常见UseCase样例-ArcSight实战系列之八

释放双眼,带上耳机,听听看~!

一般来说定义SIEM UseCase的方法类似软件开发的需求定义及概要设计:

  • 首先是确定UseCase的目标

  • 然后再根据目标确定需要的日志源信息,如果设备管理员比较弱,还需要告知设备管理员如何配置日志内容及输出方法

  • 最后需要根据日志的字段信息来细化UseCase的细节

所有UseCase细化分解的前提是需要有个明确、规范、可落地的规范,对于业界常见的等保、ISO 27001、SOX、PCI DSS等规范来说,个人认为PCI DSS的规范对于IT系统来说最清晰,也比较好落地,以下就是基于常见PCI DSS规范做的分解细化样例,希望对各位读者有所启发和帮助。

注:ArcSight本身对外销售基于各合规性要求的UseCase包,PCI DSS相关的文档请参阅《ESM_PCI_SolutionGuide_4.1.pdf》,希望对大家有所参考。

 


以下基于PCI 2.0中IT相关的UseCase进行概要分解说明,仅供参考

注:所有日志中的信用卡号、CVV号一律预先屏蔽以*号替换

PCI 条款内容

日志源

使用案例名称

分解说明

1.1.6.a 确认防火墙和路由器配置标准包含所有服务、协议和端口的文档记录列表,包括每一项(例如,超文本传输协议 (HTTP)和安全套接层 (SSL)、安全外壳 (SSH) 和虚拟专用网络 (VPN) 议)的业务理由。

防火墙访问日志

Disallowed Port Activity on PCI  System

凡是访问非确认白名单的PCI相关系统目标端口及协议的行为报警

1.1.6.b 识别获准的非安全服务、协议和端口;确认已记录每个服务的安全功能。

防火墙访问日志

Unsecure Protocol Usage on PCI System

凡是使用非确认白名单中的应用协议访问PCI相关系统的行为报警

1.1.6.c 检查防火墙和路由器配置,确认已对每个非安全服务、协议和端口实施有文档记录的安全功能。

防火墙管理日志

Firewall Configuration Change

ACSTACACS  相关日志中出现了类似config t wr mem的命令

1.2.1 将输入和输出流量限制到持卡人数据环境所需的范围,并明确拒绝所有其他流量。

防火墙访问日志

Firewall Accepts from Untrusted  Networks and Hosts

源自非授权区域网段的访问予以报警

所有访问成功的行为定制查询过滤器供后续分析

1.3.5 禁止从持卡人数据环境到互联网的非授权输出流量。

防火墙访问日志

Direct Outbound Web Traffic to the  Internet from PCI Segment

所有PCI系统对外访问的目标为非PCI内部网段或非DMZ区域网段的通讯进行报警

2.1 始终更改供应商提供的默认值并于在网络中安装系统之前删除或禁用不必要的默认帐户。

该要求适用于所有默认密码,包括但不限于操作系统、提供安全服务的软件、应用程序和系统帐户、销售点 (POS) 终端、简单网络管理协议(SNMP) 社区字符串等使用的默认密码。

防火墙访问日志

操作系统日志

数据库日志

Default User Account

凡是发现采用常见默认用户进行登录的操作进行报警,常见默认账号为:AdminAdministratorGuestbinScott

2.2.2.b 找出任何已启用的不安全服务、守护进程或协议,并与工作人员面谈,确认已根据书面配置标准判断其实属合理。

防火墙访问日志

Insecure Services Detected on PCI  System

凡是非授权的使用明文传输的协议,例如telnetrshftp等进行报警

2.3 使用强效加密法对所有非控制台管理访问进行加密。对于基于 web 的管理和其他非控制台管理访问,可采用 SSHVPN  SSL/TLS 等技术。

防火墙访问日志

Unencrypted Administrative Access to  PCI System

凡是远程登录采用的应用协议不是sshvpnssl的进行报警

4.1 使用强效加密法和安全协议(例如,SSL/TLSIPSECSSH  等)来保护在开放式公共网络中传输的敏感持卡人数据。

防火墙访问日志

Unencrypted Date Transmission to/from  PCI Environment

凡是对外访问公网是采用了不安全端口的行为报警,例如802123

4.2 不要使用终端用户通讯技术(例如,电子邮件、即时通讯、聊天等)来传送不受保护的 PAN

IDSIPS日志

DLP日志

Unencrypted PAN Detected in Email

凡是IDSIPSDLP日志中显示有明文卡号报警的时间报警

5.2 确保所有杀毒机制按如下方式维护:

  • 保持为最新,

  • 执行定期扫描

  • 生成检查日志

防病毒产品日志

AV – Malware Detected on PCI Asset

防病毒系统报出PCI系统有病毒的报警

AV – NOT Resolved

防病毒系统报出PCI系统有病毒且处于未清除状态的

AV – Multiple Infected Files on a  Single Machine

PCI系统单台设备上10分钟内出现10个以上病毒感染的事件(无论是否处于已清除状态)报警

AV – Antivirus Disabled on PCI System

PCI系统上发现防病毒客户端服务停止的事件进行报警

AV – Virus Activity

仪表板显示所有PCI系统中的病毒总数、感染设备总数、感染病毒类型总数、防病毒特征代码更新状态

7.1 仅有工作需要的个人才能访问系统组件和持卡人数据。

操作系统审计日志

堡垒机日志

Unauthorized Access to PCI System

所有非授权用户登录PCI系统的行为进行报警

所有授权用户登录PCI系统的行为通过报表反映

8.1.2 控制添加、删除和修改用户 ID凭证和其他标识符对象。

操作系统日志

AD日志

堡垒机日志

New Local Account Created on PCI  System

凡是PCI系统创建了新本地账号的操作报警

AD日志

AD – User Added to Protected PCI  Domain Group

凡是向Domain AdminSchema  AdminEnterprise Admin组中加入新用户的行为报警

AD – Password Reset By Other User

检测到非本账号重置其它账号密码的行为报警

AD – User Account Modified by  non-Security Admin

凡是未使用非Security Admin组中的账号增、删、该账号的行为报警

8.4 记录并向所有用户传达验证程序和政策,包括:

  • 选择强效验证凭证的指南

  • 关于用户应如何保护其验证凭证的指南

  • 关于不重用之前用过密码的说明

  • 用户如怀疑密码可能暴露则应修改密码

AD日志

AD – Clear Text Logon

凡是登录行为登录类型为8的行为报警

AD – User Account Deleted

凡是删除的账号加入列表留待后续使用案例进行比对

删除的账号明细以日报表方式反映

AD – User Deleted Within 24hr of  Being Created

创建的账号是24小时内刚删除的账号行为报警

AD – Terminated User Account Access  Attempt

在已删除的账号列表中的用户出现登录访问的行为报警

AD – Inactive User Accounts > 90  Days

比对有访问PCI授权的用户列表有无最近90天访问的日志,否则将其列出以报表和仪表板的方式反映

AD – User Account Locked Out

连续6次以上访问失败而导致账号锁定的事件

数据库访问日志

DB Authentication Success

数据库特权用户SysSysdbadb2dmin或有权对CHDCardHolder Data)数据写权限的用户访问成功的事件

DB Authentication Unsuccessful

数据库特权用户SysSysdbadb2dmin或有权对CHDCardHolder Data)数据写权限的访问失败的事件

10.1 实施检查记录,将对系统组件的所有访问链接到个人用户。

防火墙日志

操作系统日志

数据库访问日志

堡垒机日志

User Activity Report

报表反映所有对PCI系统的登录访问明细

Insider Threat – Watch list User Accessing  PCI System

访问CHDCardHolder  Data)数据的行为报警

10.2.1 对持卡人数据的所有个人用户访问

数据库访问日志

PCI PAN Accessed – PCI tables by  non-process id (i.e. individual id) or non-DBA id

非授权用户访问PANPrimary  Account Number)的行为报警

10.2.2 任何具有 root 或管理员权限的个人执行的所有操作

数据库访问日志

Database Login with Update Access on  PCI System

所有具备Update权限的用户登录行为进行报警,审核相关的操作;

数据库管理日志

操作系统日志

Local User Created, Admin Rights  Granted

创建新用户且获得管理员权限的行为报警

操作系统日志

堡垒机日志

SU/SUDO Command Execution

核心PCI系统中出现SUSUDO的操作报警

10.2.3 对所有检查记录的访问

数据库管理日志

操作系统日志

堡垒机日志

Audit Log Accessed + Audit Log  Deleted

审计日志访问及删除审计日志的行为报警

10.2.4 无效的逻辑访问尝试

数据库管理日志

操作系统日志

堡垒机日志

Unix SU Root Access Failed

1分钟内SUroot连续5次失败的报警

Failed Logins – all users, all  accounts

1分钟内账号连续5次失败的报警

Failed Login to expired account

尝试使用过期账号的行为报警

Failed Login to disabled account

尝试使用禁用账号的行为报警

10.2.6 检查日志的初始化、关闭或暂停

操作系统日志

Audit Log Initialized

审计日志出现初始化的事件报警

10.2.7 系统级对象的创建和删除

操作系统日志

Suspicious Activity – Excessive File  Creations

1分钟内PCI系统上创建了5各个以上文件的事件报警

Suspicious Activity – Excessive File  Deletions

1分钟内PCI系统上删除了5各个以上文件的事件报警

Suspicious Activity – Excessive File  Modifications

1分钟内PCI系统上修改了5各个以上文件的事件报警

10.5.3 即时将检查记录文件备份到难以更改的中央日志服务器或媒介中。

所有日志

System Not Sending Logs

24小时内无日志接收报警

10.5.5 对日志使用文件完整性监控或变更检测软件可确保未生成警报时无法变更现有日志数据(虽然新增数据不应生成警

报)。

Windows日志

Audit Log Modified / Cleared

出现日志清除行为报警

11.2 至少每个季度运行一次内部和外部网络漏洞扫描,并且在网络有任何重大变化(例如安装新的系统组件,更改网络拓朴,修改防火墙规则,产品升级)时也运行漏洞扫描。

弱点扫描日志

Vulnerabilities on PCI System – High  or Critical

PCI系统出现高等级风险漏洞的日志报表

11.4 利用入侵检测和/或入侵防御技术来检测和/或防御网络入侵。监控持卡人数据环境周围以及持卡人数据环境中关键点的所有流量,并警示工作人员注意可疑威胁。

IDS日志

IDS – PCI Asset as Attacker

IDS报出的攻击事件且源自PCI系统事件报警

弱点扫描日志

IDS日志

IDS – Attack Success

IDS报出的目标地址有匹配攻击手段的弱点

IDS日志

IDS – TCP/UDP Host Scan from PCI  System

IDS报出TCP/UDP主机水平扫描事件报警

IDS – TCP/UDP Port Scan from PCI  System

IDS报出TCP/UDP端口垂直扫描事件报警

IDS – POS Attack

IDS报出源自或目标为POS系统的事件报警

IDS日志

操作系统日志

IDS – Correlated IDS Event

30分钟内源地址IDS系统报过高等级的攻击事件而又成功登录了PCI系统的事件报警


以下是企业常见的SIEM相关安全检测的UseCase样例,仅供参考。


#

使用案例

日志源

分解说明

1

能够侦测开发测试人员访问生产环境

各区域的边界防火墙访问日志

操作系统的登录日志

堡垒机登录日志

  • 通过边界防火墙的访问日志实时监视开发测试段访问生产段的行为

  • 操作系统登录日志可以实时监视开发类账号的登录情况

  • 堡垒机登录日志可以实时监视开发类账号的登录情况

2

能够发现核心应用和数据库特权账号异常修改和变更

核心应用变更类日志

数据库特权操作日志

关键表及字段定义

  • 通过日报表反映所有的变更操作记录,由应用业务系统人员确认是否合规;

  • 非变更窗口的变更实时报警;

  • 数据库特权危险操作:dropdeletetruncate

  • 数据库授权操作:creategrant

  • 关键表及字段查询:select

  • 大量数据查询:返回结果超过20000行的select行为

3

侦测跳过堡垒机的违规行为

堡垒机保护区域的边界防火墙访问通过日志;

堡垒机保护区域操作系统登录日志

  • 实时监视非源自堡垒机地址且通过防火墙,访问端口为服务器服务端口的行为例如(TCP 2223338933061521等其它服务端口)

  • 堡垒机保护区域操作系统登录行为日志,而堡垒机上无相应的访问登录日志;

4

侦测多人使用相同堡垒机帐号

堡垒机系统登录登出日志

  • 同一账号在各堡垒机上处于登录状态时(没有出现Logout日志或Timeout日志),同一账号又再次出现成功登陆的情况;

5

侦测VPN 帐号盗用

VPN登录日志

  • 同一VPN账号在VPN服务器处于登录状态时(没有出现Logout日志或Timeout日志),同一账号又再次出现成功登陆的情况

  • 通过报表汇总统计各VPN账号常用登录区域,将其加入比对列表,以后凡是发现从非常见区域登录的进行实时报警;

6

侦测违反 4A 政策

堡垒机系统操作日志

堡垒机操作规范

  • 凡是违反操作规范的行为进行报警;

  • 非工作时间段的所有登录进行报警;

  • 所有出现数据向非安全区域的传输进行报警;

7

侦测不明帐号系统提权高权限帐号

操作系统审计日志

  • AIXLinux审计日志出现执行chmodchgrp行为;

  • 修改/etc/group/etc/passwd行为

  • Windows的用户权限变更行为

8

侦测非授权用户新增、修改和删除帐号警示

操作系统审计日志

  • 用户的增加、删除、更改的行为

9

能够侦测蠕虫病毒爆发

IDSIPS日志

防火墙日志

  • IDSIPS日志中蠕虫类报警,3分钟内出现了50次以上报警

  • 针对特定端口的访问次数急剧增加,例如增加了500%报警

10

能够侦测内部僵尸主机连接外部网络

防火墙日志

IDSIPS日志

代理服务器日志

IOC黑名单

开源的已知Botnet CNC地址列表

  • 所有和黑名单有过访问的均报警(重复的1天仅报一次);

  • 通过报表的按次数排名后10位的地址列表,如果有定时出现且排名总靠后的IP需要排查

11

能够侦测外部僵尸网络连接内部主机

防火墙日志

IDSIPS日志

代理服务器日志

IOC黑名单

开源的已知Botnet CNC地址列表

  • 所有和黑名单有过访问的均报警(重复的1天仅报一次);

  • 通过报表的按次数排名后10位的地址列表,如果有定时出现且排名总靠后的IP需要排查

12

能够侦测非授权的服务重启

操作系统系统类日志

堡垒机登录日志

  • 未出现堡垒机处于登录并跳转的日志,且出现服务重启操作日志的报警;

  • 非变更窗口出现通过堡垒机登录并跳转的日志,且出现服务重启操作日志的报警;

13

能够侦测开发测试人员访问生产环境

各区域的边界防火墙访问日志

操作系统的登录日志

堡垒机登录日志

  • 通过边界防火墙的访问日志实时监视开发测试段访问生产段的行为

  • 操作系统登录日志可以实时监视开发类账号的登录情况

  • 堡垒机登录日志可以实时监视开发类账号的登录情况

14

能够侦测违法修改特权帐号密码

操作系统审计类日志

堡垒机登录日志

  • 未出现堡垒机处于登录并跳转的日志,且出现特权账号密码变更的操作报警;

  • 非变更窗口出现通过堡垒机登录并跳转的日志,且出现特权账号密码变更的操作报警;

15

能够侦测非工作时间特权账号异动

非工作时间段定义列表

操作系统审计类日志

应用系统操作日志

堡垒机操作日志

  • 所有非工作时段,且未经堡垒机访问的所有特权账号登录报警,人工确认;

  • 所有非工作时段,经堡垒机访问特权账号的操作报表,人工与工单内容进行匹配;

16

能够侦测服务器出现不明端口

服务器区防火墙访问日志

服务器区IDSIPS日志

  • 通过报表列出外部源地址与各服务器的成功访问协议及其端口,人工确认是否为合规服务,合规的加入白名单列表;

  • 实时监控防火墙访问日志内容,凡是出现成功的访问且不在白名单中的协议及端口报警

17

发现新增互联网出口并告警

互联网边界防火墙

  • 通过防火墙日志报表列出所有内对外的访问的源地址,除了是代理服务器的地址外其余的需要确认,否则列入黑名单排查出口路由;

18

发现同一地址泄露多种敏感数据并告警

DLP报警日志

互联网边界代理服务器

  • DLP报警且一个源地址对外访问外网的ByteOut大于1024K

19

支持对账号密码未定时更新的合规性报表

所有账号列表基线

操作系统审计日志

  • 将所有账号加入比对列表;

  • 所有有过密码变更的操作将其从列表中删除;

  • 超过密码变更规范的天数后依旧留在列表中且无法提供合规理由的账号通过报表报告、仪表板展示;

20

支持对过期账号密码未定时更新的合规性报表

所有账号列表基线

操作系统审计日志

  • 所有做过变更密码的账号加入新的待变更比对列表;

  • 所有做过变更密码的账号从当前的待变更比对列表中删除;

  • 超过密码变更规范的天数后依旧留在当前的待变更比对列表中且无法提供合规理由的账号通过报表报告、仪表板展示;

21

能够侦测DOS拒绝服务攻击

DDOS检测设备

互联网边界防火墙

  • 通过报表统计每小时源自不同外部IP的数量作为基线数据

  • 实时监控发现每小时源自不同外部IP的数量超过基线500%报警

  • 通过报表统计每小时外部IP访问的次数作为基线数据

  • 实时监控发现每小时外部IP访问的次数超过基线500%报警

22

支持僵尸网路连线侦测

防火墙日志

IDSIPS日志

代理服务器日志

IOC黑名单

开源的已知Botnet CNC地址列表

  • 所有和黑名单有过访问的均报警(重复的1天仅报一次);

23

能够侦测暴力破解入侵

IDSIPS日志

操作系统升级日志

  • 1分钟内出现10次以上账号登录设备行为的报警;

24

支持对利用系统漏洞的攻击检测

IDSIPS日志

弱点扫描器日志

  • 凡是目标具备扫描器日志中发现的弱点与IDSIPS攻击匹配的攻击针对弱点匹配的事件报警

25

能够侦测互联网漏洞扫描攻击

IDSIPS日志

边界防火墙访问日志

  • 源自1个外部地址对所属互联网地址段在1分钟内出现50次访问同一端口失败的报警

  • 源自1个外部地址对所属互联网地址段在1分钟内出现50次访问多个端口失败的报警

26

支持外网渗透攻击检测

IDSIPS日志

边界防火墙访问日志

  • 1分钟内源地址被防火墙阻断了20次以上,然后通过的且在防火墙后的IDSIPS有报警的事件报警

27

能够侦测对外部网站可能成功的攻击

IISApache的访问日志

WAF日志

  • 出现大量404的事件报警;

  • WAF出现报警的事件

28

能够侦测无业务网络国外主机连接内部主机

边界防火墙访问日志

  • 境外地址段成功通过防火墙的事件且目标地址非正常服务地址区域的报警

往期文章推荐

ArcSight实战系列:

ArcSight简介            -ArcSight技术系列之一

实施规划和架构设计 -ArcSight实战系列之二

ESM安装配置指南    -ArcSight实战系列之三

Syslog类型Connector安装配置-ArcSight实战系列之四

日志源有效性监控UseCase-ArcSight实战系列之五

ArcSight UseCase常见类型简介-ArcSight实战系列之六

WebShell检测-ArcSight实战系列之七


时间有限?看此篇

金融业企业安全建设之路


———————————————-

企业安全建设,离不开“守望相助”。金融业企业安全建设微信群,在历次安全事件、安全应急中有大量实况直播,处置措施及时性、有效性,让我自己也获益良多。有兴趣加入的企业安全负责人,请关注微信公众号“君哥的体历”,后台留言,微信号+公司名称,验证身份后入群。


附注:

  • 聂君,信息安全从业人员,十余年金融行业信息安全从业经历,默默无闻。好读书,不求甚解。性格开朗,爱好足球。

  • 本订阅号文章是个人对工作生活的一些体验和经历分享,站在不同角度和立场解读会有偏差,见仁见智,不求正确统一,但求真、善、美。


长按识别二维码,和我交流


本文源自微信公众号:君哥的体历

人已赞赏
安全工具

金融企业信息安全团队建设(务实篇)

2019-10-16 13:54:35

安全工具

ArcSight简介-ArcSight技术系列之一

2019-10-16 13:54:46

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索