SIEM – Security Information und Event Management
Ein SIEM ist eine zentrale stelle für LOG-Daten, dass heißt das SIEM System holt sich in einen bestimmten Interval die Log-Daten ab oder die Log-Daten werden zum SIEM-System geschickt. Das SIEM-System kann hieraus gefahren aufzeigen, Attacken ableiten und Schwachstellen aufzeigen.
Tracking Malware
Ich möchte hier ein mögliches Use Case für das Tracking von Malware erklären und aufzeigen. Benötigt wird hierzu ein bisschen Zeit und ein SIEM System. Das hier gezeigte USE Case ist für das SIEM von McAfee.
Mit den nun folgenden Einstellungen werden alle funde von Viren, Würmen und sonstiger Malware gelistet und dem Benutzer per Alarm aufgezeigt. Zum schluss kann dies mit einem wöchentlichen Report abgebildet werden.
Watchlist
Zu erst werden Watchlisten benötigt, eine wird manuel befüllt und drei werden durch die Alarmierung vom SIEM-System befüllt. Die erste Watchliste ist eine Liste mit allen Signatur-IDs.
1. Watchlist
- Name: Malware – Noteworthly SIg IDs
- static
- Expire: No
- Type: Signature ID
Befüllt wird die Liste mit diesen Signature IDs:
- 47-4000001
- 47-4000026
- 47-4000086
- 47-4000088
- 47-4000127
- 47-4000129
- 47-4000131
- 47-4000132
- 47-4000134
- 47-4000136
- 47-4000147
- 47-4000151
- 47-4000152
- 47-4000166
- 47-4000167
- 47-6000156
Und zusätzlich falls der ePO vorhanden ist:
- 367-1274
- 367-1275
- 367-1277
- 367-1282
- 367-1283
- 367-1284
- 367-1285
- 367-1286
- 367-1294
- 367-1298
2. Watchlist
- Name: Malware – Recent Sig IDs – 7 Days
- static
- Expire: 7 Days
- Type: Signature ID
3. Watchlist
- Name: Malware – Recent threat – 7 Days
- static
- Expire: 7 Days
- Type: Threat_Name
4. Watchlist
- Name: Malware – Infected IPs – 7 Days
- static
- Expire: 1 Days
- Type: IP Adress
Alarm
Damit die Watchlisten einen Sinn ergeben müssen wiederum 3 Alarm erstellt werden. Diese triggern wenn bestimmte Bedingungen erfüllt sind und befüllen damit die 3 noch leeren Watchlisten.
1. Alarm
- Device
- Hier sollte der ACE (falls vorhanden), der ePO (falls vorhanden) und der Reciver ausgewählt werden
- Action
- Log Event
- Update Watchlist: Malware Recent Infected IPs
- Action: Append
- Field: Destination IP
- Watchlist: Malware Recent Infected IPs
2. Alarm
In den nächsten beiden Alarm Einstellungen müssen nur wenige Daten zum ersten Alarm verändert werden.
- Action
- Update Watchlist: Malware – Recent Sig ID 7 Days
- Action: Append
- Field: Signature ID
- Watchlist: Malware – Recent Sig ID 7 Days
- Update Watchlist: Malware – Recent Sig ID 7 Days
3. Alarm
- Action
- Update Watchlist: Malware – Recent threats 7 Days
- Action: Append
- Field: Threat_Name
- Watchlist: Malware – Recent threats 7 Days
- Update Watchlist: Malware – Recent threats 7 Days
Report
Damit alle Bedrohungen der letzten Wochen ersichtlich werden, kann dies durch einen Report verwirklicht werden. Dazu habe ich hier einen Report vorbereitet, der nur importiert werden muss.
- Name: Tracking Malware – Weekly
- Condition: Weekly
- Format: Report PDF
- Prefix: Malware_Report_weekly
- use-case-tracking-malware-report.rpx
Dashboard
Um die allgemeine Sittuation sehen zu können wird noch ein Dashboard mit verschiedenen Views benötigt, hierzu steht auch ein Import-Datei zur Verfügung die dann aber noch angepasst werden muss.
- Import:use-case-tracking-malware-view.vpx
- Name: Tracking Malware Dashboard
- Edit Dashboard
- View: Noteworthly Malware Events by Severity
- Edit Query
- Filter
- Signature ID: Watchlist Malware – Noteworthly Sig IDs
- Filter
- Edit Query
- Und Speichern.
Damit werden alle Events in das Dashboard importiert die etwas mit der Normlisation Rule für Malware zu tun haben. Alle Endeckungen werden Reportet und mit einem Alarm versehen. Gleichzeitig werden die Watchlisten erweitert damit weitere Alarm auf die gleiche IP, Signiture ID oder Threat_Name nicht triggern.