内角540°

セキュリティ。SIEMとかIPSとか統計とかクラウドとか。数学以外で。

SIEM相関ルール成熟までのプロセス

Gartnerさんに掲載された記事。
問題は何か、明確にすることが大前提であり、
SIEMやSIEMによる相関ルールが目的にはならないことを強く推している。

SIEM Use Case Implementation and Tuning Process
blogs.gartner.com


1.問題の明確化

Define a particular problem to be solved by a SIEM tool in clear, unambiguous terms.

SIEMによって解決されるべき問題を明確に定義する。

2.SIEMの機能確認

Review the SIEM functionality (rules, algorithms, reports and dashboards) that is needed to solve the problem.

定義した問題を解決するために必要なSIEM機能を確認する。
(検知ルール、アルゴリズム、レポート、およびダッシュボード)

3.SIEMに与えられる情報は何か

Look at the available and potentially available log data that is useful for solving the problem.

問題を解決するために役立つログを確認する。

4.情報がSIEM上でどのように現れるか

If a correlation rule is the chosen piece of content to be created, analyze what sequence of logged events needs to be tracked and how these events are represented in a SIEM tool; using normalized events and taxonomy categories is highly recommended because they make the rule easier to modify, maintain and apply to additional log sources.

相関ルールが、一部のログを抜粋して作られる場合(?)、
イベントを"どのような序列で追跡できるか"、"SIEM上でどのように現れるか"を分析する。
正規化と分類を活用することで、ルールの修正・維持・ログの追加が容易になる。

5.検出ロジックの裏付け

If using a statistical detection method, review its logic to confirm that it will deliver the result needed.

統計的な検出をする場合、期待された結果が求められるかロジックの裏付けを確認する。

6.ロジックの確認

Draft correlation rules on paper, and review the logic flow.

紙に相関ルールを書き、ロジックを確認します。

7.相関ルールの実装

Implement the correlation rule using the SIEM rule interface; some products allow one to click on events and define a rule straight from the observed sequence of events.

SIEM上で相関ルールを実装する。
一部の製品では、観測されたイベントをクリックすることで、ルールを直接記述できる。

8.相関ルール発火の頻度を確認

If a product has functionality to test the rule or algorithm on historical data, execute this functionality to determine how often this rule would have fired in the past if it had been enabled.

SIEMにヒストリカル分析ができる機能があれば活用し、
アラートの発生頻度を確認する。

9.アラートの設定

Review any alerting process that this rule will trigger, and set up alerts to go to the people who know how to triage them.

相関ルールのアラートを設定し、対処できる人へ通知する。

10.運用環境へのデプロイ

Enable the rule to run on real-time data flow in the production environment.

運用環境でルールを適用する。

11.修正・改善

Review alerts generated by this rule, review the cases where the rule matches partially (if the SIEM product has such functionality) and refine when the rule is needed.

生成されたアラートを確認し、必要に応じて修正する。
どの部分がマッチしたか確認できる場合、活用する。