתוך השרת עצמו)

המידע שנאסף יכול להיות מידע המבוסס על לוגים שונים, התראות ספציפיות ופעולות מסוימות באותם מערכות נשלח אל מערכת SIEM ושם המידע נשמר באופן מסוים בכדי שניתן יהיה לבצע עם המידע פעולות שונות, כגון:

  • הצגת המידע באופן קריא לצוות SOC או צוות IR
  • ניתוח המידע וביצוע פורנזיקה על פעולות שונות
  • התראות לגבי אירועי אבטחה ספציפיים
  • אוטומציה על פעולות מוגדרת מראש
  • מענה אוטומטי על פעולות שאינן ידועות

מכיוון שמדובר על מערכות רבות (מערכות סיסטם וכן מערכות אבטחה) ומידע עצום עם כמויות לוגים והתראות, וכזה שגם צוות שלם אינו יכול להתמודד עימו

עובד אנושי אינו מסוגל לנתח כמות גדולה כל כך של לוגים כל יום. מעבר לכך, כמעט בלתי אפשרי ליצור קורולציה בין התראות (למשל, ניסיון Brute Force על האפליקציה וגישה לטבלאות רגישות בבסיס הנתונים) רק ע"י מעבר ידני על לוגים.

Related image

ישנן סיבות רבות ליישום SIEM בארגון, בין היתר:

מעקב וניטור

כמות המערכות הן רבות וכך גם הלוגים אשר נצברים מאותה מערכת ולכן אין באפשרותינו לבצע מעקב אחר הלוגים ולבצע מעקב אחר איורעים אשר מתרחשים בעקבות אותם לוגים. ולכן מכאן עולה צורך מהותי של שיפור מערך אבטחת המידע בארגון וביצוע מעקב אחר וניטור לוגים ומענה לאירועי אבטחה. בנוסף לכך מערכות SIEM מאפשרות לבצע פורנזיקה על כל אותם אירועים ולכן מתוך אותו ממשק ניתן לבצע תחקור אירוע.

מענה ותגובה (MDR)

מערכות SIEM של ימינו (מרץ 2019) נדרשות לבצע פעולות נוספות ולא רק איסוף לוגים ומידע מכלל המערכות אבטחה בארגון, מערכת SIEM נדרשת לבצע אוטומציה על מידע אשר מגיע מתוך מערכות אבטחה שונות ולאפשר תהליך מובנה המבוסס על תנאים וחוקים ובמידת הצורך ביצוע תגובה אוטומטי כחלק מאירוע.

רגולציה

ישנם ארגונים המחויבים לרגולציה ולכן צריכים מערכת SIEM בכדי לשמור את כל המידע שנאסף במקום מרכזי אחד וכן לבצע על המידע ניטור, בקרה ולקבל תמונה כולל על מערך האבטחה בארגון. במצבים כאלה מערכת SIEM תשמש גם לשליחת דוחות מתוזמנים של אירועים שונים.

מערכת SIEM מבוססת Azure Sentinel

מערכת Azure Sentinel הינה מערכת SIEM מבוססת ענן המושתת בין היתר על מערכות ענן קיימות וכן תשתית ענן חדשה, Azure Sentinel הינה מערכת SIEM מהדור החדש המאפשרת לחבר את כלל מערכות האבטחה בארגון, בין אם מדובר על מערכת Microsoft או מערכות אבטחה צד שלישי וע"י כך לקבל תמונה כולל של מערלך האבטחה בארגון.

בנוסף לכך Azure Sentinel מאפשר לבצע מעקב אחר כל מערכת באופן פרטני במיוחד, מאפשר לבצע תחקור מעמיק על כל אירוע וכן ומענה אוטומטי לפי workflow ייעודי. מכיוון שמערכת Azure Sentinel מבוססת על רכיבים של Azure כדוגמת Playbook וכן Log Analytics או יכולים לקסטם את המערכת בצורה חכמה יותר ולאפשר אוטומציה מקצה לקצה.

ארכיטקטורה כללית Azure Sentinel

מערכת Azure Sentinel מבוססת על Azure ומורכבת מהמון רכיבים חדשים וכן רכיבים קיימים בשירות Azure.

מכיוון שמדובר על מערכת ענן אין לנו צורך בהקתנה של Appliance או רכיבי חומרה כלשהם בתשתית המקומית.

רכיב Log Analytics – רכיב מבוסס Azure מוכר וידוע שמאפשר לבצע איסוף לוגים ומידע מתוך שרתים, התקני קצה ואפליקציות ומאפשר בין היתר את היכולות הבאות:

  • איסוף מידע לפי דרישה ומול מגוון סוגי לוגים ומערכות
  • גיבוי והגנה על הנתונים והשרתים בארגון
  • אוטומציה מול תהליכי בענן או תהליכי On-premises
  • מעקב אחר אבטחת מידע בארגון וזיהוי בעיות
  • מעקב פרואקטיבי אחר שרתים, אפליקציות ומערכות ארגוניות
  • יכולות ניהול חדשות עם פורטל פשוט מאד

רכיב Collector – רכיב Data Collection שתפקידו לבצע איסוף מידע וכן קבלת לוגים מכלל הרכיבים השונים, מכיוון שישנם לא מעט סוגי לוגים וכן פורמטים שונים רכיב Data Collector יבצע איסוף מכלל הפורמטים הקיימים כיום בין אם מדובר על הנפוץ מבינהם שהוא Syslog ואפילו כאלה שעובדים על גבי Json.

שליחת הלוגים אל Azure Sentinel יכולה להיעשות ע"י מספר מנגנונים:

ברוב המקרים נשלח לוגים אל Data Collector בכיוון אחד בלבד אל תשתית Azure Sentinel בפורטים הנדרשים בכל אחת מן המערכות.

במקרי אחרים נשלח לוגים ע"י הזדהות של המערכת אשר שולחת לוגים אל תשתית Azure Sentinel.

במקרים אחרים תתבע שליחת לוגים מתוך Agent אשר יותקן על המערכת אל תשתית Azure Sentinel

2019-03-06_09h20_29

רכיב Compression – דחיסת המידע שעובר על גבי הרשת הינו חשוב ולכן המידע אשר עובר לתשתית Azure Sentinel עובר על גבי קו ייעודי או התקשורת הכללית של הארגון. המידע אשר נשלח הינו מידע אשר עובר דחיסה

רכיב Parsing -המידע אשר מגיע לתשתית Azure Sentinel הינו מידע לא מעובד ולכן תפקידו לנתח, לפרק ולהבין את הלוגים אשר הגיעו למערכת, ולכן רכיב Parsing מבצע ניתוח לכלל הלוגים אשר נשלחים מתוך מערכות אבטחת המידע, מחלק את הלוגים לפי קטגוריות ומקטלג לוגים אשר הוגדרו כאירוע אבטחה.

תשתית Azure Sentinel מנתח את הלוג לפי פרמטרים שונים ומכילה Parsers אשר נותן משמעות לכל לוג אשר מגיע למערכת ובכדי שאותו לוג יהיו נגיש במערכת בצורה מובנת.

רכיב Correlation – לאחר שכל אותם לוגים הגיעו למערכת ועברו parsing, מגיע רכיב אשר מבצע ניתוח של המידע ותפקידו העיקרי הוא:

  • מבצע קורלציה של המידע בין המערכות השונות
  • מקטלג את הלוג כמידע רגיל או אירוע אבטחה (חשוב להדגיש כי התנאי שאירוע יוגדר כאירוע אבטחה תלוי לפי תנאים וחוקים מוגדרים מראש)

רכיב Analytics – רכיב המבוסס על מידע אשר נאסף במערכת ונועד להפעלת תנאים על אירוע אבטחה, מכיוון שאותם לוגים כבר הגיעו אל המערכת ועברו פרסינג וקיבלו קטגוריה מסוימת, כעת אנו נדרשים לנגדיר את התנאי אשר חל אותו מידע. ברכיב זה מתאפשרת גם אוטומציה של המידע לפי workflow אשר מוגדר מראש.

מכיוון שישנם תרחישים שונים ניתן להגדיר קבוצה של חוקים המגדירים ל-Correlation Unit כיצד להתייחס למידע והלוגים השונים.

רכיב Fusion – תשתית Azure Sentinel כוללת יכולות למידה המבוססים על תשתית Machine Learning של Azure, ולכן מטרת רכיב fusion היא לאפשר לנו להשתמש בכל סוגי המידע (לא  במידע עצמו אלא רק בסוגי המידע) אשר קיימים בענן וע"י כך לקבל "פדרציה" של המידע.

המידע אשר מתקבל בשירות Azure הוא המבוסס על סנסורים וסיגנלים ולכן אירוע שהיה בארגון בקצה השני של העולם רלוונטי לארגון אחר שמקבל מידע מתוך מערכות שונות בין היתר:

Azure Activity
Office 365
Microsoft 365 (MCAS, AATP)

רכיב Playbook -רכיב security playbook המבוסס בין היתר על רכיב Logic Apps שמאפשר לבצע אוטומציה ותגובה לתהליכים באופן אוטומטי (או ידני) ומוגדר מראש.

בתרחישים בהם ישנו אירוע ניתן להגיב על אותו אירוע באמצעות security playbook לפי מאפיינים שונים, כדוגמת: במידה וישנו טריגר לאירוע נוכל לפתוח קריאה באופן אוטומטי במערכת טיקטים, במקביל המערכת שולחת התראה למייל או למכשיר הנייד, לאחר מכן המערכת תבצע מענה אוטומטי של השהיית הגישה למערכת על גבי אותו מערכת זהויות.

2019-03-06_09h23_38

לסיכום

מערכת SIEM בארגון אינה חובה בכל ארגון ולכן וישנם ארגונים אשר לא עובדים עם מערכות SIEM כלל, אך אין ספק שעם מערכת SIEM ניתן לקבל תמונת מצב טובה יותר על כלל מערכות האבטחה בארגון.

חשוב להדגיש כי מערכת SIEM אינה פרויקט קצר כלל ודורשת משאבים, זמן וסבלנות מכיוון שמדובר על מערכת חוצת ארגון ונוגעת בהמון מערכות בארגון.



:קטגוריותAzure Sentinel

תגים: , ,

מה דעתך?

This site uses Akismet to reduce spam. Learn how your comment data is processed.