All posts
Blog

Panik beim Verschlucken

Page Glave
March 11, 2024

Die richtige Dimensionierung Ihres SIEM-Ingest ist eine heikle Aufgabe. Zu viel, und Sie zahlen für Kapazität, die Sie nicht benötigen. Zu wenig, und du musst dir ständig Sorgen machen, zu viel zu machen (und möglicherweise Dinge fallen zu lassen, die du tatsächlich brauchst).

Irgendwann entscheidet man sich für ein Level, das funktioniert. Ish - unweigerlich werden Sie Gelegenheiten haben, in denen sich die Dinge verschärfen. Was machst du, wenn das passiert?

Time to panic!

Nicht wirklich - ein Anstieg der Aufnahmemenge sollte ein Zeichen dafür sein, dass man nachforschen sollte, nicht in Panik. Das haben wir getan, als ein Spitzenwert auftrat, der dazu führte, dass wir unerwartet unser Aufnahmelimit erreichten.

Schritt 1: Keine Panik

Wirklich, keine Panik. Wir haben alle die Horrorgeschichten über riesige SIEM-Rechnungen gehört. Verrückte, unerwartete riesige SIEM-Rechnungen — wie die DataDog-Rechnung im Wert von 65 Millionen US-Dollar. Oder der Witz, dass Cisco Splunk gekauft hat, weil es billiger war, als die Rechnung zu bezahlen (das ging an mehreren Stellen herum, darunter Reddit und X/Twitter). Aber im Allgemeinen sind SIEM-Unternehmen nicht schlecht, und Ihr Anbieter sollte Sie nicht mit einer lächerlichen Gebühr für eine einmalige, angemessene Überschreitung belasten. Ich danke Panther dafür, dass er ein großartiger Partner ist. Unser Vertreter hat nachgefragt, um sicherzustellen, dass wir uns des Anstiegs bewusst waren und ihn bewältigt haben!

Schritt 2: Graben

Sie sind sich also einer Überschreitung bewusst — sei es durch eine von Ihnen konfigurierte Warnung, eine Warnung bei Überschreitung oder was auch immer — jetzt müssen Sie etwas mit diesen Informationen tun. Jetzt ist es Zeit zu graben. Einige Fragen, die Sie stellen sollten:

  • Befinden sie sich innerhalb der normalen Schwankungen und sind sie zufällig gegen Ende Ihres Abrechnungszeitraums eingetreten?
  • Kann der Band einer bestimmten Quelle zugeordnet werden?
  • Welches Ereignis (e) verursacht das Problem?
  • Kannst du es überhaupt eingrenzen — auf ein bestimmtes Konto, einen bestimmten Standort usw.?
  • Erscheint es bösartig?

Schwankungen

Schwankungen passieren. Und bei einigen von uns sind unsere Aufnahmemengen so fein abgestimmt, dass normale Schwankungen, die den Abrechnungszeitraum genau zum richtigen Zeitpunkt treffen, das Limit überschreiten können. Wenn das passiert ist, ist es vielleicht an der Zeit, die Aufnahmemenge zu erhöhen. Wenn das keine Option ist, können Sie Ereignisse besser filtern/abtasten, um mehr Spielraum zu haben? Stellen Sie die schwierigen Fragen: Ziehen Sie aus den Daten einen Mehrwert? Müssen Sie es wirklich aktiv überwachen/erkennen? Oder könnte es in einem günstigeren Archivspeicher gespeichert und bei Bedarf in Ihr SIEM übernommen werden? Ja, protokolliere alles, immer. Aber es gibt Kosten, die bewältigt werden müssen.

Quelle

Als Nächstes müssen Sie feststellen, ob das Problem durch eine bestimmte Ursache verursacht wird. Sie müssen herausfinden, ob möglicherweise eine höhere Protokollierungsstufe aktiviert wurde, die zu mehr Protokollen geführt hat (schauen Sie sich Ihre „Debugging-Ebene“ an!). Oder hat sich bei einer Protokollquelle die Art und Weise geändert, wie Dinge protokolliert werden? Schemas ändern sich, die Art und Weise, wie Logs abgerufen werden, und die Größe der Bereitstellung ändert sich — all dies kann die Aufnahme beschleunigen. Finden Sie heraus, woher die Ereignisse kommen und ob Sie etwas mit der Quelle tun müssen, um sie zu beheben.

Schmal

Wenn Sie die Ursache des Problems kennen, können Sie es weiter eingrenzen? Bezieht es sich auf ein bestimmtes Konto/eine bestimmte Region/was auch immer? Handelt es sich um eine bestimmte Art von Veranstaltung? Passiert etwas, das Sinn macht — wie die Bereitstellung einer neuen Umgebung? Grenzen Sie die Dinge so weit wie möglich ein, um die Reparatur zu erleichtern.

Bösartig

Wenn Sie auf der Erkennungs- und Reaktionsseite sind, denken Sie wahrscheinlich zuerst an diese Stelle. Und das ist okay. Wenn Sie nicht zuerst dorthin gegangen sind, ist es jetzt an der Zeit, dies sicherzustellen. Sehen Sie eine Menge Verschlüsselungsereignisse, die auf Ransomware hinweisen könnten? Ein Anstieg der Computerleistung, der mit Krypto-Mining zusammenhängen könnte? Ungewöhnlichkeit im DNS- oder anderen Datenverkehr, die auf Command-and-Control-Verkehr hindeuten könnte? Die Möglichkeiten sind endlos! (Das macht Erkennung und Reaktion so unterhaltsam, oder?)

Sure it is

Schritt 3: Reparieren

Sobald Sie das Problem identifiziert haben, ist es an der Zeit, es zu beheben. Wenn es etwas Bösartiges war, schalten Sie Ihre IR-Prozesse ein und kümmern sich darum. Möglicherweise können Sie nichts herunterfahren, weil Sie die Daten benötigen und/oder größere Probleme zu lösen haben.

Was können Sie tun, um den Schaden zu begrenzen, wenn es nicht bösartig ist? Idealerweise sollten Sie so eng wie möglich trimmen. Was Sie tun können, hängt stark von Ihren Tools ab. In unserem Fall kam es im Zusammenhang mit dem Ausbau der Infrastruktur zu einem vorübergehenden Anstieg. Wir könnten nur diese Protokolle entfernen und den Schaden für die etwa 24 Stunden begrenzen, die wir vor unserem Ingest-Reset benötigten. Dank der Normalisierten Eventfilter von Panther dauerte die Implementierung dieses Fixes etwa 30 Sekunden. Dank der Visualisierungen der Protokollquellen können wir die gefilterten Ereignisse im Auge behalten, um zu sehen, wann sich die Dinge leicht beruhigen. Das war der einfachste Teil, der nett war.

Sie müssen auch herausfinden, ob eine längerfristige Lösung erforderlich ist — und ja, dazu gehört auch die Möglichkeit, Ihre Aufnahme zu erhöhen. Das hängt davon ab, was den Anstieg verursacht hat. Möglicherweise müssen Sie auch mit Ihrem Anbieter sprechen, wenn der Anstieg zu einer Überschreitung geführt hat. Idealerweise haben Sie eine gute Beziehung, und solche Dinge passieren selten, also ist alles in Ordnung. Wir haben eine gute Zusammenarbeit mit Panther, also habe ich mir keine Sorgen gemacht. Dadurch konnte ich mich auf das Problem konzentrieren, anstatt wegen einer möglichen Gesetzesvorlage in Panik zu geraten. Unser Vertreter hat nachgefragt und alles ist gut. Ich bin mir auch sicher, dass ein Support-Techniker schnell geholfen hätte, wenn ich Hilfe bei der Optimierung der Filter benötigt hätte.

Schritt 4: Freue dich

Sie haben das Problem herausgefunden und behoben - jetzt können Sie sich freuen! Oder zumindest tief durchatmen. Möglicherweise müssen Sie nachfragen, ob es sich um eine einmalige Angelegenheit handelt. Und wir könnten wahrscheinlich alle davon profitieren, mehr Ereignisse zu filtern und/oder zu aggregieren, aber das ist ein anderes Mal. Sie haben das vorliegende Problem gelöst.

Rejoice
Page Glave
Page is a Security Engineer at FloQast focusing on detection engineering and incident response. Outside of the infosec bubble, she enjoys music, creative pursuits, and the outdoors.
Expand