Haal meer uit InsightIDR met het Universal Event Format

Haal-meer-uit-InsightIDR-met-het-Universal-Event-Format

Vaak hebben SIEM oplossingen de mogelijkheid om logdata van andere informatiesystemen aan te sluiten zonder dat het informatiesysteem officieel ondersteund is. Hierdoor heb je weliswaar centraal de data opgeslagen waar je ook queries op kan uitvoeren, echter zul je wel zelf alarmen moeten aanmaken. Ook zal bijzonder gedrag van een specifieke gebruiker of systeem op basis van informatie uit de log niet worden meegenomen in het standaard alarmeringsmodel van de SIEM.

Het team van InsightIDR heeft hier iets voor bedacht, namelijk de Universal Event Format (UEF) logbron. Dit is een logbron welke alleen logdata volgens een vastgelegd formaat accepteert. Hierdoor weet InsightIDR precies wat de context is van een log en kan deze ook meegenomen worden in het User Behaviour Analytics (UBA) model. Zodoende zal deze UEF logbron ook in staat zijn om de ingebouwde UBA alerts af te laten gaan en bijzonder/afwijkend gedrag te registreren als Noteable behaviour.

Het gebruik van Universal Event Format binnen InsightIDR

Een UBA alert kijkt naar het gedrag van een gebruiker en kan dit correleren over meerdere logbronnen. Als voorbeeld zien we in het volgende Multiple country alert dat een gebruiker binnen een zeer korte tijd uit twee verschillende landen heeft aangemeld vanuit twee verschillende logbronnen.

Multiple country alert binnen insightIDR
Multiple country alert binnen insightIDR
Detail weergaven van Multiple country alert
Detail weergaven van Multiple country alert

De Azure logbron is een ondersteunde logbron binnen InsightIDR, echter is 1Password op dit moment niet ondersteund door InsightIDR. Dankzij het UEF formaat ontstaat er de mogelijkheid om de 1Password aanmeldpogingen ook mee te nemen in de alarmering van InsightIDR. Deze worden dan automatisch toegepast op alarmen gerelateerd aan het authentiseren op vanaf buitenaf benaderbare services.

Een ander voorbeeld is het transformeren van de log zodat het herkend wordt als een VPN event. Zodoende helpen we InsightIDR met de correlatie tussen een IP en een gebruiker.

In het onderstaande voorbeeld zien we een authenticatie log van een VPN client (192.168.80.4) welke authentiseert naar een machine genaamd ‘idr’ met het root account.

In dit voorbeeld zien we niet direct terug welke gebruiker deze actie heeft geinitieerd
In dit voorbeeld zien we niet direct terug welke gebruiker deze actie heeft geïnitieerd.

Door een VPN UEF event te benutten, specificeren wij aan InsightIDR welke VPN IP is uitgereikt aan welke gebruiker.

Dankzij de UEF is het account toegevoegd aan de log
Dankzij de UEF is het account toegevoegd aan de log

Wanneer deze VPN IP in de log wordt geobserveerd zal InsightIDR hier een relatie kunnen leggen tot de gebruiker. Zodoende kan bijvoorbeeld een SOC-analist in één opslag zien welke gebruiker deze authenticatie heeft geïnitieerd.

De volledige authenticatielog na het toepassen van UEF
De volledige authenticatielog na het toepassen van UEF

Met behulp van een automatiseringstool (bijvoorbeeld InsightConnect) kan de data opgehaald, getransformeerd en verzonden worden naar InsightIDR in het UEF formaat.

Wat is er meer mogelijk met UEF

De UEF logbron is beschikbaar voor aanmeldingen op een informatiesysteem vanaf het publieke internet (bijv: 1Password, Beyondtrust) voor gedragingen omtrent authenticaties. Daarnaast ondersteunt het ook VPN en DHCP events (bijv: Azure VPN) om de correlatie tussen een systeem en een gebruiker te leggen. Aanvullend hierop kunnen antivirus events (bijv: Secureworks) worden aangesloten, zodat ze voor een alarm kunnen zorgen. Het is ook mogelijk om deze als Noteable Behaviour te laten registreren zodat dit terug te zien is in de lijst met meest Risky Users. Dit geeft je sneller inzicht in bijzonder gedrag binnen omgevingen.

Lijst van Risky users
Lijst van Risky users

Wil je inspiratie opdoen? In een vervolgblog zal er gekeken worden hoe 1Password als UEF kan worden aangesloten.

Meer weten over het koppelen van niet ondersteunde logbronnen aan InsightIDR? Neem dan contact op met onze specialisten die je verder kunnen helpen.

Nieuwsbrief

Maandelijks op de hoogte gehouden worden van ontwikkelingen in de markt en de diensten van DTX.

Name(Vereist)
Recente artikelen
Wat betekent de NIS2-richtlijn voor uw organisatie?

Wat betekent de NIS2-richtlijn voor uw organisatie?

Vanwege de toenemende afhankelijkheid van technologie in onze samenleving streeft de Europese Unie naar een Europees cybersecuritybeleid.
Klanten van DTX supporten HackShield

Klanten van DTX supporten HackShield

Zoals inmiddels breder bekend is DTX betrokken bij het initiatief van HackShield. Een supergaaf initiatief die jonge kinderen op een spelende manier cyberweerbaar maakt.
Fijne feestdagen

Fijne feestdagen

Voor 2023 wensen wij jullie toe dat jullie dromen uitkomen en dat we er met elkaar weer een geweldig jaar van mogen maken!