SIEM Introductie en Functies

Questions and Answers

Welke van de volgende opties is geen belangrijke functie van een SIEM-systeem?

Het automatiseren van taken

Acquisitie en normalisatie van machine data

Het monitoren van netwerkverkeer (correct)

Analyse op basis van analyseregels

Wat is een belangrijk voordeel van het gebruik van een SIEM-systeem voor incidentmanagement?

Het elimineren van alle beveiligingsincidenten

Het automatisch identificeren en prioriteren van incidenten (correct)

Het garanderen van een snelle responsetijd op alle incidenten

Het automatisch oplossen van alle beveiligingsincidenten

Welk van de volgende opties is geen voordeel van het gebruik van templates in Microsoft Sentinel?

Vereenvoudigen van de configuratie van analyses en werkmappen

Snellere implementatie van analyses en rapportages

Verhogen van de consistentie van analyses and rapportages

Het garanderen van de optimale respons op elke aanval (correct)

Welk van de volgende standaarden wordt niet genoemd als relevant voor compliance-rapportage door een SIEM-systeem?

NIST (A)

Wat is de hoofdrol van SOAR binnen Microsoft Sentinel?

Automatisch reageren op beveiligingsincidenten (B)

Welke bewering over SIEM is NIET correct?

SIEM-systemen zijn primair gericht op het opslaan en rapporteren van historische security-data voor compliance-doeleinden. (C)

Welke bewering over de geschiedenis van SIEM is juist?

SIM-systemen waren ontworpen om historische security-gegevens te bewaren voor rapportering en compliance doeleinden. (D)

Welke functie wordt NIET in de tekst beschreven als onderdeel van SIEM?

Het implementeren van firewalls en intrusion detection systems. (C)

Wat is de belangrijkste functie van SIEM?

Het analyseren van security-events om potentiële aanvallen te identificeren. (A)

Welke term is NIET gerelateerd aan het begrip SIEM?

Patch Management (B)

Flashcards

Wat is SIEM?

SIEM staat voor Security Information and Event Management.

SEM

SEM: real-time verwerking van beveiligingsmachinegegevens met analyse.

SIM

SIM: lange termijn opslag van beveiligingsmachinegegevens voor rapportage.

SIEM functies

SIEM verzamelt, normaliseert en slaat machine data op en analyseert bedreigingen.

Core vaardigheden SIEM

Logevent verzameling, analyse over verschillende bronnen en incidentbeheer.

SOAR

Security Orchestration, Automation, and Response; automatisering van beveiligingsprocessen.

Data Connectors

Interface om data te verzamelen uit verschillende systemen voor analyse.

Incident Management

Beheer van incidenten met prioriteit en automatische respons.

Root Cause Analysis

Analyse om de fundamentele oorzaak van problemen te identificeren.

Study Notes

SIEM - Introductie

• SIEM staat voor Security Information and Event Management
• SIEM is historisch geëvolueerd uit SEM en SIM
• SIEM verzamelt en analyseert beveiligingsdata in real-time
• SIEM analyseert beveiligings events door correlatie en classificatie
• SIEM visualiseert data door middel van console views
• SIEM is een krachtig middel voor dreigingsdetectie en compliance
• De definitie van SIEM volgens NIST is een applicatie dat veiligheidsdata verzameld, gepresenteerd en actie op basis van data mogelijk maakt.

SIEM - Functies

• Log consolidatie: verzamelen, normaliseren en opslaan van machine data
• Intrusion/aanval analyse: intelligent correleren van bedreigingen, kwetsbaarheden en events
• Incident management: geprioriteerde meldingen, advies voor respons en automatische response
• Rapportage: performance-metingen, compliance (zoals GDPR, PCI-DSS en SOX), ad-hoc rapportages.

SIEM - Processtappen

• Acquisitie/Verzamelen: Machine data verzamelen (log events) uit bronnen
• Combinatie/Normalisatie: Machine data combineren en normaliseren.
• Analyse: Gericht op aanval detectie en compliance bewaking
• Visualisatie & Rapportage: Situational awareness voor optimale respons.

SIEM - Voorbeeld: Microsoft Sentinel

• SIEM + SOAR: Security Information and Event Management (meten) + Security Orchestration, Automation, and Response (automatiserende respons)
• Collect: beveiligingsdata verzamelen uit je netwerk
• Respond: Rapid respons en automatisering van bescherming
• Detect: Dreigingen signaleren met gedetailleerde threat intelligence
• Investigate: Analyseer kritische incidenties en gebruik AI

Sentinel: Belangrijke functies

• Collect (Acquisitie en normalisatie): Verzamelt data via connectors (MS Defender XDR, Azure, Syslog, REST-API, SNMP).
• Analytics (Detectie): Zoekt in alle verzamelde data op basis van analyseregels en templates.

Vervolg Sentinel: Belangrijke functies

• Respond: Waarschuwt en reageert automatisch op basis van playbooks en connectors naar bestaande tools.
• Investigate: Visualiseert data en biedt werkmappen, gebaseerd op templates en roost cause analyse.

Acquisitie

• Acquisitie is het verkrijgen van iets (of iemand).
• Machine data acquisitie = het meten en verzamelen van data van verschillende apparaten en systemen.
• Databronnen voor acquisitie bestaan uit Devices (Syslog, Windows Event Log, SNMP), Network Traffic (Netflow/IPFIX, sFlow, Rmon), Security Detection, Trouble Ticket systeem en configuration data.

Combinatie/Normalisatie

• Machinedata wordt vaak ongestructureerd aangeleverd.
• Verschillende logbronnen combineren is meer dan "echter elkaar plakken".
• De tekst per bron is verschillend samengesteld (appels en peren).
• De oplossing is log events structureren en opslaan in een database.

Wat voor soort database

• Twee mogelijkheden voor de opslag zijn: Relationele database (met tabellen) en NoSQL database (bijvoorbeeld Elastic search).
• Om data te structureren heb je omzetting van logregels naar records met velden (parsing) en normalisatie van tabellen in de database nodig.

Structureren we machinedata?

• Structureren kan bij de bron, bijvoorbeeld direct via de syslog-server.
• Of via een verzamelpunt (parsing / ontleding van complexe logdata met Regular Expressions).

Structureren bij de bron

• Voorbeeld RSyslog template en filter
• Templates formatteren syslog berichten tot csv bestanden.
• Logfiles kunnen geformatteerd worden in JSON of XML.

Rsyslog log default en csv

• Data in CSV format bevat velden gescheiden door komma's.

Rsyslog messages in JSON format

• JSON format bevat velden met namen en is onafhankelijk van volgorde.

Problemen bij structurering bij de bron

• Niet alle bronapplicaties zijn flexibel als RSyslog
• Resultaat is niet volledig genormaliseerd, zie message-velden.
• Oplossing: Centrale structurering bij het verzamelpunt.

Regular Expressions (REGEX)

• REGEX is een handig middel om flat files om te zetten in tabellen.
• Op basis van pattern-matching worden velden gedefinieerd.
• Bijna elke SIEM-applicatie biedt REGEX voor het inlezen van data.

Matchen van characters

• Overzicht van regex karakters.

Omvang van de match

• Voorbeelden van regex karakters specificeren hoeveelheid matches.

Groepen

• Groepen isoleren door haakjes.
• String met getallen, isoleren van complete getallen.

Nog wat handige zaken

• Start van een regel- ^
• Eind van een regel - $
• Escape-tekens - voor bijzondere tekens (zoals * . en +)
• Ook zie cheatsheet op BB en internet.

Voorbeeld

• Probeer alle regex uit op https://regex101.com/
• String met time, location, users en service.

Oefening

• Voorbeeld regel van een logfile: datum, tijd, hostname, service, PID, message, IP-adres en poort.

Oplossing

• Voorbeelden van regex voor tijd, datum en IP-adres
• Voorbeeld van regex voor een volledig bericht in een vaste volgorde.

Toepassing SIEM

• SIEM wordt toegepast in een SOC
• Opsomming van mogelijke activiteiten in de SOC
• Monitoring: Threat intelligence, configuratie, vulnerability management, log management, detection security incidents, en compliance monitoring.

Vervolg van mogelijke SOC-activiteiten

• Incident response management (vaak onderdelen of georganiseerd in CSIRT/CERT)

• Advance planning, triage (=eerste lijn, prioritering), Response, Post mortem (afhandeling na afloop incident), Incident Reporting, Review, education

• Disaster recovery, IAM (Identity Access Management), Incidenteel onderzoek (vaak forensisch) en Admin support (= onderhoud/monitoring SOC-systemen)

4. Visualisatie en Rapportage

• Link naar youtube video

Qradar Threat & Security Monitoring

• Screenshots van Qradar dashboards voor verschillende analyses
• Screenshots van Qradar dashboards met grafieken, statistieken en andere visualisaties

Qradar Vulnerability Management

• Screenshots van Qradar dashboards over beveiligingskwetsbaarheden.

Qradar User Analytics

• Screenshots van Qradar dashboards met visualisaties van gebruikersactiviteit, zoals: grafieken, system score, risk-categorieën, recent getekende offenses.

Qradar SSL dashboard

• Screenshots van Qradar dashboards met visualisaties van SSL-data.

Application Overview

• Screenshots van Qradar dashboards met visualisaties van applicaties prestatie. Met dashboards over applicatieverkeer en beveiligingsinformatie.

Description

Leer de basisprincipes van Security Information and Event Management (SIEM) in dit quiz. Ontdek hoe SIEM beveiligingsdata verzamelt, analyseert en visualiseert, en begrijp de belangrijkste functies zoals log consolidatie en incident management. Dit is een onmisbare tool voor dreigingsdetectie en compliance.