V rámci několika předcházejících článků byly řešeny technologie, které slouží k detekci potenciálních bezpečnostních incidentů v rámci jednotlivých oblastí bezpečnostního monitoringu. Jednou ze základních součástí při zajišťování monitoringu je možnost uchovávání záznamů o proběhlých aktivitách a detekovaných problémech. Tyto záznamy jsou sbírány ze systémů využívaných v prostředí, včetně bezpečnostních technologií.
Co je LM – Log Management?
Ke sběru, přenosu, uchovávání těchto událostí a jejich archivaci slouží tzv. Log Management. Nástroje pro Log Management ukládají
záznamy – logy ve formě strukturovaných událostí. Tím vzniká auditní stopa pro uložení a archivaci. Strukturovaný formát a možnost provádět nad takovými daty vyhledávání, umožňuje bezpečnostnímu analytikovi využít nástroj k pokročilé analýze potenciálního bezpečnostního incidentu. Kvalita výstupů takových analýz je závislá na kvalitě sesbíraných událostí. Tedy jedním z důležitých parametrů při výběru bezpečnostního řešení Log Managementu je úroveň kvality logování jednotlivých zdrojů logů.
Log Management umožňuje uchovávat jakékoli logové záznamy, tedy nejen z bezpečnostních technologií, ale také logy z aplikací, serverů, databází nebo koncových stanic. S přibývajícími logovacími zdroji se výrazně rozšiřují možnosti analytiků vytvořit komplexní obrázek o detekované bezpečnostní události nebo incidentu. Důležitým parametrem při výběru nástroje pro Log Management je schopnost umožnit efektivně vyhledávat nad uloženými daty, a to včetně možnosti provádět alespoň základní analytické operace (například Top N nebo histogram). Tyto možnosti pak mohou být uplatněny při procesu tzv. huntingu, kdy se bezpečnostní analytik snaží manuálně pomocí intuice a vizuální analytiky nalézt potenciální bezpečnostní hrozby a anomálie v uložených událostech.
Co je SIEM?
Počítačová síť, servery, aplikace a jiná zařízení mohou generovat tisíce logů za vteřinu. Je tedy nemožné detekovat nad těmito daty potenciální bezpečnostní události pouze pomocí manuálního procházení událostí. Jak tedy detekovat hrozby nad takovým obrovským množstvím dat? A jak detekovat pokročilé typy útoků vyžadující korelaci událostí z více zdrojů nebo bezpečnostních technologií? K tomuto účelu lze využít technologie SIEM (Security Information and Event Management) a procesu bezpečnostního vyhodnocení. Ty slouží k vyhodnocování událostí v reálném čase s využitím předpřipravených korelačních pravidel. Pravidla na základě známých vzorců potenciálně nebezpečného chování detekují bezpečnostní události. Kvalita detekce je samozřejmě závislá na kvalitě vytvořených pravidel, nicméně lze 
pomocí pravidel vytvořit pokročilé detekce na základě informací z různých zdrojů, například v závislosti na konkrétním pořadí nastalých událostí v určitém čase (transakce). Pravidla tak nejsou omezena pouze na detekci základních vzorců, jako je několik neúspěšných přihlášení do systému za krátkou dobu. Stále je však potřeba mít na paměti, že stejně jako u ostatních bezpečnostních technologií je potřeba se o obsah SIEMu starat a vytvořená pravidla ladit (výjimky a false positive) a plnit jej nejen logy, ale také kontextovými informacemi o monitorovaném prostředí a změnách, které v něm nastávají. V jiném případě se přínos technologie SIEM výrazně snižuje.
Nástroj zároveň umožňuje tvorbu přehledových dashboardů, které mohou sloužit pro základní přehled aktuálního počtu příchozích událostí, generovaných upozornění, případně ke sledování dalších parametrů v prostředí. Dashboardy lze dále využít pro detekce anomálií, které by bylo neefektivní nebo nemožné (chování v jednotkách hodin/dní) řešit jako jednotlivé výstupy z pravidel. Výstupy z takových dashboardů pak mohou sloužit jako vstupy pro další analýzu například v rámci dříve zmiňovaného procesu huntingu.
Z pohledu analytika umožňuje SIEM zobrazovat výstupy detekcí z různých nástrojů na jednom místě. Díky tomu je možné správně prioritizovat a určovat pořadí pro zpracování těchto výstupů. Je také možné korektně udržovat životní cyklus vzniklých upozornění 
(bezpečnostních událostí). Tedy stavy, kdy jsou tato upozornění určená ke zpracování, momentálně řešená, případně s nějakým výsledkem uzavřená. V případě, že jsou nastaveny správně procesy zacházení s výstupy z detekcí, dokáže bezpečnostní operační centrum (SOC) správně reagovat například na případné výkyvy počtu generovaných výstupů z detekcí. Zároveň způsob zacházení s těmito výstupy umožňuje sledovat a definovat potenciální prostor pro zpřesnění nebo ladění detekcí (korelačních pravidel).
Jak tedy Log Management a SIEM zapadají do konceptu bezpečnostního monitoringu? Nástroj pro Log Management je jedním ze základních z palety technologií využívaných pro budování kybernetické bezpečnosti. Umožňuje uchovávat a vyhledávat nad událostmi, které generuje provoz informačních systémů v počítačové síti. Nad těmito daty poté pracuje SIEM, který přidává možnosti, jak v těchto datech najít vzorce potenciálních bezpečnostních hrozeb, a to pomocí předpřipravených pravidel nebo dashboardů. Díky tomu a schopnosti udržovat životní cyklus vzniklých výstupů je tak SIEM jádrem v rámci používaných technologií v bezpečnostním operačním centru.
Lukáš Novák, Lead Security Analyst, AXENTA a.s.
Peter Jankovský, Security Architect, AXENTA a.s.
Obrázek: rawpixel.com/Freepik
