Open in new window
Title (deu)
Vom Log Event zum Alert
Erstellung und Evaluierung eines Prozesses für die Konfiguration von Alert Rules im SIEM am Beispiel LogPoint und Acitve Directory
Author
Bettina Königshofer
Degree supervisor
Daniel Haslinger
Description (deu)
Fachhochscule St. Pölten, Masterarbeit 2023, Studiengang Information Security
Description (deu)
Das Logvolumen an sicherheitsrelevanten Logs steigt mit jedem Gerät, das in einem Unternehmen in Betrieb genommen wird. Mithilfe dieser Logs ist es möglich anormale Aktivitäten zu identifizieren und so möglicherweise Angriffe zu verhindern, bevor größerer Schaden angerichtet werden kann. Doch, um das zu erreichen muss diese enorme Menge an Logs gesammelt und ausgewertet werden. Aus diesem Grund wird in vielen Unternehmen bereits ein Security and Event Management (SIEM) Tool eingesetzt. Die Implementierung eines SIEM-Tools alleine reicht allerdings nicht aus, um das Potential dieser Logs voll auszuschöpfen. Es genügt nicht, dass die Logs nur gesammelt werden, sie müssen zudem auch geparsed, normalisiert, angereichert und korreliert werden, um sie zum Schutz vor Angriffen verwenden zu können. Anschließend müssen für diese Logs Alert Regeln erstellt werden, damit definiert werden kann, was anormale Aktivitäten darstellen. Da die Alert Regeln das Kernstück eines SIEM-Tools sind und es ohne diese Regeln wenig Mehrwert in der Erkennung von potentiell boshaftem Verhalten bietet, wurde ein Prozess erarbeitet in dem eine Basis an Alert Regeln strukturiert und gezielt erarbeitet werden kann. Dieser Prozess sieht vor, dass zuerst Use Cases definiert werden anhand denen bestimmt wird, welche Logs bzw. Logquellen benötigt werden, um diese erfüllen zu können. Anschließend müssen die Logquellen entsprechend konfiguriert werden, um Logs an das SIEM zu senden. Danach müssen die Alert Regeln definiert werden. Dazu können unter anderem auch Alert Regel Vorlagen verwendet werden, die das SIEM-Tool zur Verfügung stellt. Einer der wichtigsten Schritte ist die anschließende Evaluierung dieser Alert Regeln. Eine Regel sollte nur aktiviert werden, wenn sie entsprechenden Mehrwert für den Use Case bietet, sie nicht redundant ist und eine vernünftige Anzahl an Alerts im Normalzustand generiert. In dieser Arbeit wurde dieser Prozess am Beispiel Active Directory und LogPoint SIEM getestet. Dabei wurden die Use Cases Valid Accounts, Account Manipulation, Brute Force und Exploitation for Privilege Escalation nach MITRE ATT&CK Framework gewählt. Nach Konfiguration und Anbindung der Windows Security Event Logs, wurden die built-in Alert Regeln evaluiert. Dabei wurde festgestellt, dass nur etwas über 50 Prozent der Regeln unverändert aktiviert werden können, der andere Teil benötigt unterschiedliche Anpassungen um entsprechend zu funktionieren. Zudem wurden 20 Prozent der Regeln nach der Evaluierung deaktiviert, da sie redundant waren oder den Use Case nicht entsprechend unterstützt haben.
Description (eng)
The log volume of security-related logs in a compay increases with every device that is deployed. With these logs, it is possible to identify abnormal activities and thus possibly prevent attacks before major damage can be done. But in order to achieve this, this huge amount of logs needs to be collected and analysed. For this reason, many companies already use a Security and Event Management (SIEM) tool. However, implementing a SIEM tool alone is not enough to fully utilise the potential of these logs. It is not sufficient that the logs are only collected, they must also be parsed, normalised, enriched and correlated in order to use them to protect against attacks. Alert rules must then be created for these logs to define what constitutes abnormal activity. Since the alert rules are the core of a SIEM tool and the SIEM without these rules offers little benefit in the detection of potentially malicious behaviour, a process was developed in which a alert rule set can be developed in a structured and targeted manner. This process proposes that use cases are defined first, which are used to determine which logs or log sources are needed to fulfil these use cases. Then the log sources must be configured accordingly in order to send logs to the SIEM. Afterwards, the alert rules must be defined. Alert rule templates provided by the SIEM tool can be used for this purpose, among others. One of the most important steps is the subsequent evaluation of these alert rules. A rule should only be activated if it offers appropriate added value for the use case, it is not redundant and it generates a reasonable number of alerts under normal conditions. In this thesis this process was tested using Active Directory and LogPoint SIEM as examples. The use cases Valid Accounts, Account Manipulation, Brute Force and Exploitation for Privilege Escalation according to MITRE ATT&CK Framework were selected. After configuration and connection of the Windows Security Event Logs, the built-in alert rules were evaluated. It was found that only a little over 50 percent of the rules can be activated unchanged, the other part needs various adjustments to function accordingly. In addition, 20 percent of the rules were deactivated after the evaluation because they were redundant or did not support the use cases appropriately.
Keywords (deu)
Computersicherheit
Type (eng)
other
Language
[deu]
Persistent identifier
https://phaidra.ustp.at/o:5241
AC number
AC16814427
License
All rights reserved
University of Applied Sciences St. Pölten | Campus-Platz 1 | A-3100 St. Pölten | T +43/2742/313 228-234
Impressum | Terms of Use | Credits