Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Ervaringen met SIEM
25-01-2011, 10:51 door Anoniem, 6 reacties
Waarom zou ik een SIEM op willen zetten?
Reacties (6)
It is beneficial to send all events to a centralized SEM system for the following reasons:
Access to all logs can be provided through a consistent central interface
The SEM can provide secure, forensically sound storage and archival of event logs (this is also a classic Log Management function)
Powerful reporting tools can be run on the SEM to mine the logs for useful information
Events can be parsed as they hit the SEM for significance, and alerts and notifications can be immediately sent out to interested parties as warranted
Related events which occur on multiple systems can be detected which would be impossible to detect if each system had a separate log
Events which are sent from a system to a SEM remain on the SEM even if the sending system fails or the logs on it are accidentally or intentionally erased
Access to all logs can be provided through a consistent central interface
The SEM can provide secure, forensically sound storage and archival of event logs (this is also a classic Log Management function)
Powerful reporting tools can be run on the SEM to mine the logs for useful information
Events can be parsed as they hit the SEM for significance, and alerts and notifications can be immediately sent out to interested parties as warranted
Related events which occur on multiple systems can be detected which would be impossible to detect if each system had a separate log
Events which are sent from a system to a SEM remain on the SEM even if the sending system fails or the logs on it are accidentally or intentionally erased
25-01-2011, 11:30 door
ej__
Omdat de sector waarin je werkt dat verplicht gesteld heeft gekregen?
Vast niet omdat het cool is, dat is een bijproduct ;-)
Als je alles wat gebeurt, logt (dat doe je toch?), verzamelt op een centrale plek (ook toch?), normaliseert en evt. aggregeert dan kun je aan de hand hiervan alles, magische dingen doen.
Normaliseren houd in dat bijv. een 'failed log in' op een MS, *X, apple, proxy, firewall, badgesysteem hetzelfde zijn aan te spreken, evenals firewall (checkpoint, iptables, cisco, juniper, ISA) drop/deny/block/whatever.
Op meta nivo kun je vervolgens content bouwen. Regels, KPI's. Dit kan je helpen bij compliancy en actieve detectie van malicious en ongewone events. Dit kan er dan weer voor zorgen dat je meetbaar je security kan verbeteren, je 'time-to-detection' verkleint of gewoon dat je mooie plaatjes kan laten zien aan het mgmt.
Wedden dat er malware in je netwerk actief is dat je (nog) niet hebt gevonden omdat je al de events van de verschillende (security) producten afzonderlijk beoordeelt (als dat al gebeurt...) Hiermee bewijs je aan jezelf dat defense in depth echt werkt en je antivirus, proxyfilter, IDS en security policy allemaal (afzonderlijk) gaten laten vallen.
Ha, de magische dingen... Leuk.
Als je alles wat gebeurt, logt (dat doe je toch?), verzamelt op een centrale plek (ook toch?), normaliseert en evt. aggregeert dan kun je aan de hand hiervan alles, magische dingen doen.
Normaliseren houd in dat bijv. een 'failed log in' op een MS, *X, apple, proxy, firewall, badgesysteem hetzelfde zijn aan te spreken, evenals firewall (checkpoint, iptables, cisco, juniper, ISA) drop/deny/block/whatever.
Op meta nivo kun je vervolgens content bouwen. Regels, KPI's. Dit kan je helpen bij compliancy en actieve detectie van malicious en ongewone events. Dit kan er dan weer voor zorgen dat je meetbaar je security kan verbeteren, je 'time-to-detection' verkleint of gewoon dat je mooie plaatjes kan laten zien aan het mgmt.
Wedden dat er malware in je netwerk actief is dat je (nog) niet hebt gevonden omdat je al de events van de verschillende (security) producten afzonderlijk beoordeelt (als dat al gebeurt...) Hiermee bewijs je aan jezelf dat defense in depth echt werkt en je antivirus, proxyfilter, IDS en security policy allemaal (afzonderlijk) gaten laten vallen.
Ha, de magische dingen... Leuk.
25-01-2011, 16:28 door
sjonniev
Omdat je baas erom vraagt? Ik vond zaken als HP Openview en IBM Tivoli al erg mooi...
Mijn ervaring met SIEM is dat de beloftes schitterend zijn maar je moet het allemaal nog wel inregelen. Daar moet je dan wel tijd voor hebben en de expertise voor kunnen inhuren.
Als het dan staat moet er ook nog echt gebruik van gemaakt worden. Dan heb je dus medewerkers nodig die in hun dagelijks werkproces naar de SIEM kijken. Probleem daarbij zijn de vals-positieven, de onterechte meldingen. Deze kunnen leiden tot het minder serieus nemen van SIEM. Is allemaal op te lossen maar kost wel weer tijd en aandacht.
De leuke magische dingen waarover hierboven wordt gesproken zijn in mijn ervaring dus een stuk minder magisch maar vragen om een behoorlijke inspanning.
Als je onvoldoende commitement hebt om deze inspanning voor implementatie en beheer dan kun je er maar beter niet aan beginnen.
Als het dan staat moet er ook nog echt gebruik van gemaakt worden. Dan heb je dus medewerkers nodig die in hun dagelijks werkproces naar de SIEM kijken. Probleem daarbij zijn de vals-positieven, de onterechte meldingen. Deze kunnen leiden tot het minder serieus nemen van SIEM. Is allemaal op te lossen maar kost wel weer tijd en aandacht.
De leuke magische dingen waarover hierboven wordt gesproken zijn in mijn ervaring dus een stuk minder magisch maar vragen om een behoorlijke inspanning.
Als je onvoldoende commitement hebt om deze inspanning voor implementatie en beheer dan kun je er maar beter niet aan beginnen.
27-01-2011, 14:52 door
security matters
Dank je voor je reactie daar was ik al een beetje bang voor. Een heleboel werk om het ingeregeld te krijgen dus.
Door Anoniem: Mijn ervaring met SIEM is dat de beloftes schitterend zijn maar je moet het allemaal nog wel inregelen. Daar moet je dan wel tijd voor hebben en de expertise voor kunnen inhuren.
Als het dan staat moet er ook nog echt gebruik van gemaakt worden. Dan heb je dus medewerkers nodig die in hun dagelijks werkproces naar de SIEM kijken. Probleem daarbij zijn de vals-positieven, de onterechte meldingen. Deze kunnen leiden tot het minder serieus nemen van SIEM. Is allemaal op te lossen maar kost wel weer tijd en aandacht.
De leuke magische dingen waarover hierboven wordt gesproken zijn in mijn ervaring dus een stuk minder magisch maar vragen om een behoorlijke inspanning.
Als je onvoldoende commitement hebt om deze inspanning voor implementatie en beheer dan kun je er maar beter niet aan beginnen.
Als het dan staat moet er ook nog echt gebruik van gemaakt worden. Dan heb je dus medewerkers nodig die in hun dagelijks werkproces naar de SIEM kijken. Probleem daarbij zijn de vals-positieven, de onterechte meldingen. Deze kunnen leiden tot het minder serieus nemen van SIEM. Is allemaal op te lossen maar kost wel weer tijd en aandacht.
De leuke magische dingen waarover hierboven wordt gesproken zijn in mijn ervaring dus een stuk minder magisch maar vragen om een behoorlijke inspanning.
Als je onvoldoende commitement hebt om deze inspanning voor implementatie en beheer dan kun je er maar beter niet aan beginnen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
