一般来说定义SIEM UseCase的方法类似软件开发的需求定义及概要设计:
首先是确定UseCase的目标
然后再根据目标确定需要的日志源信息,如果设备管理员比较弱,还需要告知设备管理员如何配置日志内容及输出方法
最后需要根据日志的字段信息来细化UseCase的细节
所有UseCase细化分解的前提是需要有个明确、规范、可落地的规范,对于业界常见的等保、ISO 27001、SOX、PCI DSS等规范来说,个人认为PCI DSS的规范对于IT系统来说最清晰,也比较好落地,以下就是基于常见PCI DSS规范做的分解细化样例,希望对各位读者有所启发和帮助。
注:ArcSight本身对外销售基于各合规性要求的UseCase包,PCI DSS相关的文档请参阅《ESM_PCI_SolutionGuide_4.1.pdf》,希望对大家有所参考。
以下基于PCI 2.0中IT相关的UseCase进行概要分解说明,仅供参考
注:所有日志中的信用卡号、CVV号一律预先屏蔽以*号替换
PCI 条款内容 | 日志源 | 使用案例名称 | 分解说明 | |
1.1.6.a 确认防火墙和路由器配置标准包含所有服务、协议和端口的文档记录列表,包括每一项(例如,超文本传输协议 (HTTP)和安全套接层 (SSL)、安全外壳 (SSH) 和虚拟专用网络 (VPN) 协议)的业务理由。 | 防火墙访问日志 | Disallowed Port Activity on PCI System | 凡是访问非确认白名单的PCI相关系统目标端口及协议的行为报警 | |
1.1.6.b 识别获准的非安全服务、协议和端口;确认已记录每个服务的安全功能。 | 防火墙访问日志 | Unsecure Protocol Usage on PCI System | 凡是使用非确认白名单中的应用协议访问PCI相关系统的行为报警 | |
1.1.6.c 检查防火墙和路由器配置,确认已对每个非安全服务、协议和端口实施有文档记录的安全功能。 | 防火墙管理日志 | Firewall Configuration Change | 在ACS的TACACS 相关日志中出现了类似config t wr mem的命令 | |
1.2.1 将输入和输出流量限制到持卡人数据环境所需的范围,并明确拒绝所有其他流量。 | 防火墙访问日志 | Firewall Accepts from Untrusted Networks and Hosts | 源自非授权区域网段的访问予以报警 所有访问成功的行为定制查询过滤器供后续分析 | |
1.3.5 禁止从持卡人数据环境到互联网的非授权输出流量。 | 防火墙访问日志 | Direct Outbound Web Traffic to the Internet from PCI Segment | 所有PCI系统对外访问的目标为非PCI内部网段或非DMZ区域网段的通讯进行报警 | |
2.1 始终更改供应商提供的默认值并于在网络中安装系统之前删除或禁用不必要的默认帐户。 该要求适用于所有默认密码,包括但不限于操作系统、提供安全服务的软件、应用程序和系统帐户、销售点 (POS) 终端、简单网络管理协议(SNMP) 社区字符串等使用的默认密码。 | 防火墙访问日志 操作系统日志 数据库日志 | Default User Account | 凡是发现采用常见默认用户进行登录的操作进行报警,常见默认账号为:Admin、Administrator、Guest、bin、Scott | |
2.2.2.b 找出任何已启用的不安全服务、守护进程或协议,并与工作人员面谈,确认已根据书面配置标准判断其实属合理。 | 防火墙访问日志 | Insecure Services Detected on PCI System | 凡是非授权的使用明文传输的协议,例如telnet、rsh、ftp等进行报警 | |
2.3 使用强效加密法对所有非控制台管理访问进行加密。对于基于 web 的管理和其他非控制台管理访问,可采用 SSH、VPN 或SSL/TLS 等技术。 | 防火墙访问日志 | Unencrypted Administrative Access to PCI System | 凡是远程登录采用的应用协议不是ssh、vpn、ssl的进行报警 | |
4.1 使用强效加密法和安全协议(例如,SSL/TLS、IPSEC、SSH 等)来保护在开放式公共网络中传输的敏感持卡人数据。 | 防火墙访问日志 | Unencrypted Date Transmission to/from PCI Environment | 凡是对外访问公网是采用了不安全端口的行为报警,例如80、21、23 | |
4.2 不要使用终端用户通讯技术(例如,电子邮件、即时通讯、聊天等)来传送不受保护的 PAN。 | IDS、IPS日志 DLP日志 | Unencrypted PAN Detected in Email | 凡是IDS、IPS、DLP日志中显示有明文卡号报警的时间报警 | |
5.2 确保所有杀毒机制按如下方式维护:
| 防病毒产品日志 | AV - Malware Detected on PCI Asset | 防病毒系统报出PCI系统有病毒的报警 | |
AV - NOT Resolved | 防病毒系统报出PCI系统有病毒且处于未清除状态的 | |||
AV - Multiple Infected Files on a Single Machine | PCI系统单台设备上10分钟内出现10个以上病毒感染的事件(无论是否处于已清除状态)报警 | |||
AV - Antivirus Disabled on PCI System | PCI系统上发现防病毒客户端服务停止的事件进行报警 | |||
AV - Virus Activity | 仪表板显示所有PCI系统中的病毒总数、感染设备总数、感染病毒类型总数、防病毒特征代码更新状态 | |||
7.1 仅有工作需要的个人才能访问系统组件和持卡人数据。 | 操作系统审计日志 堡垒机日志 | Unauthorized Access to PCI System | 所有非授权用户登录PCI系统的行为进行报警 所有授权用户登录PCI系统的行为通过报表反映 | |
8.1.2 控制添加、删除和修改用户 ID、凭证和其他标识符对象。 | 操作系统日志 AD日志 堡垒机日志 | New Local Account Created on PCI System | 凡是PCI系统创建了新本地账号的操作报警 | |
AD日志 | AD - User Added to Protected PCI Domain Group | 凡是向Domain Admin、Schema Admin、Enterprise Admin组中加入新用户的行为报警 | ||
AD - Password Reset By Other User | 检测到非本账号重置其它账号密码的行为报警 | |||
AD - User Account Modified by non-Security Admin | 凡是未使用非Security Admin组中的账号增、删、该账号的行为报警 | |||
8.4 记录并向所有用户传达验证程序和政策,包括:
| AD日志 | AD - Clear Text Logon | 凡是登录行为登录类型为8的行为报警 | |
AD - User Account Deleted | 凡是删除的账号加入列表留待后续使用案例进行比对 删除的账号明细以日报表方式反映 | |||
AD - User Deleted Within 24hr of Being Created | 创建的账号是24小时内刚删除的账号行为报警 | |||
AD - Terminated User Account Access Attempt | 在已删除的账号列表中的用户出现登录访问的行为报警 | |||
AD - Inactive User Accounts > 90 Days | 比对有访问PCI授权的用户列表有无最近90天访问的日志,否则将其列出以报表和仪表板的方式反映 | |||
AD - User Account Locked Out | 连续6次以上访问失败而导致账号锁定的事件 | |||
数据库访问日志 | DB Authentication Success | 数据库特权用户Sys、Sysdba、db2dmin或有权对CHD(CardHolder Data)数据写权限的用户访问成功的事件 | ||
DB Authentication Unsuccessful | 数据库特权用户Sys、Sysdba、db2dmin或有权对CHD(CardHolder Data)数据写权限的访问失败的事件 | |||
10.1 实施检查记录,将对系统组件的所有访问链接到个人用户。 | 防火墙日志 操作系统日志 数据库访问日志 堡垒机日志 | User Activity Report | 报表反映所有对PCI系统的登录访问明细 | |
Insider Threat - Watch list User Accessing PCI System | 访问CHD(CardHolder Data)数据的行为报警 | |||
10.2.1 对持卡人数据的所有个人用户访问 | 数据库访问日志 | PCI PAN Accessed - PCI tables by non-process id (i.e. individual id) or non-DBA id | 非授权用户访问PAN(Primary Account Number)的行为报警 | |
10.2.2 任何具有 root 或管理员权限的个人执行的所有操作 | 数据库访问日志 | Database Login with Update Access on PCI System | 所有具备Update权限的用户登录行为进行报警,审核相关的操作; | |
数据库管理日志 操作系统日志 | Local User Created, Admin Rights Granted | 创建新用户且获得管理员权限的行为报警 | ||
操作系统日志 堡垒机日志 | SU/SUDO Command Execution | 核心PCI系统中出现SU或SUDO的操作报警 | ||
10.2.3 对所有检查记录的访问 | 数据库管理日志 操作系统日志 堡垒机日志 | Audit Log Accessed + Audit Log Deleted | 审计日志访问及删除审计日志的行为报警 | |
10.2.4 无效的逻辑访问尝试 | 数据库管理日志 操作系统日志 堡垒机日志 | Unix SU Root Access Failed | 1分钟内SU至root连续5次失败的报警 | |
Failed Logins - all users, all accounts | 1分钟内账号连续5次失败的报警 | |||
Failed Login to expired account | 尝试使用过期账号的行为报警 | |||
Failed Login to disabled account | 尝试使用禁用账号的行为报警 | |||
10.2.6 检查日志的初始化、关闭或暂停 | 操作系统日志 | Audit Log Initialized | 审计日志出现初始化的事件报警 | |
10.2.7 系统级对象的创建和删除 | 操作系统日志 | Suspicious Activity - Excessive File Creations | 1分钟内PCI系统上创建了5各个以上文件的事件报警 | |
Suspicious Activity - Excessive File Deletions | 1分钟内PCI系统上删除了5各个以上文件的事件报警 | |||
Suspicious Activity - Excessive File Modifications | 1分钟内PCI系统上修改了5各个以上文件的事件报警 | |||
10.5.3 即时将检查记录文件备份到难以更改的中央日志服务器或媒介中。 | 所有日志 | System Not Sending Logs | 24小时内无日志接收报警 | |
10.5.5 对日志使用文件完整性监控或变更检测软件可确保未生成警报时无法变更现有日志数据(虽然新增数据不应生成警 报)。 | Windows日志 | Audit Log Modified / Cleared | 出现日志清除行为报警 | |
11.2 至少每个季度运行一次内部和外部网络漏洞扫描,并且在网络有任何重大变化(例如安装新的系统组件,更改网络拓朴,修改防火墙规则,产品升级)时也运行漏洞扫描。 | 弱点扫描日志 | Vulnerabilities on PCI System - High or Critical | PCI系统出现高等级风险漏洞的日志报表 | |
11.4 利用入侵检测和/或入侵防御技术来检测和/或防御网络入侵。监控持卡人数据环境周围以及持卡人数据环境中关键点的所有流量,并警示工作人员注意可疑威胁。 | IDS日志 | IDS - PCI Asset as Attacker | IDS报出的攻击事件且源自PCI系统事件报警 | |
弱点扫描日志 IDS日志 | IDS - Attack Success | IDS报出的目标地址有匹配攻击手段的弱点 | ||
IDS日志 | IDS - TCP/UDP Host Scan from PCI System | IDS报出TCP/UDP主机水平扫描事件报警 | ||
IDS - TCP/UDP Port Scan from PCI System | IDS报出TCP/UDP端口垂直扫描事件报警 | |||
IDS - POS Attack | IDS报出源自或目标为POS系统的事件报警 | |||
IDS日志 操作系统日志 | IDS - Correlated IDS Event | 30分钟内源地址IDS系统报过高等级的攻击事件而又成功登录了PCI系统的事件报警 | ||
以下是企业常见的SIEM相关安全检测的UseCase样例,仅供参考。
# | 使用案例 | 日志源 | 分解说明 |
1 | 能够侦测开发测试人员访问生产环境 | 各区域的边界防火墙访问日志 操作系统的登录日志 堡垒机登录日志 |
|
2 | 能够发现核心应用和数据库特权账号异常修改和变更 | 核心应用变更类日志 数据库特权操作日志 关键表及字段定义 |
|
3 | 侦测跳过堡垒机的违规行为 | 堡垒机保护区域的边界防火墙访问通过日志; 堡垒机保护区域操作系统登录日志 |
|
4 | 侦测多人使用相同堡垒机帐号 | 堡垒机系统登录登出日志 |
|
5 | 侦测VPN 帐号盗用 | VPN登录日志 |
|
6 | 侦测违反 4A 政策 | 堡垒机系统操作日志 堡垒机操作规范 |
|
7 | 侦测不明帐号系统提权高权限帐号 | 操作系统审计日志 |
|
8 | 侦测非授权用户新增、修改和删除帐号警示 | 操作系统审计日志 |
|
9 | 能够侦测蠕虫病毒爆发 | IDS、IPS日志 防火墙日志 |
|
10 | 能够侦测内部僵尸主机连接外部网络 | 防火墙日志 IDS、IPS日志 代理服务器日志 IOC黑名单 开源的已知Botnet CNC地址列表 |
|
11 | 能够侦测外部僵尸网络连接内部主机 | 防火墙日志 IDS、IPS日志 代理服务器日志 IOC黑名单 开源的已知Botnet CNC地址列表 |
|
12 | 能够侦测非授权的服务重启 | 操作系统系统类日志 堡垒机登录日志 |
|
13 | 能够侦测开发测试人员访问生产环境 | 各区域的边界防火墙访问日志 操作系统的登录日志 堡垒机登录日志 |
|
14 | 能够侦测违法修改特权帐号密码 | 操作系统审计类日志 堡垒机登录日志 |
|
15 | 能够侦测非工作时间特权账号异动 | 非工作时间段定义列表 操作系统审计类日志 应用系统操作日志 堡垒机操作日志 |
|
16 | 能够侦测服务器出现不明端口 | 服务器区防火墙访问日志 服务器区IDS、IPS日志 |
|
17 | 发现新增互联网出口并告警 | 互联网边界防火墙 |
|
18 | 发现同一地址泄露多种敏感数据并告警 | DLP报警日志 互联网边界代理服务器 |
|
19 | 支持对账号密码未定时更新的合规性报表 | 所有账号列表基线 操作系统审计日志 |
|
20 | 支持对过期账号密码未定时更新的合规性报表 | 所有账号列表基线 操作系统审计日志 |
|
21 | 能够侦测DOS拒绝服务攻击 | DDOS检测设备 互联网边界防火墙 |
|
22 | 支持僵尸网路连线侦测 | 防火墙日志 IDS、IPS日志 代理服务器日志 IOC黑名单 开源的已知Botnet CNC地址列表 |
|
23 | 能够侦测暴力破解入侵 | IDS、IPS日志 操作系统升级日志 |
|
24 | 支持对利用系统漏洞的攻击检测 | IDS、IPS日志 弱点扫描器日志 |
|
25 | 能够侦测互联网漏洞扫描攻击 | IDS、IPS日志 边界防火墙访问日志 |
|
26 | 支持外网渗透攻击检测 | IDS、IPS日志 边界防火墙访问日志 |
|
27 | 能够侦测对外部网站可能成功的攻击 | IIS或Apache的访问日志 WAF日志 |
|
28 | 能够侦测无业务网络国外主机连接内部主机 | 边界防火墙访问日志 |
|
声明:本文来自君哥的体历,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
