Tiêu chí Đáp ứng
Các hành vi nguy hại trên hạ tầng mạng: DoS/DDoS, MaliciousIP/Botnet, các hành vi sử dụng các giao thức bất thường.
Có
Các hành vi nguy hại trên tầng ứng dụng: các hành vi bất thường về tài khoản (đăng nhập sai nhiều lần, đăng nhập ngoài giờ làm việc, đăng nhập cùng lúc từ nhiều địa chỉ IP khác nhau, từ các quốc gia khác nhau, đăng nhập thành công sau nhiều lần đăng nhập thất bại, …)
Có
Các hành vi bất thường, hành vi tấn công trên máy chủ, máy trạm theo MITRE ATT&CK. Đã map giữa rules phát hiện tấn công với các kỹ thuật theo ATT&CK
Có. Chưa thống kê tỷ lệ phát hiện tấn công theo ATT&CK V10 Cảnh báo tình trạng hoạt động của hệ thống, về tình trạng
của phần cứng (CPU / RAM / ổ cứng quá ngưỡng), cảnh báo mất kết nối / sự cố với bất kỳ thành phần nào trong hệ thống
Có sẵn trên SIEM-Qradar
Các hành vi bất thường của người dùng Có
Dựa trên nguồn logs của Windows GPO, dịch vụ Sysmon, Linux OS, dịch vụ Auditd và OSQuery thì tập luật được xây dựng sẽ bao phủ được khá nhiều kỹ thuật tấn công theo MITRE ATT&CK. Cụ thể phân bổ của chúng dựa trên nguồn logs là LinuxOS (8 UC), Linux OSQuery/Linux Auditd (26 UC), Windows Event Logs (72 UC), Sysmon (62 UC). Trong các kịch bản thử nghiệm ở trên, ta thấy tập luật đều cho phép sinh cảnh báo phát hiện các hành vi nghi ngờ tấn công, từ đó có thể sớm phát hiện các mối đe dọa tiềm ẩn trên máy chủ.
95
Hình ảnh bên dưới minh họa giao diện hệ thống kịch bản/tập luật theo định dạng chung sigma. Trong đó, các mỗi kịch bản được chuẩn hóa thành một sigma- rules và sau đó được phát triển thành rules cho SIEM của từng khách hàng tương ứng.
3.5 Xây dựng quy trình tối ưu tập luật
Trong quá trình giám sát an toàn thông tin, tập luật cần phải liên tục làm giàu, cập nhật thêm các dấu hiệu để sớm phát hiện các kỹ thuật tấn công mới. Đồng thời, nó cũng cần được tối ưu để giảm số lượng cảnh báo sai gây nhiễu cho hệ thống giám sát.
Thống kê số lượng cảnh báo trên hệ thống SIEM trong một tuần
Sắp xếp cảnh báo theo số lượng từ cao xuống thấp
Xác định các rules tương ứng và điều kiện của nó
Thống kê các sự kiện bị trigger bởi điều kiện của rules
Gửi khách hàng xác nhận hành vi và tạo Building Block False Positive Thống kê số lượng cảnh báo liên quan
sau 7 ngày thực hiện tối ưu luật
Hình 3.7. Sơ đồ quy trình tối ưu tập luật trên hệ thống SIEM
Để tối ưu tập luật, ta có thể thực hiện theo sơ đồ bên trên [Hình 3.7]. Cụ thể, gồm các bước sau:
96
Bước 2: Sắp xếp cảnh báo theo số lượng từ cao xuống thấp
Bước 3: Xác định các luật tương ứng với cảnh báo và điều kiện của nó
Bước 4: Thống kê các sự kiện bị trigger bởi điều kiện của luật
Bước 5: Gửi khách hàng xác nhận hành vi và tạo các Building Block False Positive rồi bổ sung vào tập luật.
Bước 6: Thống kê số lượng cảnh báo liên quan sau 7 ngày tối ưu tập luật và đánh giá hiệu quả của việc tối ưu cho từng luật.
Trong sơ đồ trên, tại Bước 4, thông thường, ta cần thống kê một số thông tin trong bảng sau: