Haal meer uit InsightIDR met het Universal Event Format

Vaak hebben SIEM oplossingen de mogelijkheid om logdata van andere informatiesystemen aan te sluiten zonder dat het informatiesysteem officieel ondersteund is. Hierdoor heb je weliswaar centraal de data opgeslagen waar je ook queries op kan uitvoeren, echter zul je wel zelf alarmen moeten aanmaken. Ook zal bijzonder gedrag van een specifieke gebruiker of systeem op basis van informatie uit de log niet worden meegenomen in het standaard alarmeringsmodel van de SIEM.

Het team van InsightIDR heeft hier iets voor bedacht, namelijk de Universal Event Format (UEF) logbron. Dit is een logbron welke alleen logdata volgens een vastgelegd formaat accepteert. Hierdoor weet InsightIDR precies wat de context is van een log en kan deze ook meegenomen worden in het User Behaviour Analytics (UBA) model. Zodoende zal deze UEF logbron ook in staat zijn om de ingebouwde UBA alerts af te laten gaan en bijzonder/afwijkend gedrag te registreren als Noteable behaviour.

Het gebruik van Universal Event Format binnen InsightIDR

Een UBA alert kijkt naar het gedrag van een gebruiker en kan dit correleren over meerdere logbronnen. Als voorbeeld zien we in het volgende Multiple country alert dat een gebruiker binnen een zeer korte tijd uit twee verschillende landen heeft aangemeld vanuit twee verschillende logbronnen.

Multiple country alert binnen insightIDR
Multiple country alert binnen insightIDR
Detail weergaven van Multiple country alert
Detail weergaven van Multiple country alert

De Azure logbron is een ondersteunde logbron binnen InsightIDR, echter is 1Password op dit moment niet ondersteund door InsightIDR. Dankzij het UEF formaat ontstaat er de mogelijkheid om de 1Password aanmeldpogingen ook mee te nemen in de alarmering van InsightIDR. Deze worden dan automatisch toegepast op alarmen gerelateerd aan het authentiseren op vanaf buitenaf benaderbare services.

Een ander voorbeeld is het transformeren van de log zodat het herkend wordt als een VPN event. Zodoende helpen we InsightIDR met de correlatie tussen een IP en een gebruiker.

In het onderstaande voorbeeld zien we een authenticatie log van een VPN client (192.168.80.4) welke authentiseert naar een machine genaamd ‘idr’ met het root account.

In dit voorbeeld zien we niet direct terug welke gebruiker deze actie heeft geïnitieerd.
In dit voorbeeld zien we niet direct terug welke gebruiker deze actie heeft geïnitieerd.

Door een VPN UEF event te benutten, specificeren wij aan InsightIDR welke VPN IP is uitgereikt aan welke gebruiker.

Dankzij de UEF is het account toegevoegd aan de log

Wanneer deze VPN IP in de log wordt geobserveerd zal InsightIDR hier een relatie kunnen leggen tot de gebruiker. Zodoende kan bijvoorbeeld een SOC analist in één opslag zien welke gebruiker deze authenticatie heeft geïnitieerd.

De volledige authenticatielog na het toepassen van UEF

Met behulp van een automatiseringstool (bijvoorbeeld InsightConnect) kan de data opgehaald, getransformeerd en verzonden worden naar InsightIDR in het UEF formaat.

Wat is er meer mogelijk met UEF

De UEF logbron is beschikbaar voor aanmeldingen op een informatiesysteem vanaf het publieke internet (bijv: 1Password, Beyondtrust) voor gedragingen omtrent authenticaties. Daarnaast ondersteunt het ook VPN en DHCP events (bijv: Azure VPN) om de correlatie tussen een systeem en een gebruiker te leggen. Aanvullend hierop kunnen antivirus events (bijv: Secureworks) worden aangesloten, zodat ze voor een alarm kunnen zorgen. Het is ook mogelijk om deze als Noteable Behaviour te laten registreren zodat dit terug te zien is in de lijst met meest Risky Users. Dit geeft je sneller inzicht in bijzonder gedrag binnen omgevingen.

Lijst van Risky users
Lijst van Risky users

Wil je inspiratie opdoen? In een vervolgblog zal er gekeken worden hoe 1Password als UEF kan worden aangesloten.

Meer weten over het koppelen van niet ondersteunde logbronnen aan InsightIDR? Neem dan contact op met onze specialisten die je verder kunnen helpen.

Dit artikel werd geschreven door Ilyaaz Noerkhan, Security eXpert bij DTX uit Alkmaar, We make IT.

Ilyaaz Noerkhan

Security eXpert

We make IT

Wilt u een IT partner die met u mee denkt en het beste uit uw IT omgeving haalt?
Dan bent u bij Dutch Technology eXperts aan het juiste adres!

Bel mij voor een afspraak

We make IT

Wil jij een IT partner die met je mee denkt en het beste uit jouw IT omgeving haalt?
Dan ben je bij Dutch Technology eXperts aan het juiste adres!

Bel mij voor een afspraak