Hybrid Hunter bemutatása, Zeek (Bro) logok integrálása IBM QRadarba

Ennek a blogposztnak a témája a Hybrid Hunter nyílt forráskódú Security Information and Event Management (SIEM) és threat hunting platform bemutatása, valamint a benne található Zeek (Bro) logok integrálása IBM QRadarba egyedi Device Support Module (DSM) létrehozásával. A bemutatáshoz használt verziók a Hybrid Hunter 2.1.0 RC2 és a QRadar 7.3.2. Ebben a blogposztban nem térünk ki a Hybrid Hunter telepítési folyamatára, a kapcsolódó telepítési dokumentáció ezen a linken keresztül érhető el.

A SIEM összegyűjti a különböző rendszerek, rendszerelemek naplóbejegyzéseit és eseményeit egy egységes felületen ahhoz, hogy a beállított szabályok alapján riasztást tudjon generálni, valamint biztosítsa a riasztást követő eseménykivizsgáláshoz a szükséges adatmennyiséget.

A threat hunting a riasztást hivatott megelőzni, ugyanis a folyamat lényege, hogy az esetleges biztonsági résre még a probléma bekövetkezte előtt felhívja a figyelmet. A threat hunting metódusok sikeres alkalmazásához több tényezőt is figyelembe kell venni, melyek közül a rendelkezésre álló logok összegyűjtése, indexelése és kereshető formába való hozása jelentős szerepet kapnak. A logok közti kereséshez több tool is rendelkezésre áll a platformon belül, azonban ezek közül talán a leghasznosabb a kezdőfelületen megtalálható “Hunt” menüpont alatt érhető el – de ne ugorjunk ennyire előre, kezdjük az elején.

ÁLTALÁNOS INFORMÁCIÓK

A Hybrid Hunter a Security Onion nyílt forráskódú SIEM-re épül, a Security Onion-ban megtalálható eszközökön (Zeek (Bro), Suricata/Snort, Kibana stb.) felül a telepítés során hozzáadható a Grafana, TheHive, CyberChef, Fleet, Cortex, Navigator, Playbook is.

A Grafana a Kibanához hasonló felület, ugyanis ezen keresztül lehet lekérdezéseket futtatni, adatokat vizualizálni, riasztásokat beállítani. A Grafana monitorozza és vizualizálja a rendszer állapotát, így használatával egy átfogó képet lehet kapni a Hybrid Hunter állapotáról, például a processzor-, lemez-, memóriahasználatról. A Grafana-ban rejlő további lehetőségekről a hivatalos dokumentációjából lehet tájékozódni.

A CyberChef egy olyan felület, ahol különböző műveletek hajthatók végre az egyszerűtől (például XOR) kezdve a bonyolult (például AES vagy DES titkosítás) elvégzéséig. Ez a felület külön is elérhető az interneten, azonban a Hybrid Hunter-be történő integrálása segít az információk központosításában.

A Navigator (a CyberChef-hez hasonlóan) egy interneten is elérhető nyílt forráskódú projekten alapszik, amit a Hybrid Hunter-be integráltak. A Navigator a MITRE ATT&CK framework támadási technikáit vonultatja fel egy interaktív felületen. Itt a felhasználó rétegek hozzáadásával tudja személyre szabni a felületet. Ezek segítségével egyszerűen kereshető egy bizonyos malware-hez vagy APT csoporthoz köthető támadásfajták, valamint vizualizálható az aktuális védelmi szint is a lefedettség bejelölésével.

A TheHive egy open source Security Orchestration, Automation and Response (SOAR) rendszer, mely a Playbook-ban definiált forgatókönyvek riasztásait veszi át. Ezen platform segítségével automatikus válasz adható a riasztásokra. A TheHive részletes dokumentációja itt, a Playbook leírása pedig ezen a linken keresztül érhető el.

A Fleet szintén egy monitorozásra használt eszköz, ami előre definiált lekérdezéseket futtat meghatározott időközönként, majd ennek eredményét tárolja egy előre meghatározott helyen. A telepítés során előre megírt lekérdezések kerülnek a kezelőfelületre, de további lekérdezések hozzáadására is van lehetőség.

A Cortex a TheHive Project fejlesztői által fejlesztett platform, melyet azért hoztak létre, hogy egy platformon egyesítsék az adott megfigyelendő domain, IP, fájl, hash fellelhető adatait a későbbi elemzés megkönnyítése végett. A platformhoz tartozó dokumentáció itt érhető el.

Az egyik leghasznosabb újítás, ami a platformon található a “Hunt” menüponton keresztül érhető el. Ennek segítségével előre definiált lekérdezések közül választhat a felhasználó, melyekkel különböző logok között kereshet egy legördülő listából történő választással anélkül, hogy jártasságot szerezne a platform saját, lekérdezésekhez használt nyelvében, az Onion Query Language-ben.

A kiválasztott keresést követően az eredmények között további lehetőségként az adott találat melletti “+” jellel ellátott nagyítóra kattintva bővíthetjük a lekérdezésünket és szűkíthetjük a találatokat. Ezzel a funkcióval könnyedén kivitelezhetőek a threat hunting metódusok és a riasztásokhoz kapcsolódó események szűrése.

ZEEK (BRO) LOGOK INTEGRÁLÁSA IBM QRADAR-BA

A Zeek (Bro) egy nyílt forráskódú hálózat monitorozó eszköz, mely alapból megtalálható a Hybrid Hunterben. Előnye, hogy a hálózati forgalmat előre definiált kategóriákba sorolja. Ezekről a kategóriákról, illetve a logokban található mezőkről bővebb leírás itt található.

A QRadarba történő integrációhoz először is továbbítanunk kell a Hybrid Hunter által feldolgozott Zeek (Bro) logokat. Ehhez a syslog-ng eszközt hívjuk segítségül. A syslog-ng.conf fájlt kell módosítani a Hybrid Hunter-en, mely során logforrásként meg kell adni a Zeek (Bro) logok elérési útvonalát valamint a QRadar elérését, ami az IP címét és a portot foglalja magába. Fontos, hogy a syslog-ng.conf módosításakor kiemelt figyelmet fordítsunk a helyes szintaktika megtartására, ugyanis a legkisebb eltérést is hibaüzenettel és működésképtelenséggel jutalmazza. Az alábbi képen látható a syslog-ng.conf fájl módosítása a felvett logforrásokkal és a célállomásként felvett QRadarral.

Önmagában ezeknek a meghatározása nem elegendő, a különálló adatokat össze kell kapcsolni a syslog-ng.conf-on belül a logok küldésének érdekében. Az alábbi képen látható, hogy ezt hogyan lehet elérni:

A syslog-ng.conf módosítását követően újra kell indítani a service-t a “systemctl restart syslog-ng.service” paranccsal. Amennyiben a fájl módosítása során a szintaktikában hibát ejtettünk, ekkor derül ki egy hibaüzenet formájában. Nem kapunk külön üzenetet ha hibamentesen abszolváltuk a konfiguráció módosítását. A service újraindulásával meg is vagyunk a logintegráció Hybrid Hunter oldali beállításaival.

A QRadar felületén a Log Activity menüpont alatt “Unknown event”-ként jelennek meg a Hybrid Hunter-ből továbbított logok, ugyanis a QRadar nem rendelkezik alapból a logok felismeréséhez szükséges DSM-mel. Kiválasztva az egyik ilyen logot, jobb egérgombbal rákattintva a “View in DSM Editor” lehetőséget válasszuk.

A Log Source Type mellett kattintsunk a “Change” gombra, majd a “Select Log Source Type” felugró ablakban kattintsunk a “Create New” lehetőségre.

A név megadása után mentsük el a DSM-et, majd “Properties” fül alatt a nyers logból regex segítségével nyerjük ki a mezőknek megfelelő adatot. Erről az alábbi képen láthattok példát:

Fontos, hogy a logból parse-oljuk ki az “Event Category” és az “Event ID” mezőket, mert ezekre szükség lesz az események felismeréséhez. Ezen információk kinyerése után az “Event Mappings” fül alatt a “+” jelre kattintva lehet az eseményhez kapcsolódó “Event Mapping”-ot létrehozni. Itt ügyelni kell rá, hogy a logból regex segítségével kinyert “Event Category” és “Event ID” megegyezzen.

Ahhoz, hogy létre tudjuk hozni, meg kell adni a QID rekordot is. Mivel ilyen típusú esemény nincs alapból a QRadar-ban, ezért azt is létre kell hozni a “Create New QID Record” gombra kattintva. A QID létrehozása során meg kell adni “Log Source Type”-ként az általunk újonnan létrehozottat, majd a “High Level Category”-t és a “Low Level Category”-t az éppen aktuális lognak megfelelően kell kiválasztani a legördülő listából. A QID létrehozását követően hozzá kell adni az “Event Mapping”-hoz, majd a “Create” gombra kattintva létrehozzuk. Minden különböző Zeek (Bro) event típusra külön “Event Mapping” létrehozása szükséges a DSM-en belül.

Miután végeztünk a DSM beállításával, akkor “Log Source”-t is létre kell hozni. Ehhez A QRadar “Admin” fül alatt a “Log Sources” opcióra kell kattintani.

A felugró ablakban az “Add” opciót kell kiválasztani. Amire a logforrás felvételénél figyelni kell, hogy a “Log Source Type”-nál a legördülő listából az általunk létrehozott DSM-et válasszuk. Másik sarkalatos pont a “Log Source Identifier” megadása. Ide IP címet vagy hosztnevet kell megadni. Jelen példában ez a “securityonion” hosztnév lesz, mert ez a mező követi az időbélyeget a logokban. A logforrás neve és leírása tetszés szerint választható. Az alábbi képen láthatóak a logforrás felvételéhez szükséges beállítások.

A létrehozott változtatások életbe léptetéséhez a “Deploy Changes” lehetőségre kell kattintani az “Admin” fülön.

Ebben a blogposztban megismerkedhettetek a Hybrid Hunter platformmal, valamint az abban található Zeek (Bro) logok IBM QRadar-ba történő integrálásának folyamatával. A logok felismeréséhez a DSM készítése más logforrások esetében is az itt leírt metódus alapján történik, így reméljük, hogy az olvasásra szánt idő megtérül az itt található ismeretek birtokában.

Pin It on Pinterest