Archiv der Kategorie: Security

Enrichment

SIEM: Enrichment – Implementierung des Realen Namen aus dem AD

Enrichment

Die funktion des Enrichment erlaubt es dem System, Events mit Daten anzureichern die in den ursprünglichen Logs nicht enthalten sind. Als Beispiel kann man hier die Benutzernamen nennen, den meistens sind diese kryptisch und daher ist es schwer zu erkennen, wer hinter der kryptischen bezeichnung steht. Wenn hier die Funktion der Anreicherung genutzt wird, wird der Benutzername durch den Klarnamen ersetzt.
Weitere Enrichment Informationen können die E-Mail Adresse, die Telefonnummer, oder der Ort des Computers und vieles mehr sein.

Als Beispiel möchte ich das oben beschrieben aufgreifen.

Konfiguration

Um das Enrichment konfigurieren zu können, wird die IP-Adresse, ein LDAP-User sowie das Passwort benötigt.

1. Oben rechts auf die Systemeigenschaften / System Properties klicken
2. Im neuen Fenster auf der linken Seite auf Data Enrichment klicken und mit Add ein neues Data Enrichment erstellen.
3.  Im neuen Fester “Main” wird dann als:

  • Enrichment Name: Real_Name_from_User_ID
  • Enable: Yes
  • Lookup Type: String
  • Enrichment Type: String
  • Pull Frequency: Daily At Specified Time
    • Daily Trigger Time: Zu der Zeit an der die Daten abgerufen werden sollen

4. Im nächsten Tab “Source”:

  • Type: LDAP
  • IP-Adresse: IP-Adresse des AD Server
  • Username: Domain\user_id
  • Passwort: Das Passwort eben

5. Im nächsten Tab “Query”:

  • Lookup Attribute: sAMAccountName
  • Enrichment Attribute: displayName
  • Query:
    • (objectClass=person)

6. Im nächsten Tab “Destination”:

  • Auf Add klicken
  • den Reciver auswählen
  • Lookup Field: Source User
  • Enrichment Field: Contact_Name
  • OK

Enrichment

 

 

 

 

 

 

7. Klick Finish

 

Watchlist_user$

SIEM: Watchlist – Filtern von Usernames mit einem $-Zeichen

Windows User und Maschinenaccounts

Wenn die Log-Daten aus Windows gelesen werden, kann es sein das im Log ein User mit einem $-Zeichen erscheint. Dieser User ist ein Maschinenaccount und kann in der regele ignoriert werden. Daher gibt es die Möglichkeit nach diesen Maschinenaccounts zu suchen und zu Filtern.

Watchlist Filter for Maschinaccounts

Zu erst muss natürlich eine neue Watchlist erstellt werden. Dazu wird oben rechts auf das Systemmenü geklickt. Anschließen im neu geöffneten Festner gibt es einen Menüpunkt mit dem Namen Watchlist. Hier kann über Add eine neue Watchlist hinzugefügt werden.

Als Namen für die neue Watchliste geben wir folgene Namenskonvention “dy” für dynamisch, “_d” dür täglich, “_Zahl” für die Uhrzeit und dann einen frei wählbaren Namen für die Watchlist. Wir nehmen hier Maschineaccount.

Das ganze sieht dann so aus:

  • Name: dy_d_24_Maschineaccount

Da wir hier eine dynamische Watchlist brauchen muss der Type auf dynamisch gestellt werden, die Daten in der Watchlist haben kein Verfallsdatum.

Im Source Tab setzten wir den Datentype auf ESM-String und geben als Query folgendes ein:

.*\$\s*$

Das ist regex und bedeutet das alle User mit einem $ am schluss in diese Watchlist geschrieben werden sollen.

Im Values Tab setzen wir den Type auf Destination User. Mit Run Now kann die Watchliste zu beginn mit Daten gefüllt werden. Der ESM sucht nun in allen ESM-Strings nach Usern mit einem $-Zeichen und schreibt sie in die Watchliste.

 

malware-dash

SIEM: Use Case – Tracking Malware

 SIEM – Security Information und Event Management

Ein SIEM ist eine zentrale stelle für LOG-Daten, dass heißt das SIEM System holt sich in einen bestimmten Interval die Log-Daten ab oder die Log-Daten werden zum SIEM-System geschickt. Das SIEM-System kann hieraus gefahren aufzeigen, Attacken ableiten und Schwachstellen aufzeigen.

Tracking Malware

Ich möchte hier ein mögliches Use Case für das Tracking von Malware erklären und aufzeigen. Benötigt wird hierzu ein bisschen Zeit und ein SIEM System. Das hier gezeigte USE Case ist für das SIEM von McAfee.

Mit den nun folgenden Einstellungen werden alle funde von Viren, Würmen und sonstiger Malware gelistet und dem Benutzer per Alarm aufgezeigt. Zum schluss kann dies mit einem wöchentlichen Report abgebildet werden.

Watchlist

Zu erst werden Watchlisten benötigt, eine wird manuel befüllt und drei werden durch die Alarmierung vom SIEM-System befüllt. Die erste Watchliste ist eine Liste mit allen Signatur-IDs.
1. Watchlist

  • Name: Malware – Noteworthly SIg IDs
  • static
  • Expire: No
  • Type: Signature ID

Befüllt wird die Liste mit diesen Signature IDs:

  • 47-4000001
  • 47-4000026
  • 47-4000086
  • 47-4000088
  • 47-4000127
  • 47-4000129
  • 47-4000131
  • 47-4000132
  • 47-4000134
  • 47-4000136
  • 47-4000147
  • 47-4000151
  • 47-4000152
  • 47-4000166
  • 47-4000167
  • 47-6000156

Und zusätzlich falls der ePO vorhanden ist:

  • 367-1274
  • 367-1275
  • 367-1277
  • 367-1282
  • 367-1283
  • 367-1284
  • 367-1285
  • 367-1286
  • 367-1294
  • 367-1298

2. Watchlist

  • Name: Malware – Recent Sig IDs – 7 Days
  • static
  • Expire: 7 Days
  • Type: Signature ID

3. Watchlist

  • Name: Malware – Recent threat – 7 Days
  • static
  • Expire: 7 Days
  • Type: Threat_Name

4. Watchlist

  • Name: Malware – Infected IPs – 7 Days
  • static
  • Expire: 1 Days
  • Type: IP Adress

Alarm

Damit die Watchlisten einen Sinn ergeben müssen wiederum 3 Alarm erstellt werden. Diese triggern wenn bestimmte Bedingungen erfüllt sind und befüllen damit die 3 noch leeren Watchlisten.

1. Alarm

  • Summary
    • Name: Maleware – New Infected Host detected
    • Severity: 75
    • Condition:Alarm1- Condition

 

 

 

 

  • Device
    • Hier sollte der ACE (falls vorhanden), der ePO (falls vorhanden) und der Reciver ausgewählt werden
  • Action
    • Log Event
    • Update Watchlist: Malware Recent Infected IPs
      • Action: Append
      • Field: Destination IP
      • Watchlist: Malware Recent Infected IPs

2. Alarm

In den nächsten beiden Alarm Einstellungen müssen nur wenige Daten zum ersten Alarm verändert werden.

  • Summary
    • Name: Maleware – New Signitaur ID detected
    • Condition:
      Alarm2 - Condition

 

 

 

 

  • Action
    • Update Watchlist: Malware – Recent Sig ID 7 Days
      • Action: Append
      • Field: Signature ID
      • Watchlist: Malware – Recent Sig ID 7 Days

3. Alarm

  • Summary
    • Name: Maleware – New threat Name
    • Condition:
      Alarm3 - Condition

 

 

 

 

  • Action
    • Update Watchlist: Malware – Recent threats 7 Days
      • Action: Append
      • Field: Threat_Name
      • Watchlist: Malware – Recent threats 7 Days

Report

Damit alle Bedrohungen der letzten Wochen ersichtlich werden, kann dies durch einen Report verwirklicht werden. Dazu habe ich hier einen Report vorbereitet, der nur importiert werden muss.

Dashboard

Um die allgemeine Sittuation sehen zu können wird noch ein Dashboard mit verschiedenen Views benötigt, hierzu steht auch ein Import-Datei zur Verfügung die dann aber noch angepasst werden muss.

  • Import:use-case-tracking-malware-view.vpx
  • Name: Tracking Malware Dashboard
  • Edit Dashboard
  • View: Noteworthly Malware Events by Severity
    • Edit Query
      • Filter
        • Signature ID: Watchlist Malware – Noteworthly Sig IDs
  • Und Speichern.

 

Damit werden alle Events in das Dashboard importiert die etwas mit der Normlisation Rule für Malware zu tun haben. Alle Endeckungen werden Reportet und mit einem Alarm versehen. Gleichzeitig werden die Watchlisten erweitert damit weitere Alarm auf die gleiche IP, Signiture ID oder Threat_Name nicht triggern.

 

SIEM

SIEM: Use Case – Erkennung von möglichen Brute Force Attacken

SIEM – Security Information und Event Management

Ein SIEM ist eine zentrale stelle für LOG-Daten, dass heißt das SIEM System holt sich in einen bestimmten Interval die Log-Daten ab oder die Log-Daten werden zum SIEM-System geschickt. Das SIEM-System kann hieraus gefahren aufzeigen, Attacken ableiten und Schwachstellen aufzeigen.

Use Case – Erkennung von möglichen Brute Force Attacken

Mit der evolution der immer schnelleren möglichkeiten ein Passwort zu knacken, ist es für ein Unternehmen nötig, so eine Attacke schnellst möglich zu erkennen. Ein wichtiger Punkt, um solche Attacken erkennen zu können ist ein Domain Controller und sein Eventlog und natürlich die Option das fehlerhafte Anmeldeversuche mitgeloggt werden. Unter “Start” -> “Verwalten” -> “Lokale Sicherheitsrichtline” Ist die Option dafür, hier muss einmal die Richtline für Anmeldeversuche überwachen und Objektzugriffsversuche über wachen auf “Erfolgreich und Fehler” gestellt werden.

Lokale SicherheitsrichtlineSobald diese Einstellungen gemacht und gespeichert sind, werden im Eventlog alle Anmeldeversuche, egal ob Erfolgreich oder nicht, mitgeloggt.

Im Beispiel für das SIEM von McAfee erkennt nun das System anhand der Eventlogs mittels Correlation Rule ob ein User / Script versucht sich häufig über einen User mit verschiedenen Passwörtern zugang zu verschaffen.

SIEM

SIEM – Security Information und Event Manangement

Security Information und Event Management (SIEM)

Ein SIEM System ist eine unschlagbare Waffe für Forensik und Alarmierung aber auch die revisionssichere Archivierung ist ein großer Punkt solcher Lösungen.

Die gängisten Systeme bieten neben dem Speichern von Logs noch die Möglichkeit diese Logs auszuwerten und dann gegebenfalls zu handeln indem der zuständige Mitarbeiter per Mail oder SMS angeschrieben wird.

Dazu bediet sich ein SIEM System der Korrelation und der Normalisation der Log-Dateien der verschiedenen System. Darunter fallen Server (Windows oder Linux), Switche, Router, und Firewalls sowie andere Applikationen.

Wichtig hierbei ist das Revisionssicher nachgewiesen werden kann was und wo passiert ist. Somit hat die zuständige Abteilung einen wichtigen Handhaltspunkt, um evtl. Lücken zu schliessen und Bedrohungen zu beseitigen.