{"id":11161,"date":"2020-11-13T16:16:51","date_gmt":"2020-11-13T15:16:51","guid":{"rendered":"https:\/\/relnet.hu\/?p=11161"},"modified":"2020-11-17T16:18:07","modified_gmt":"2020-11-17T15:18:07","slug":"indikatorok-hasznalata-a-biztonsagi-tamadasok-kivedesere-a-manageengine-log360-siem-rendszerenek-alkalmazasaval","status":"publish","type":"post","link":"https:\/\/relnet.hu\/en\/indikatorok-hasznalata-a-biztonsagi-tamadasok-kivedesere-a-manageengine-log360-siem-rendszerenek-alkalmazasaval\/","title":{"rendered":"Indik\u00e1torok haszn\u00e1lata a biztons\u00e1gi t\u00e1mad\u00e1sok kiv\u00e9d\u00e9s\u00e9re a ManageEngine Log360 SIEM rendszer\u00e9nek alkalmaz\u00e1s\u00e1val"},"content":{"rendered":"<p>A rendszerfelt\u00f6r\u00e9sek \u00e9s a kifinomult t\u00e1mad\u00e1sok sz\u00e1ma manaps\u00e1g egyre n\u00f6vekszik, ezzel \u00f6szt\u00f6n\u00f6zve a biztons\u00e1gi inform\u00e1ci\u00f3k \u00e9s esem\u00e9nyek kezel\u00e9s\u00e9nek (SIEM) folyamatos fejleszt\u00e9s\u00e9t.<\/p>\n<p>Ezen fejlett t\u00e1mad\u00e1sok elleni tov\u00e1bbi k\u00fczdelem \u00e9rdek\u00e9ben a biztons\u00e1gi inform\u00e1ci\u00f3s platformokat \u00e9s megold\u00e1sokat a gy\u00e1rt\u00f3k, k\u00f6zt\u00fck a ManageEngine is, meger\u0151s\u00edtett\u00e9k.<\/p>\n<p>A t\u00e1mad\u00e1scs\u00f6kkent\u0151 technik\u00e1k fejleszt\u00e9se sz\u00e1mos \u00faj param\u00e9tert eredm\u00e9nyezett, amelyek kor\u00e1n \u00e9szlelik a lehets\u00e9ges fenyeget\u00e9seket \u00e9s t\u00e1mad\u00e1si mint\u00e1kat.<\/p>\n<p>\n<\/p>\n<h5>Indik\u00e1torok \u00e9s alkalmaz\u00e1suk<\/h5>\n<p>K\u00e9t olyan indik\u00e1tor is van, amelyek seg\u00edtenek a t\u00e1mad\u00e1sok azonnali \u00e9szlel\u00e9s\u00e9ben \u00e9s azonos\u00edt\u00e1s\u00e1ban m\u00e9g a k\u00e1rokoz\u00e1s el\u0151tt. Ezek a k\u00f6vetkez\u0151k:<\/p>\n<p>\u2022 A kompromitt\u00e1lts\u00e1g indik\u00e1torai (indicators of compromise, IoCs)<\/p>\n<p>Az IoC olyan forenzik\u00e1t jelent &#8211; p\u00e9ld\u00e1ul a rendszer napl\u00f3bejegyz\u00e9seiben vagy f\u00e1jlokban tal\u00e1lhat\u00f3 adatokat -, amelyek a rendszerben vagy a h\u00e1l\u00f3zatban egy\u00e9rtelm\u0171en k\u00e1rt\u00e9kony tev\u00e9kenys\u00e9get azonos\u00edtanak.<\/p>\n<p>\n\u2022 A t\u00e1mad\u00e1s indik\u00e1torait (indicators of attack, IoAs)<\/p>\n<p>Az IoA viszont olyan gyan\u00fas, potenci\u00e1lisan vesz\u00e9lyes esem\u00e9nyeket takar, melyeket korai \u00e9szlel\u00e9st k\u00f6vet\u0151en a biztons\u00e1gi eszk\u00f6z\u00f6k \u00e9rt\u00e9kelnek.<\/p>\n<h5>A biztons\u00e1gi t\u00e1mad\u00e1sok t\u00edpusai \u00e9s felismer\u00e9s\u00fck<\/h5>\n<p>\nA biztons\u00e1gi t\u00e1mad\u00e1sok nagyj\u00e1b\u00f3l k\u00e9t t\u00edpusba sorolhat\u00f3k:<\/p>\n<p>\u2022 Az \u00fczleti tev\u00e9kenys\u00e9get megzavar\u00f3 t\u00e1mad\u00e1sok<\/p>\n<p>Ezek v\u00e9gpontv\u00e9delmi rendszerek megker\u00fcl\u00e9s\u00e9re \u00e9s az er\u0151forr\u00e1sok irrelev\u00e1ns forgalommal val\u00f3 el\u00e1raszt\u00e1s\u00e1ra koncentr\u00e1lnak, az informatikai rendszerek folyamatos m\u0171k\u00f6d\u00e9s\u00e9nek akad\u00e1lyoz\u00e1sa a c\u00e9ljuk. Ilyenek p\u00e9ld\u00e1ul a DDoS-t\u00e1mad\u00e1sok, amelyek egy e-keresked\u00e9s vagy egy bank webes szolg\u00e1ltat\u00e1s\u00e1nak ellehetetlen\u00edt\u00e9s\u00e9re ir\u00e1nyulnak.<\/p>\n<p>\u2022 Bizalmas inform\u00e1ci\u00f3k megszerz\u00e9s\u00e9re ir\u00e1nyul\u00f3 t\u00e1mad\u00e1sok<\/p>\n<p>\nItt az adatok ellop\u00e1s\u00e1ra, a bizalmas inform\u00e1ci\u00f3k megszerz\u00e9s\u00e9re \u00f6sszpontos\u00edt a kritikus er\u0151forr\u00e1sokhoz t\u00f6rt\u00e9n\u0151 illet\u00e9ktelen hozz\u00e1f\u00e9r\u00e9s r\u00e9v\u00e9n.<\/p>\n<p>T\u00edpus\u00e1t\u00f3l f\u00fcggetlen\u00fcl minden t\u00e1mad\u00e1s nyomot hagy, amelyet indik\u00e1tork\u00e9nt ismer\u00fcnk. Ezeknek az indik\u00e1toroknak az \u00e9rtelmez\u00e9se seg\u00edti a biztons\u00e1gi szakembereket a v\u00e9dekez\u00e9sben.<\/p>\n<p>A kompromitt\u00e1lts\u00e1gi szakaszban a t\u00e1mad\u00e1s m\u00e1r kider\u00fclt, lehet\u0151v\u00e9 t\u00e9ve annak \u00e9szlel\u00e9s\u00e9t. Az ilyen t\u00edpus\u00fa t\u00e1mad\u00e1sok azonnal felismerhet\u0151k a megfelel\u0151 IoC riaszt\u00e1si profilok konfigur\u00e1l\u00e1s\u00e1val:<\/p>\n<p>\u2022 Jogosulatlan hozz\u00e1f\u00e9r\u00e9si k\u00eds\u00e9rletek a kritikus adatb\u00e1zisokhoz<\/p>\n<p>\u2022 Az adatb\u00e1zisban v\u00e9grehajtott jogosulatlan m\u00e1sol\u00e1si m\u0171veletek<\/p>\n<p>\u2022 A t\u00e1mad\u00f3 megpr\u00f3b\u00e1l f\u00e1jlokat felt\u00f6lteni vagy \u00e1thelyezni egy illet\u00e9ktelen felh\u0151alap\u00fa webhelyre<\/p>\n<p>A t\u00e1mad\u00e1s felfedez\u00e9s\u00e9nek sikere az egyes IoC-k \u00e9rv\u00e9nyes\u00edt\u00e9s\u00e9t\u0151l f\u00fcgg, \u00e9s att\u00f3l, hogy a biztons\u00e1gi rendszer milyen \u00f6sszef\u00fcgg\u00e9seket tal\u00e1l az egyes esem\u00e9nyek k\u00f6z\u00f6tt. A rendszergazd\u00e1knak vizsg\u00e1lniuk kell a saj\u00e1tos t\u00e1mad\u00e1si mint\u00e1kat, \u00e9s meg kell hat\u00e1rozniuk azok jellemz\u0151it. Ezt k\u00f6vet\u0151en proakt\u00edv m\u00f3don k\u00e9pesek elh\u00e1r\u00edtani minden hasonl\u00f3 t\u00e1mad\u00e1st.<\/p>\n<p>A t\u00e1mad\u00e1sok azonban \u00e1ltal\u00e1ban nem ennyire \u00e1rulkod\u00f3ak. Ezt szem el\u0151tt tartva a rendszergazd\u00e1knak csapd\u00e1kat kell fel\u00e1ll\u00edtaniuk olyan korrel\u00e1ci\u00f3s szab\u00e1lyok meghat\u00e1roz\u00e1s\u00e1val, amelyek a t\u00e1mad\u00e1smint\u00e1ban minden lehets\u00e9ges m\u0171veletet lefednek.<\/p>\n<h5>Az indik\u00e1torok felder\u00edt\u00e9se \u00e9s b\u0151v\u00edt\u00e9se a Log360-nal<\/h5>\n<p>\nA Log360 be\u00e9p\u00edtett, val\u00f3s idej\u0171 esem\u00e9ny-felismer\u00e9si \u00e9s reag\u00e1l\u00e1si rendszerrel rendelkezik, amely \u00e9szleli az IoC-ket, valamint egy korrel\u00e1ci\u00f3s motorral seg\u00edti a t\u00e1mad\u00e1si indik\u00e1torok (IoA) b\u0151v\u00edt\u00e9s\u00e9t. A megold\u00e1s tov\u00e1bbi IP-fenyeget\u00e9si adatb\u00e1zist is tartalmaz, amely t\u00f6bb mint 600 milli\u00f3 rosszindulat\u00fa IP-c\u00edmet foglal mag\u00e1ba. Amikor ezen IP-c\u00edmek b\u00e1rmelyik\u00e9b\u0151l \u00e9rkez\u0151 forgalom el\u00e9ri a h\u00e1l\u00f3zat er\u0151forr\u00e1sait, a biztons\u00e1gi rendszergazd\u00e1k azonnal \u00e9rtes\u00edt\u00e9st kapnak, \u00edgy a Log360-nal ak\u00e1r konfigur\u00e1lhatnak is egy egy\u00e9ni szkriptet, amely blokkolja ezt az IP-c\u00edmet.<\/p>\n<h5>Val\u00f3s idej\u0171 esem\u00e9ny-v\u00e1lasz rendszer<\/h5>\n<p>\nA Log360 t\u00f6bb mint 700 el\u0151re elk\u00e9sz\u00edtett riaszt\u00e1si profillal rendelkezik, amelyek a k\u00fcl\u00f6nb\u00f6z\u0151 IoC-k alapos tanulm\u00e1nyoz\u00e1s\u00e1n alapulnak.<\/p>\n<p>A rendszergazd\u00e1k enged\u00e9lyezhetik a h\u00e1l\u00f3zati k\u00f6rnyezet\u00fck szempontj\u00e1b\u00f3l relev\u00e1ns riaszt\u00e1si profilokat a t\u00e1mad\u00e1sok azonnali \u00e9szlel\u00e9s\u00e9hez. Minden IoC esem\u00e9nyr\u0151l a rendszergazd\u00e1k val\u00f3s idej\u0171 \u00e9rtes\u00edt\u00e9seket kapnak e-mailben vagy SMS-ben, valamint r\u00e9szletes jelent\u00e9st kapnak az esem\u00e9nyr\u0151l, felgyors\u00edtva a t\u00e1mad\u00e1selh\u00e1r\u00edt\u00e1si folyamatot.<\/p>\n<p>Ezenk\u00edv\u00fcl a hamis pozit\u00edv eredm\u00e9nyek sz\u00e1m\u00e1nak cs\u00f6kkent\u00e9se \u00e9rdek\u00e9ben a Log360 mag\u00e1ban foglalja az esem\u00e9ny gyakoris\u00e1ga vagy id\u0151tartama alapj\u00e1n a riaszt\u00e1si profilok l\u00e9trehoz\u00e1s\u00e1t bizonyos eszk\u00f6z\u00f6k sz\u00e1m\u00e1ra.<\/p>\n<h5>Log360 jelent\u00e9sek<\/h5>\n<p>\nA Log360 r\u00e9szletes jelent\u00e9seket is szolg\u00e1ltat a kritikus adatb\u00e1zisokhoz val\u00f3 jogosulatlan hozz\u00e1f\u00e9r\u00e9si k\u00eds\u00e9rletekr\u0151l a k\u00f6vetkez\u0151k szerint:<\/p>\n<p>\u2022 Sikertelen bejelentkez\u00e9sek<\/p>\n<p>Ki pr\u00f3b\u00e1lkozott a bejelentkez\u00e9ssel, melyik IP-c\u00edmr\u0151l, mikor, \u00e9s az t\u00e1voli gazdag\u00e9pr\u0151l sz\u00e1rmazott-e.<\/p>\n<p>\u2022 Sikertelen bejelentkez\u00e9sek r\u00e9szletei<\/p>\n<p>Az \u00f6sszes bejelentkez\u00e9si hiba, bele\u00e9rtve a bejelentkez\u00e9s sikertelens\u00e9g\u00e9nek ok\u00e1t (p\u00e9ld\u00e1ul rossz jelsz\u00f3 vagy helytelen felhaszn\u00e1l\u00f3n\u00e9v miatt).<\/p>\n<p>A kritikus inform\u00e1ci\u00f3k enged\u00e9ly n\u00e9lk\u00fcli m\u00e1solata.<\/p>\n<p>\u2022 Adatmanipul\u00e1ci\u00f3 (DML) napl\u00f3z\u00e1sa<\/p>\n<p>Nyomon k\u00f6veti, hogy ki hajtott v\u00e9gre speci\u00e1lis lek\u00e9rdez\u00e9st az adatb\u00e1zisban, honnan \u00e9s mikor.<\/p>\n<p>\u2022 M\u00e1sol\u00e1si k\u00eds\u00e9rletek<\/p>\n<p>Meghat\u00e1rozza, hogy ki pr\u00f3b\u00e1lta \u00e1tm\u00e1solni az adatokat, valamint hov\u00e1 \u00e9s melyik g\u00e9pr\u0151l.<br \/>\njustify<br \/>\nno-repeat;left top;;<br \/>\nauto<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/relnet.hu\/wp-content\/uploads\/2020\/11\/2-min-2.png\" alt=\"2-min\" \/><br \/>\nGyan\u00fas tev\u00e9kenys\u00e9gek r\u00e9szletes elemz\u00e9se az adatb\u00e1zisban<br \/>\nrn-kep-kepala<\/p>\n<p>A gyan\u00fas tev\u00e9kenys\u00e9gek r\u00e9szletes elemz\u00e9se az adatb\u00e1zisban<br \/>\ncenter<br \/>\nno-repeat;left top;;<br \/>\nauto<\/p>\n<p>Ezek a r\u00e9szletek tov\u00e1bbi kontextust adnak a Log360 felhaszn\u00e1l\u00f3knak, ami seg\u00edts\u00e9get ny\u00fajt az incidensek fenyeget\u00e9sk\u00e9nt vagy t\u00e1mad\u00e1sk\u00e9nt t\u00f6rt\u00e9n\u0151 \u00e9rt\u00e9kel\u00e9s\u00e9ben.<\/p>\n<h5>Log360 szab\u00e1lyk\u00e9sz\u00edt\u0151<\/h5>\n<p>\nA Log360 lehet\u0151s\u00e9get ny\u00fajt a h\u00e1l\u00f3zat k\u00fcl\u00f6nb\u00f6z\u0151 esem\u00e9nyeinek \u00f6sszevet\u00e9s\u00e9re az ismert t\u00e1mad\u00e1si mint\u00e1k azonos\u00edt\u00e1sa \u00e9s \u00e9szlel\u00e9se \u00e9rdek\u00e9ben.<\/p>\n<p>A rendszergazd\u00e1k a Log360 seg\u00edts\u00e9g\u00e9vel egyedi korrel\u00e1ci\u00f3s szab\u00e1lyt hozhatnak l\u00e9tre, \u00edgy gyorsabban \u00e9szlelhetik a hasonl\u00f3 t\u00e1mad\u00e1sokat.<\/p>\n<p>A Log360 drag-and-drop korrel\u00e1ci\u00f3s szab\u00e1lyk\u00e9sz\u00edt\u0151j\u00e9vel a felhaszn\u00e1l\u00f3k egyszer\u0171en kiv\u00e1laszthatnak el\u0151re defini\u00e1lt m\u0171veleteket, \u00e9s l\u00e9trehozhatnak egy szab\u00e1lyt b\u00e1rmely t\u00e1mad\u00e1si mint\u00e1hoz.<\/p>\n<p>Ezenk\u00edv\u00fcl a felhaszn\u00e1l\u00f3k be\u00e1ll\u00edthatnak k\u00fcsz\u00f6b\u00e9rt\u00e9keket az egyes m\u0171veletekhez, hogy pontosan \u00e9szlelj\u00e9k a t\u00e1mad\u00e1si mint\u00e1kat \u00e9s id\u0151t takar\u00edtsanak meg a hamis pozit\u00edv eredm\u00e9nyek kivizsg\u00e1l\u00e1sa sor\u00e1n.<br \/>\njustify<br \/>\nno-repeat;left top;;<br \/>\nauto<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/relnet.hu\/wp-content\/uploads\/2020\/11\/3-min.png\" alt=\"3-min\" \/><br \/>\nrn-kep-kepala<\/p>\n<p>Log360 szab\u00e1lyk\u00e9sz\u00edt\u0151<br \/>\ncenter<br \/>\nno-repeat;left top;;<br \/>\nauto<\/p>\n<p>M\u00edg egyes t\u00e1mad\u00e1sokat kor\u00e1n fel lehet ismerni, a kifinomultabb t\u00e1mad\u00e1sok k\u00e9pesek k\u00e1rt okozni a biztons\u00e1gi rendszer megker\u00fcl\u00e9s\u00e9vel. Az IoC-k, mind az IoA-k egyidej\u0171 haszn\u00e1lat\u00e1ra a szervezett a nehezen felismerhet\u0151 t\u00e1mad\u00e1sok ellen is v\u00e9dett\u00e9 tehet\u0151.<\/p>\n<p>K\u00e9rd\u00e9s eset\u00e9n k\u00e9rje szak\u00e9rt\u0151ink seg\u00edts\u00e9g\u00e9t!<\/p>\n<p>\n<\/p>\n<h5>Forr\u00e1s:<\/h5>\n<p>\n<a href=\"https:\/\/download.manageengine.com\/products\/eventlog\/security-attacks-indicators-whitepaper.pdf\">Using indicators to deal with security attacks \u2013 ManageEngine White Paper<\/a><\/p>\n<p>\n<\/p>\n<h5>Kapcsol\u00f3d\u00f3 tartalom:<\/h5>\n<p>\n<a href=\"https:\/\/digitalguardian.com\/blog\/what-are-indicators-compromise\">https:\/\/digitalguardian.com\/blog\/what-are-indicators-compromise<\/p>\n<p><\/a><\/p>\n<p><a href=\"https:\/\/www.manageengine.com\/log-management\/gartner-siem-mq.html\">A Gartner m\u00e1r 4. \u00e9ve jegyzi a ManageEngine SIEM megold\u00e1s\u00e1t<\/a><\/p>\n<p>\nLog management best practices for SIEM<br \/>\njustify<br \/>\nno-repeat;left top;;<br \/>\nauto<\/p>\n<p>QzvlhiofIk8<br \/>\n700<br \/>\n400<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Egyes t\u00e1mad\u00e1sokat kor\u00e1n fel lehet ismerni, a kifinomultabb t\u00e1mad\u00e1sok k\u00e9pesek k\u00e1rt okozni a biztons\u00e1gi rendszer megker\u00fcl\u00e9s\u00e9vel. Az IoC-k, mind az IoA-k egyidej\u0171 haszn\u00e1lat\u00e1ra a szervezet a nehezen felismerhet\u0151 t\u00e1mad\u00e1sok ellen is v\u00e9dett\u00e9 tehet\u0151.<\/p>\n","protected":false},"author":1086,"featured_media":11162,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2183],"tags":[2188,2187,2186,2185,2184,734],"yst_prominent_words":[],"class_list":["post-11161","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-manageengine","tag-indicators","tag-ioa","tag-ioc","tag-log360","tag-manageengine","tag-siem"],"_links":{"self":[{"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/posts\/11161","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/users\/1086"}],"replies":[{"embeddable":true,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/comments?post=11161"}],"version-history":[{"count":0,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/posts\/11161\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/media\/11162"}],"wp:attachment":[{"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/media?parent=11161"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/categories?post=11161"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/tags?post=11161"},{"taxonomy":"yst_prominent_words","embeddable":true,"href":"https:\/\/relnet.hu\/en\/wp-json\/wp\/v2\/yst_prominent_words?post=11161"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}