Crédit : Dreamstime
La journalisation peut être l’outil le plus utile dans la boîte à outils de sécurité d’un consommateur, mais c’est quelque chose que les services ont tendance à ignorer et à ne pas désigner de ressources appropriées, car cela peut utiliser de l’espace de stockage sur le disque dur. Des journaux appropriés peuvent fournir des preuves sur la manière dont un événement s’est déroulé et sur ce que l’adversaire a fait.
Trop souvent, nous ne conservons pas suffisamment de journaux. FireEye a indiqué que le temps de séjour moyen pour les agresseurs qui utilisent un ransomware comme outil d’attaque en option est de 72,75 jours. Un rapport sur une attaque de ransomware datant de 2015 a montré que l’agresseur a rôdé dans le réseau pendant 8 semaines avant de faire exploser le logiciel malveillant.
Les consommateurs auraient-ils enregistré une demande de journal pendant huit semaines ou plus pour enquêter sur un adversaire qui se cache ? Auraient-ils pu passer au crible les soumissions du journal pour déterminer rapidement une série d’attaques ?
Le rapport suggérait une « Un service de défense géré ou un équivalent est conservé pour rechercher et répondre aux événements sur les terminaux (c’est-à-dire les ordinateurs portables, les ordinateurs de bureau, les serveurs) afin de fournir la défense. » Je dirais également que dans le cadre de cette procédure, le service doit se connecter afin que les utilisateurs puissent avoir une preuve pour l’analyse.
Microsoft Sentinel cloud SIEM
Les RSSI ne doivent pas simplement se connecter pour le plaisir de se connecter. Souvent, une invasion se produit, mais personne n’a vu la preuve dans l’outil de journalisation. L’analyse de la journalisation doit faire partie de l’option. Un excellent outil de gestion des informations et des événements de sécurité (SIEM) peut aider les utilisateurs à gérer et à examiner les journaux. Les utilisateurs ont de nombreuses alternatives, y compris si le référentiel sera sur un disque local ou dans un stockage cloud.
Le cloud SIEM de Microsoft s’appelle Sentinel. En tant que service cloud, les services de Sentinel sont constamment mis à jour. Les utilisateurs peuvent suivre les modifications apportées à Guard en suivant ce site qui évalue les toutes nouvelles versions.
Par exemple, un certain nombre d’aperçus publics en janvier visent à apporter de nouvelles fonctionnalités fascinantes à la plate-forme :
- Prise en charge des stratégies MITRE ATT&CK
- Connecteurs d’informations sans code
- Maturity Design for Occasion Log Management (M-21-31) Option
- Données SentinelHealth tableau
Déployés :
- Plus d’espaces de travail pris en charge pour plusieurs vues de zone de travail
- Manuel et didacticiel Kusto Question Language (KQL)
Mappage des techniques MITRE ATT&CK
La prise en charge des méthodes MITRE ATT&CK mappe les informations des journaux aux séries d’attaques qui ont été réellement identifiées. Les utilisateurs peuvent parcourir les preuves qu’ils ont stockées à l’aide de la technique 1595, également comprise comme un balayage actif, où l’agresseur « peut effectuer des balayages de reconnaissance actifs pour collecter des informations pouvant être utilisées lors du ciblage. Les balayages actifs sont ceux où l’adversaire sonde les installations de la victime à travers trafic réseau, plutôt que d’autres formes de reconnaissance qui n’impliquent pas d’interaction directe. »
Adaptateurs sans code
Parce que la journalisation est nécessaire pour tout ce qui se fait de nos jours, Sentinel prévisualise l’utilisation d’adaptateurs sans code qui permettent d’effectuer la journalisation à partir de plates-formes de logiciel en tant que service (SaaS) à extraire dans Sentinel.
Plus précisément, à mesure que les services se déplacent davantage vers le cloud et les applications Azure qui communiquent avec les actifs sur site, il est essentiel de disposer d’outils pour extraire ces informations dans la journalisation pour obtenir une meilleure vue de tous les actifs qu’ils souhaitent gérer et sauvegarde.
Répondre aux mandats du journal des événements de l’OMB
La M-21-31 du plan de gestion et de budget (OMB) impose une conception de maturité pour le journal des événements la gestion. 4 niveaux de journalisation sont définis pour toutes les agences gouvernementales. Les entreprises du gouvernement fédéral recevront un classement allant de EL0 à EL3. Si les exigences de journalisation ne sont que partiellement satisfaites par l’entreprise, elles recevront un classement EL0 ou « non efficace ». L’objectif est de passer à EL3 où les exigences de journalisation à tous les niveaux de criticité sont atteintes.
Sentinel prendra en charge la collecte de ces journaux d’événements mandatés par le gouvernement :
- Formatés de manière appropriée et précis horodatage
- Code d’état pour le type d’événement
- Identifiant du gadget (adresse MAC5 ou autre identifiant unique)
- ID de session/transaction
- Autonome numéro de système
- IP source (IPv4)
- IP source (IPv6)
- IP de localisation (IPv4)
- IP de localisation (IPv6)
- Code d’état
- Temps d’action
- En-têtes supplémentaires (c’est-à-dire, en-têtes HTTP)
- Le cas échéant, le nom d’utilisateur ou l’ID utilisateur sera inclus
- Le cas échéant, la commande exécutée sera composée de
- Dans la mesure du possible, toutes les informations seront formatées sous forme de paires clé-valeur permettant une extraction simple
- Si possible , un identifiant d’événement unique sera constitué pour la corrélation d’événements ; un identifiant d’événement unique sera défini pour chaque occasion
SentinelHealth surveille la santé de l’adaptateur
Le tableau de données SentinelHealth aide à garder un œil sur la santé du port, fournir des informations sur les dérives de santé telles que les occasions de défaillance les plus actuelles par connecteur, ou les connecteurs avec des modifications de l’état de réussite à l’état d’échec.
Prise en charge des MSSP
Sécurité gérée les fournisseurs de services (MSSP) doivent surveiller plus d’une activité. Guard permet de nombreuses vues de zones de travail, ce qui permet à un MSSP d’évaluer de nombreuses zones de travail en même temps, même entre les locataires.
Support KQL
Le janvier La version comprend le classeur interactif Advanced KQL pour Microsoft Sentinel, qui est créé pour aider les utilisateurs à améliorer l’efficacité du langage de requête Kusto en adoptant une technique basée sur des cas d’utilisation.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur