Vaak hebben SIEM oplossingen de mogelijkheid om logdata van andere informatiesystemen aan te sluiten zonder dat het informatiesysteem officieel ondersteund is. Hierdoor heb je weliswaar centraal de data opgeslagen waar je ook queries op kunt uitvoeren, echter zul je wel zelf alarmen moeten aanmaken. Ook zal bijzonder gedrag van een specifieke gebruiker of systeem op basis van informatie uit de log niet worden meegenomen in het standaard alarmeringsmodel van de SIEM.
Het team van InsightIDR heeft hier iets voor bedacht, namelijk de Universal Event Format (UEF) logbron. Dit is een logbron die alleen logdata volgens een vastgelegd formaat accepteert. Hierdoor weet InsightIDR precies wat de context is van een log en kan deze ook meegenomen worden in het User Behaviour Analytics (UBA) model. Zodoende zal deze UEF logbron ook in staat zijn om de ingebouwde UBA alerts af te laten gaan en bijzonder/afwijkend gedrag te registreren als Notable Behavior.
Een UBA alert kijkt naar het gedrag van een gebruiker en kan dit correleren over meerdere logbronnen. Als voorbeeld zien we in het volgende Multiple Country Alert dat een gebruiker binnen een zeer korte tijd uit twee verschillende landen heeft aangemeld vanuit twee verschillende logbronnen.
Multiple country alert binnen insightIDR
Detail weergaven van Multiple country alert
De Azure logbron is een ondersteunde logbron binnen InsightIDR, echter is 1Password op dit moment niet ondersteund door InsightIDR. Dankzij het UEF formaat ontstaat er de mogelijkheid om de 1Password aanmeldpogingen ook mee te nemen in de alarmering van InsightIDR. Deze worden dan automatisch toegepast op alarmen gerelateerd aan het authentiseren op vanaf buitenaf benaderbare services.
Een ander voorbeeld is het transformeren van de log zodat het herkend wordt als een VPN event. Zodoende helpen we InsightIDR met de correlatie tussen een IP en een gebruiker.
In het onderstaande voorbeeld zien we een authenticatie log van een VPN client (192.168.80.4) welke authentiseert naar een machine genaamd ‘idr’ met het root account.
In dit voorbeeld zien we niet direct terug welke gebruiker deze actie heeft geïnitieerd.
Door een VPN UEF event te benutten, specificeren wij aan InsightIDR welke VPN IP is uitgereikt aan welke gebruiker.
Dankzij de UEF is het account toegevoegd aan de log
Wanneer deze VPN IP in de log wordt geobserveerd zal InsightIDR hier een relatie kunnen leggen tot de gebruiker. Zodoende kan bijvoorbeeld een SOC-analist in één opslag zien welke gebruiker deze authenticatie heeft geïnitieerd.
De volledige authenticatielog na het toepassen van UEF
Met behulp van een automatiseringstool (bijvoorbeeld InsightConnect) kan de data opgehaald, getransformeerd en verzonden worden naar InsightIDR in het UEF formaat.
De UEF logbron is beschikbaar voor aanmeldingen op een informatiesysteem vanaf het publieke internet (bijv: 1Password, Beyondtrust) voor gedragingen omtrent authenticaties. Daarnaast ondersteunt het ook VPN en DHCP events (bijv: Azure VPN) om de correlatie tussen een systeem en een gebruiker te leggen. Aanvullend hierop kunnen antivirus events (bijv: Secureworks) worden aangesloten, zodat ze voor een alarm kunnen zorgen. Het is ook mogelijk om deze als Noteable Behaviour te laten registreren zodat dit terug te zien is in de lijst met meest Risky Users. Dit geeft je sneller inzicht in bijzonder gedrag binnen omgevingen.
Lijst van Risky users
Wil je inspiratie opdoen? In een vervolgblog zal er gekeken worden hoe 1Password als UEF kan worden aangesloten.
Meer weten over het koppelen van niet ondersteunde logbronnen aan InsightIDR? Neem dan contact op met onze specialisten die je verder kunnen helpen.
Vanwege de toenemende afhankelijkheid van technologie in onze samenleving streeft de Europese Unie naar een Europees cybersecuritybeleid.
DTX uitgeroepen door Rapid7 als EMEA Vulnerability Management Partner van 2024!
In deze blog wordt uitgelegd hoe je 1Password kan aansluiten aan InsightIDR met de kracht van Insightconnect.
Vanwege de toenemende afhankelijkheid van technologie in onze samenleving streeft de Europese Unie naar een Europees cybersecuritybeleid.
Phishing is een (groeiend) probleem voor veel organisaties, met de juiste kennis kun je een phishing e-mail goed herkennen.
Een proces waarin je controle hebt over de patches en updates die benodigd zijn om de organisatie veilig te houden.
En wat dient er dan in zo’n informatiebeveiligingsbeleid te staan?
