Di Robert Holzer, IT Administrator at Schlotterer Sonnenschutz Systeme GmbH, Rapid7
Ho distribuito il mio SIEM in giorni, non mesi: ecco come puoi farlo anche tu
In qualità di amministratore IT di un’azienda manifatturiera altamente digitalizzata, ho passato molte notti insonni senza avere visibilità sull’attività e sulla sicurezza del nostro ambiente prima di implementare una soluzione SIEM (Security Information and Event Management). Nell’azienda per cui lavoro, Schlotterer Sonnenschutz Systeme GmbH, disponiamo di molte macchine di produzione che si basano sull’accesso a Internet e società esterne che si connettono in remoto all’ambiente della nostra azienda, e non riuscivo a vedere che accadesse. Una delle mie maggiori priorità era trovare e implementare soluzioni di sicurezza all’avanguardia, a cominciare da uno strumento SIEM.
Ho chiesto a colleghi e partner del settore IT la loro esperienza nell’implementazione e nell’utilizzo della tecnologia SIEM. La maggior parte dei feedback che ho ricevuto è stata che l’implementazione di un SIEM è stato un processo lungo e difficile. Quindi, una volta alzati in piedi, ai SIEM mancavano spesso informazioni o da cui era difficile estrarre dati utilizzabili.
Il feedback non ha instillato molta fiducia, soprattutto perché questa sarebbe stata la prima volta che ho implementato personalmente un SIEM. Ero preparato per una lunga strada di schieramento davanti a noi, con il rischio che gli scaffali incombessero su di noi. Tuttavia, con mia sorpresa, dopo aver identificato InsightIDR di Rapid7 come la nostra soluzione prescelta, il processo è stato gestibile ed efficiente e abbiamo iniziato a ricevere valore pochi giorni dopo l’implementazione. Rapid7 è chiaramente un valore anomalo in questo spazio: in grado di offrire un’esperienza di onboarding intuitiva e accelerata, pur continuando a fornire informazioni fruibili e risultati di sicurezza sofisticati.
3 passaggi chiave per una distribuzione SIEM di successo
Sulla base della mia esperienza, il nostro team ha identificato tre passaggi critici che devono essere presi per avere una distribuzione SIEM di successo:
- Identificazione delle origini degli eventi principali e delle risorse che intendi integrare prima della distribuzione
- Raccolta e correlazione dei dati di telemetria di sicurezza pertinenti e attuabili per formare una visione olistica e accurata dell’ambiente, guidando al contempo un rilevamento affidabile delle minacce in anticipo (rimuovendo il rumore)
- Mettere i dati al lavoro nel tuo SIEM in modo da poter iniziare a visualizzare e analizzare per convalidare il successo della tua distribuzione
1. Identificare le origini degli eventi principali e le risorse da integrare
Prima di distribuire un SIEM, raccogli quante più informazioni possibili sul tuo ambiente in modo da poter iniziare facilmente il processo di distribuzione. Rapid7 ha fornito una documentazione di aiuto di facile comprensione durante tutto il nostro processo di implementazione per prepararci al successo. Le istruzioni erano molto dettagliate e di facile comprensione, rendendo l’installazione rapida e indolore. Inoltre, forniscono un’ampia selezione di origini eventi predefinite pronte all’uso, semplificando la mia esperienza. In poche ore, ho avuto tutte le informazioni di cui avevo bisogno davanti a me.
Sulla base delle raccomandazioni di Rapid7, abbiamo impostato quelle che vengono chiamate le sei principali fonti di eventi:
- Active Directory (AD)
- Server di protocollo (LDAP)
- Registri eventi DHCP (Dynamic Host Configuration Protocol)
- Sistema dei nomi di dominio (DNS)
- Rete privata virtuale (VPN)
- Firewall
La creazione di queste origini eventi otterrà la maggior parte delle informazioni che fluiscono attraverso il tuo SIEM e se la tua soluzione ha funzionalità di analisi dell’entità del comportamento utente (UEBA) come InsightIDR. L’acquisizione rapida di tutti i dati avvia il processo di base in modo da poter identificare anomalie e potenziali minacce per utenti e insider lungo la strada.
2. Raccolta e correlazione della telemetria di sicurezza pertinente e attuabile
Se distribuito e configurato correttamente, un buon SIEM unificherà la telemetria di sicurezza in un’unica immagine coesa. Se eseguito in modo inefficace, un SIEM può creare un labirinto infinito di rumori e avvisi. Trovare un equilibrio tra l’acquisizione della giusta telemetria di sicurezza e intelligence sulle minacce per guidare rilevamenti significativi e attuabili delle minacce è fondamentale per un rilevamento, un’indagine e una risposta efficaci. Un’ottima soluzione armonizza fonti altrimenti disparate per fornire una visione coerente dell’ambiente e delle attività dannose.
InsightIDR è stato fornito con un agente endpoint nativo, un sensore di rete e una serie di integrazioni per rendere questo processo molto più semplice. Per fornire un contesto, alla Schlotterer Sonnenschutz Systeme GmbH disponiamo di un gran numero di dispositivi mobili, laptop, dispositivi di superficie e altri endpoint che esistono al di fuori dell’azienda. Insight Network Sensor e Insight Agent combinati monitorano il nostro ambiente oltre i confini fisici del nostro IT per una visibilità completa su uffici, dipendenti remoti, dispositivi virtuali e altro ancora.
Personalmente, quando si tratta di installare qualsiasi agente, preferisco adottare un approccio graduale per ridurre i potenziali effetti negativi che l’agente potrebbe avere sugli endpoint. Con InsightIDR, ho distribuito facilmente Insight Agent sul mio computer; quindi, l’ho inviato a un gruppo aggiuntivo di computer. L’implementazione del software leggero di Rapid7 Agent è facile sulla nostra infrastruttura. Non mi ci è voluto tempo per distribuirlo in sicurezza su tutti i nostri endpoint.
Con i dati effettivamente acquisiti, ci siamo preparati a rivolgere la nostra attenzione al rilevamento delle minacce. I SIEM tradizionali che avevamo esplorato ci hanno lasciato gran parte della creazione del contenuto di rilevamento da configurare e gestire, aumentando notevolmente l’ambito dell’implementazione e delle operazioni quotidiane. Tuttavia, Rapid7 viene fornito con un’ampia libreria gestita di rilevamenti curati pronti all’uso, eliminando la necessità di personalizzare e configurare in anticipo e fornendoci immediatamente copertura. I rilevamenti di Rapid7 sono controllati dal loro MDR SOC interno, il che significa che non creano troppo rumore e ho dovuto fare poco o nessun tuning in modo che si allineassero con il mio ambiente.
3. Mettere i tuoi dati al lavoro nel tuo SIEM
Per il nostro team con risorse limitate, garantire che avessimo dashboard e report pertinenti per tenere traccia dei sistemi critici, delle attività nella nostra rete e supportare gli audit e i requisiti normativi è sempre stato un grande obiettivo. Parlando con i miei colleghi, eravamo stanchi di creare dashboard che avrebbero richiesto al nostro team di eseguire complicate operazioni di scrittura di query per creare elementi visivi e report sofisticati. I dashboard predefiniti inclusi in InsightIDR sono stati ancora una volta un enorme risparmio di tempo per il nostro team e ci hanno aiutato a mobilitarci attorno a sofisticati report sulla sicurezza fin dall’inizio. Ad esempio, sto utilizzando il dashboard di Active Directory Admin Actions di InsightIDR per identificare:
- Quali account sono stati creati nelle ultime 24 ore?
- Quali account sono stati eliminati nelle ultime 24 ore?
- Quali account hanno cambiato la loro password?
- Chi è stato aggiunto come amministratore di dominio?
Poiché i dashboard sono già integrati nel sistema, mi bastano pochi minuti per visualizzare le informazioni necessarie per visualizzare ed esportare i dati in un report HTML interattivo che posso fornire ai miei stakeholder. Quando distribuisci il tuo SIEM, ti consiglio di approfondire le opzioni di visualizzazione, vedere cosa sarà necessario per creare le tue schede ed esplorare qualsiasi contenuto predefinito disponibile per capire quanto tempo potrebbe essere necessario per iniziare a vedere i dati utilizzabili.
Ora ho conoscenza del mio ambiente. So cosa succede. So per certo che se c’è qualcosa di dannoso o sospetto nel mio ambiente, Rapid7, l’agente Insight o una qualsiasi delle fonti che abbiamo integrato in InsightIDR lo catturerà e posso agire immediatamente.