Vaak hebben SIEM oplossingen de mogelijkheid om logdata van andere informatiesystemen aan te sluiten zonder dat het informatiesysteem officieel ondersteund is. Hierdoor heb je weliswaar centraal de data opgeslagen waar je ook queries op kan uitvoeren, echter zul je wel zelf alarmen moeten aanmaken. Ook zal bijzonder gedrag van een specifieke gebruiker of systeem op basis van informatie uit de log niet worden meegenomen in het standaard alarmeringsmodel van de SIEM.
Het team van InsightIDR heeft hier iets voor bedacht, namelijk de Universal Event Format (UEF) logbron. Dit is een logbron welke alleen logdata volgens een vastgelegd formaat accepteert. Hierdoor weet InsightIDR precies wat de context is van een log en kan deze ook meegenomen worden in het User Behaviour Analytics (UBA) model. Zodoende zal deze UEF logbron ook in staat zijn om de ingebouwde UBA alerts af te laten gaan en bijzonder/afwijkend gedrag te registreren als Noteable behaviour.
Het gebruik van Universal Event Format binnen InsightIDR
Een UBA alert kijkt naar het gedrag van een gebruiker en kan dit correleren over meerdere logbronnen. Als voorbeeld zien we in het volgende Multiple country alert dat een gebruiker binnen een zeer korte tijd uit twee verschillende landen heeft aangemeld vanuit twee verschillende logbronnen.
De Azure logbron is een ondersteunde logbron binnen InsightIDR, echter is 1Password op dit moment niet ondersteund door InsightIDR. Dankzij het UEF formaat ontstaat er de mogelijkheid om de 1Password aanmeldpogingen ook mee te nemen in de alarmering van InsightIDR. Deze worden dan automatisch toegepast op alarmen gerelateerd aan het authentiseren op vanaf buitenaf benaderbare services.
Een ander voorbeeld is het transformeren van de log zodat het herkend wordt als een VPN event. Zodoende helpen we InsightIDR met de correlatie tussen een IP en een gebruiker.
In het onderstaande voorbeeld zien we een authenticatie log van een VPN client (192.168.80.4) welke authentiseert naar een machine genaamd ‘idr’ met het root account.
Door een VPN UEF event te benutten, specificeren wij aan InsightIDR welke VPN IP is uitgereikt aan welke gebruiker.
Wanneer deze VPN IP in de log wordt geobserveerd zal InsightIDR hier een relatie kunnen leggen tot de gebruiker. Zodoende kan bijvoorbeeld een SOC-analist in één opslag zien welke gebruiker deze authenticatie heeft geïnitieerd.
Met behulp van een automatiseringstool (bijvoorbeeld InsightConnect) kan de data opgehaald, getransformeerd en verzonden worden naar InsightIDR in het UEF formaat.
Wat is er meer mogelijk met UEF
De UEF logbron is beschikbaar voor aanmeldingen op een informatiesysteem vanaf het publieke internet (bijv: 1Password, Beyondtrust) voor gedragingen omtrent authenticaties. Daarnaast ondersteunt het ook VPN en DHCP events (bijv: Azure VPN) om de correlatie tussen een systeem en een gebruiker te leggen. Aanvullend hierop kunnen antivirus events (bijv: Secureworks) worden aangesloten, zodat ze voor een alarm kunnen zorgen. Het is ook mogelijk om deze als Noteable Behaviour te laten registreren zodat dit terug te zien is in de lijst met meest Risky Users. Dit geeft je sneller inzicht in bijzonder gedrag binnen omgevingen.
Wil je inspiratie opdoen? In een vervolgblog zal er gekeken worden hoe 1Password als UEF kan worden aangesloten.
Meer weten over het koppelen van niet ondersteunde logbronnen aan InsightIDR? Neem dan contact op met onze specialisten die je verder kunnen helpen.
