Cyberopex

Ein SIEM aufbauen für Kleinere und Mittlere Unternehmen - Teil 3: IOC-Feeds in Elastic einbinden

Table of Content:

Teil 3: IOC-Feeds in Elastic einbinden

In diesem Artikel zeigen wir Ihnen, wie Sie Threat Intelligence Feeds in Ihr SIEM-System mit Elastic integrieren können, um Bedrohungen effizienter zu erkennen. Wir erklären die Erstellung von Indicator-Matching-Rules und die Nutzung von IOC-Feeds, die eine proaktive Abwehr gegen Cyberangriffe ermöglichen.

 

Was sind Indicators of Compromise (IOCs)

Ein Indicator of Compromise (IOC) ist ein Begriff aus der Cybersicherheit und bezeichnet Anzeichen oder Spuren, die auf einen möglichen Sicherheitsvorfall, eine laufende oder bereits erfolgte Kompromittierung eines Systems hinweisen. Diese Indikatoren werden genutzt, um potenzielle Bedrohungen zu erkennen und auf Cyberangriffe zu reagieren. Zu diesen Anzeichen gehören unter anderem:

  • File Hashes

  • Fully Qualified Domain Names (FQDNs)

  • IP-Adressen

  • URL Reputation Daten

  • Common Vulnerabilities and Exposures (CVEs)

  • Process Hashes

 

IOCs sind für Security Operations Centers (SOCs) unerlässlich, um robuste Cyber Threat Intelligence (CTI) Fähigkeiten zu entwickeln und aufrechtzuerhalten.

Integration von IOC-Feeds in Elastic

Die Integration der IOC-Feeds gestaltet sich recht simpel. Um eine Übersicht über alle TI-Anbindungen zu haben empfehlen wir die Integration “Threat Intelligence Utilities” diese bietet ein einheitliches Dashboard welches die verwendeten Feeds zusammenfasst. Um einige als Beispiele zu nennen:

  • Abuse.ch

  • AlienVault OTX

  • Anomali Limo

  • Malware Bazaar

  • Malware Information Sharing Platform (MISP)

 

Abuse.ch als IOC-Feed

Nach dem hinzufügen der Threat Intelligence Utillities wird es an der Zeit für die nächste Integration. Abuse.ch ist ein Schweizer Forschungsprojekt, das Online-Bedrohungen wie Malware und Botnetze durch das Sammeln und Teilen relevanter Daten bekämpft. Zu seinen Hauptdiensten gehören URLhaus, Feodo Tracker und SSL Blacklist, die genutzt werden, um schädliche URLs und verdächtige SSL-Zertifikate zu identifizieren und zu blockieren.

Konfiguration einer mapping Regel

Indicator Matching Rule

Als weiteren Schritt vergleichen wir die eingehenden Daten mit unserer hinzugefügten IOC-Quelle miteinander und generieren einen Alert falls dieser eine Gemeinsamkeit findet. Das erreichen wir durch erstellen einer neuen SIEM-Rule. Wichtig ist hierbei Indicator Match zu verwenden.

Ab Version 7.10 unterstützt Elastic das Erstellen von „Indicator Match Rules“. Diese Regeln generieren Alerts, wenn Feldwerte in den Elasticsearch-Daten mit den in den Indikator-Indizes definierten Mustern übereinstimmen. Die Verwendung von ECS-konformen Daten liefert dabei die besten Ergebnisse für Threat Intelligence und Überwachung kritischer Infrastrukturen.

Index Pattern & Indicator Index Pattern

Bei “index patterns“ kommt der Index der Logdaten wobei bei indicator index patterns des IOC-Feeds gemeint ist(diese ist standartmässig “logs-ti_*”.

Nun folgen die Vergleichseinstellungen. Beachte, links sind die Logfelder und rechts die “threat.indicator”. Es ist uns nun möglich durch alle Felder die uns die Threat Intelligence zur Verfügung stellt einen vergleich mit unseren Daten zu machen.

Als Test, um keine Verbindung auf eine maliziöse Ip-Adresse zu machen. Oder gar eine Malware herunterzuladen gibt es im Elastic das “Dev Tool”. Hier können wir künstliche Logs generieren.

				
					POST /logs-endpoint-protection/_doc
{
   "host": {
     "name": "fake-device",
     "description": "this device is just for testing reasons",
    "mac": "42:01:0a:84:00:3d",
    "ip": "10.1.1.56"

  },

"event" : {
"category": "file",
"type" : "creation"

  },
  "file" : {
    "hash": {
    "md5" : "59ce0baba11893f90527fc951ac69912"
    }
   }
}

Nach einfügen dieses Codes oben rechts auf den Play bzw. Send Icon drücken und schon erhältst du auf der linken Seite deines Browsers eine Bestätigung. Am Schluss schlägt ein Alert aus welcher der zuvor erstellten Rule zu verdanken ist.

Fazit - Teil 3

In diesem Artikel haben wir die Integration von IOC-Feeds genauer untersucht. Diese ermöglichen uns, potenzielle Gefahren frühzeitig zu identifizieren und entsprechend darauf zu reagieren. Durch das vorgestellte Beispiel ist es uns gelungen, eine effektive Regel zu erstellen, die unsere Sicherheitsinfrastruktur erheblich verbessert. Diese Massnahme trägt dazu bei, unsere Abwehrmechanismen zu optimieren und die gesamte Sicherheitslandschaft weiter voranzubringen. So stärken wir nachhaltig die Widerstandsfähigkeit gegen Cyberbedrohungen und verbessern die Reaktionsfähigkeit auf potenzielle Angriffe.

FAQ

Mehr zum Thema Elastic ELK und SIEM

Was ist ELK?

ELK steht für Elasticsearch, Logstash und Kibana – eine Kombination von drei Open-Source-Tools, die zusammenarbeitend eine leistungsfähige Lösung für das Log-Management und die Datenanalyse bieten.

Was ist Elasticsearch?

Elasticsearch ist eine verteilte, RESTful-Such- und Analyse-Engine, die in der Lage ist, grosse Mengen von Daten in Echtzeit zu verarbeiten und zu analysieren.

Wie wird ELK im Rahmen von SIEM eingesetzt?

Im Rahmen von SIEM wird ELK häufig verwendet, um Log-Daten zu sammeln, zu verarbeiten und zu visualisieren, wodurch Sicherheitsanalysen erleichtert und Bedrohungen schneller erkannt werden können.

Was ist SIEM und wie funktioniert es?

SIEM (Security Information and Event Management) ist eine Softwarelösung, die Echtzeitüberwachung, Ereigniserfassung, Datenkorrelation und Alarmierung bietet, um Netzwerksicherheit zu verbessern.

Warum wird Elasticsearch in SIEM-Systemen verwendet?

Elasticsearch ermöglicht es SIEM-Systemen, grosse Volumen an Sicherheitsdaten effizient zu indexieren und zu durchsuchen, was eine schnelle Erkennung und Reaktion auf Sicherheitsvorfälle unterstützt.

WIE KÖNNEN WIR HELFEN ?

Kontaktieren Sie unsere Experten von CYBEROPEX 

Wir freuen uns auf Ihre Anfrage und werden unser Bestes tun, um sie umgehend zu beantworten.