Mitä tarkoittaa hälytykset tietoturvavalvonnassa?
OIemme nyt käsitelleet useita keskeisiä tietoturvavalvonnan osa-alueita, kuten mitä lokilähteet ovat, minkälaisia lokilähteitä on olemassa, kuinka tietoverkkoja voidaan valvoa IDS/IPS ohjelmistoilla ja miten lokilähteitä voidaan tallentaa ja analysoida SIEM -ohjelmistossa.
Tämä ei kuitenkaan vielä riitä. Oikeassa maailmassa ei usein ole aikaa lähteä etsimään esimerkiksi uhkia käsin lokeja tonkimalla vaan tyypillisesti organisaatiot luovat sääntöjä, joiden pohjalta voidaan tehdä hälytyksiä. Esimerkiksi sääntö voisi olla "Hälytä, jos käyttäjä yrittää kirjautua sisään epätavallisella IP-osoitteella" tai "Hälytä, jos palomuuri havaitsee epäilyttävän suuren määrän verkkoliikennettä yhdeltä IP-osoitteelta".
Usein on myös erittäin tärkeää rikastaa jo olemassa olevaa lokia käyttämällä muita saatavilla olevia tietoja, jotta näistä valtavista lokiviidakoista saadaan tuotettua konkreettista tietoa.
Datan rikastaminen
Datan rikastaminen tarkoittaa lisätietojen keräämistä ja integrointia lokiin, jotta SIEM-järjestelmä pystyy paremmin ymmärtämään ja arvioimaan tapahtumien merkitystä. Tämä voi sisältää esimerkiksi IP-osoitteiden muuttamisen maantieteellisiksi sijainneiksi, käyttäjätunnusten yhdistämisen organisaation käyttäjiin tai tunnistetietojen lisäämisen tapahtumiin. Näin rikastettu data mahdollistaa tarkemman analyysin ja hälytysten tehokkaamman priorisoinnin.
Esimerkiksi, jos SIEM-järjestelmä havaitsee epätavallisen kirjautumisen sisäänkirjautumisyrityksen, se voi rikastaa tapahtuman lisätiedoilla, kuten käyttäjän sijainnilla, kirjautumisen yrityspäivämäärällä ja aikaleimalla sekä käyttäjän tyypillä. Näiden tietojen avulla järjestelmä voi tuottaa tarkan hälytyksen ja arvioida sen vakavuutta automaattisesti, mikä auttaa tietoturvatiimiä reagoimaan nopeasti ja asianmukaisesti.
Mitä jää jäljelle?
Kun nämä kaikki vaiheet ovat niin sanotusti reilassa, niin jäljelle ei jää kuin tarkkailla hälytyksiä ja kun näitä ilmenee, niin voidaan sitten lähteä tutkimaan lokeja tarkemmin / reagoimaan vaaditulla tavalla.
Valmis ryhtymään eettiseksi hakkeriksi?
Aloita jo tänään.
Hakatemian jäsenenä saat rajoittamattoman pääsyn Hakatemian moduuleihin, harjoituksiin ja työkaluihin, sekä pääset discord-kanavalle jossa voit pyytää apua sekä ohjaajilta että muilta Hakatemian jäseniltä.