Systemy SIEM w organizacjach
- Patryk Królikowski,
- 15.04.2013
Agent Host SIEM Collector
Agent IP 10.39.244.46
Agent MAC 00-1b-21-1c-db-8c
Agent Numeric IP 170390574
Agent Subnet 10.0.0.0
Category ID Application
Collection Device Host 1.2.3.4
Collection Device IP 10.10.10.10
Collector Sensor Cisco_IOS_Sensor_1
Created Date 2012-07-16 12:32:00 CEST
Description Configured from console by jakis_admin on vty3 (123.155.177.222)
Destination Host Name c.d.e.f
Domain compfort.pl
Effects Integrity
Event Class ID Common Event
Event Count 1
Event Date 2012-07-16 01:32:00 CEST
Event Type ID Generic Base
facility clock_daemon
Firewall Event Info 1 vty3
IP Destination Address 10.10.10.10
IP Source Address 123.155.177.222
Logged At 2009-07-16 12:32:00 CEST
Logging Device IP 10.10.10.10
Logging Device Name 10.10.10.10
Mechanisms Unknown
Network Protocol unknown
Network Traffic Direction Inbound
Organizational Unit ou=Default
Product Cisco IOS Event Collector
Resources Firewall, Network Device, Application Configuration
Severity ID 1 - Informational
Source Host Name 123.155.177.222
Symantec Event Code 3974
Symantec Vendor Signature ID 208298
Target Resource 10.10.10.10
Unique Event ID 5b8f:20090716123200:67be3a
User Name bardzo_zly_admin
Vendor Device ID 14
Vendor Severity 5
Vendor Signature SYS-5-CONFIG_I
Version 4.3
Korelacje
Każdy z producentów wypracował swój własny algorytm, który wykorzystuje do realizacji celów stawianych przed systemem SIEM, więc naturalną konsekwencją będą różnice pomiędzy poszczególnymi produktami. Jednak niezależnie od rozwiązania, kolejność przetwarzania zbieranych informacji jest mniej więcej podobna. Zdarzenie, jako elementarna jednostka informacji, jest najpierw parsowane i normalizowane przez komponent zbierający. Tak przygotowane zdarzenie jest następnie analizowane pod kątem możliwości jego odfiltrowania lub agregacji. Po zakończeniu tego etapu, informacje są przesyłane do silnika korelującego lub archiwizującego. Często gotowe zdarzenie trafia do obu tych usług, gdzie dalsze czynności, takie jak korelacja i archiwizacja, są prowadzone już niezależnie.
Oryginalne, surowe zdarzenie pobrane bezpośrednio z systemu źródłowego wygląda następująco (przykład dla urządzenia sieciowego):
Jul 16 12:32:00 10.10.10.10 %SYS-5-CONFIG_I: Configured from console by jakis_administrator on vty3 (123.155.177.222)
Znormalizowane zdarzenia można łatwo filtrować oraz - dla wybranych typów informacji - włączyć ich deduplikację lub agregację. Jeżeli dla przykładu dwa źródła przesyłają dokładnie takie same dane do jednego agenta, wówczas dalej przekazywane jest tylko jedno wystąpienie.