Manažer bezpečnosti: Optimální využití SIEM

Šéf IT není přesvědčen o dostatečné hodnotě investic do nástroje SIEM pro správu událostí a incidentů zabezpečení.

Manažer bezpečnosti: Optimální využití SIEM


Trouble Ticket
Co řešit: Ředitel IT chce znát návratnost investic do nástroje SIEM ještě před povolením rozšíření jeho nasazení.
Akční plán: Najít nové způsoby, jak odvodit hodnotu z nástroje SIEM.

Náš ředitel IT i nadále pokračuje ve zpochybňování hodnoty naší investice 250 tisíc dolarů do nástroje pro správu událostí a incidentů zabezpečení (SIEM, Security Incident and Event Management). Chci po něm v rozpočtu na příští rok více peněz, aby bylo možné SIEM rozšířit i do dalších našich regionů, a on chce vědět, co za ty peníze dostane.

Moje obvyklá odpověď je, že můžeme lépe odhalit škodlivou aktivitu v síti díky sofistikovaným korelačním pravidlům, které můžeme vytvořit. To mu však nestačí, takže musím myslet nekonvenčně.

Jeden nápad jsem dostal během setkání s naším manažerem auditů a rizik, který zmínil, že jednou z jeho povinností je provádět audit finančního systému. Tato poznámka mě vedla k vytvoření pravidla, které sleduje, kdo se přihlašuje do finančního systému a jaké protokoly jsou vytvářeny při vykonání finančních transakcí, jako jsou vystavení šeku nebo zpracování platby při elektronickém přenosu finančních prostředků.

Toto pravidlo říká, že kdykoliv je vystaven šek pro přihlášenou osobu nebo pro libovolného zaměstnance, mělo být dojít k vydání odpovídajícího varování. Další nové pravidlo zase vygeneruje upozornění, když se někteří lidé přihlašují do systému s neobvyklou četností za den.

Také jsem zaměřil svou pozornost na účty správců domény. Držitelé těchto účtů si například mohou zobrazit e-maily, kalendář i kontakty našeho šéfa IT nebo se u libovolné osoby podívat na sdílený disk, počítač nebo knihovnu dokumentů Microsoft SharePoint.

Když jsem poprvé přišel do této firmy, byly účty správy domény doslova rozdávány jako lízátka. Pokud jste například byli zařazeni na pracoviště technické podpory, automaticky jste takové oprávnění dostali.

Jsi nový správce IT? Zde máš účet správce domény. Vítejte v naší společnosti! Od té doby jsem tuto praxi zarazil a zavedl podmínky k vytvoření účtu správy domény, mezi které patří můj souhlas. Tato opatření pomohla snížit počet účtů správy domény o 60 %.

Čas od času však stále dochází k vytvoření takových účtů i bez mého souhlasu. Vytvořil jsem proto pravidlo v našem nástroji SIEM k zaznamenání událostí spojených s identity managementem, když dojde k vytvoření účtu správy domény – a samozřejmě nastane také varování. Pokud vidím, že nebyl udělen souhlas, dojde k řešení problému.



Úvodní foto: © Tommi - Fotolia.com



Vyšlo v Computerworldu 14/2012
Celé toto vydání lze zkoupit elektronicky








Komentáře