Bezpośrednia odpowiedź
Narzędzie SIEM (Security Information and Event Management) zbiera dane dzienników z systemów całej organizacji - serwerów, zapór, laptopów, aplikacji - w jedno miejsce i flaguje wzorce, które wyglądają podejrzanie, aby człowiek mógł je zbadać. Jeśli uczysz się cyberbezpieczeństwa i celuje w rolę analityka SOC, zrozumienie SIEM nie jest opcjonalnym czytaniem informacyjnym - to jedno narzędzie, w którym spędzisz najwięcej czasu, od pierwszego dnia pracy.
Myśl o tym w ten sposób: każdy system w sieci generuje swój własny dziennik zdarzeń - kto się zalogował, do którego pliku uzyskano dostęp, które połączenie zostało nawiązane. Samodzielnie, tysiące takich wpisów na minutę są bezużyteczne dla człowieka. SIEM łączy je wszystkie, zastosowuje reguły, aby dostrzec wzorce warte uwagi (login z nietypowego kraju, dziesięć nieudanych haseł z rzędu, duży transfer pliku o 3 rano) i zamienia je w alerty, które analityk SOC może faktycznie przetwarzać.
Jak SIEM faktycznie działa, krok po kroku
- Zbieranie - dane dzienników przepływają z zapór, serwerów, punktów końcowych, usług w chmurze i aplikacji w całej organizacji.
- Normalizacja - SIEM konwertuje wszystkie te różne formaty dzienników na spójną strukturę, którą może przeszukiwać i porównywać.
- Korelacja - reguły porównują zdarzenia ze sobą (i ze znanymi złymi wzorcami), aby dostrzec rzeczy, które pojedyncza linia dziennika nie ujawniłaby sama.
- Alertowanie - wszystko pasujące do reguły (lub anomalii statystycznej) generuje alert dla człowieka do triage'u.
- Badanie - analityk SOC (patrz co robi analityk SOC) przegląda alert, pobiera powiązane dzienniki i decyduje, czy to fałszywy alarm czy rzeczywisty incydent.
- Odpowiedź i dostrojenie - rzeczywiste incydenty są eskalowane; fałszywe alarmy wracają do udoskonalania reguł, aby ten sam szum się nie powtarzał.
Popularne narzędzia SIEM, które napotkasz
| Narzędzie | Gdzie się z nim spotkasz | Koszt nauki |
|---|---|---|
| Splunk | Szeroko używane w biznesowych SOC-ach | Dostępna bezpłatna wersja próbna/licencja dev |
| Microsoft Sentinel | Powszechne w środowiskach nasilonych na Microsoft/Azure | Zobacz przewodnik egzaminu SC-200 jeśli idasz tą drogą |
| Elastic (stos ELK) | Popularna opcja open-source, używana zarówno komercyjnie, jak i w laboratoriach domowych | Bezpłatnie, samodzielnie hostowane |
| Wazuh | Open-source, przyjazny dla początkujących w laboratoriach domowych | Bezpłatnie |
| IBM QRadar | Powszechne w większych środowiskach biznesowych | Ograniczone bezpłatne opcje |
Do celów edukacyjnych, Wazuh lub stos Elastic to najbardziej praktyczne punkty wyjścia - oba są bezpłatne do uruchomienia w domu i dają ci rzeczywiste doświadczenie w pisaniu reguł detekcji i badaniu alertów, zamiast po prostu czytać na ten temat.
Co mówię moim studentom
Nie próbuj uczyć się każdej platformy SIEM. Pracodawcy dużo bardziej przejmują się tym, że rozumiesz koncepcję - co robi SIEM i dlaczego - niż która konkretna marka przez ciebie były używana, ponieważ każda praca w SOC was wyszkolą z ich konkretnego narzędzia. Czego nie mogą się łatwo i szybko cię nauczyć, to logika bazowa: dlaczego pewna sekwencja zdarzeń jest podejrzana, jak czytać surową linię dziennika, jak rozróżnić korelację od przypadku. Uzyskaj to z jednego bezpłatnego narzędzia w domu, a możesz wejść na rozmowę i przekonująco mówić o Splunk lub Sentinel, nawet jeśli nigdy nie dotknąłeś żadnego, ponieważ koncepcje transferują się bezpośrednio.
Innymi rzeczami, na których cieszę studentów: ustaw naprawdę małe laboratorium domowe zamiast czytać o SIEM-ach abstrakcyjnie. Zainstaluj Wazuh lub Security Onion na zapasowej maszynie lub maszynie wirtualnej, wygeneruj trochę podstawowej aktywności (kilka prób logowania, kilka dostępów do plików) i sam napisz prostą regułę detekcji. Pracodawcy dostrzegają różnicę między "czytałem o SIEM-ach" a "zbudowałem jeden i badałem moje własne alerty testowe" w ciągu pierwszych kilku minut rozmowy.
Prosty pierwszy projekt do wypróbowania
- Zainstaluj Wazuh (lub Security Onion) na maszynie wirtualnej - oba mają bezpłatne przewodniki konfiguracji z oficjalnej dokumentacji, więc sprawdź stronę oficjalną dla aktualnych kroków instalacji zamiast nieaktualnego postu na blogu.
- Wskaż go na kilka testowych źródeł dzienników - zdarzenia logowania z twojego własnego laptopa to dobry punkt wyjścia.
- Wyzwól kilka oczywiście podejrzanych zdarzeń sam - kilka nieudanych logowań z rzędu, na przykład.
- Obserwuj, jak SIEM ujawnia (lub nie ujawnia) tę aktywność i badaj dlaczego.
- Napisz krótką notatkę o tym, co zrobiłeś i czego się nauczyłeś - staje się to rzeczywistym materiałem rozmowy.
Ten rodzaj małego, uczciwego projektu to dokładnie ten rodzaj rzeczy wart omówienia z mentorem, jeśli się zacniesz - sprawdź cenę i możemy wspólnie pracować nad twoją pierwszą konfiguracją laboratorium.
FAQ
Czy powinienem nauczyć się konkretnego SIEM-a przed aplikowaniem na stanowiska SOC?
Nie - zrozumienie ogólnej koncepcji i praktyka na każdym bezpłatnym SIEM-ie (Wazuh, Elastic) wystarczają dla ról początkujących. Pracodawcy szkolą cię na ich konkretnej platformie.
Czy SIEM to to samo co zapora?
Nie. Zapora kontroluje ruch wchodzący i wychodzący z sieci na podstawie reguł; SIEM zbiera i analizuje dane dzienników z wielu źródeł, w tym zapór, aby dostrzec podejrzane wzorce w całym środowisku.
Ile kosztuje praktyka z SIEM-em w domu?
Bezpłatnie, jeśli używasz opcji open-source takiej jak Wazuh lub stos Elastic na swoim sprzęcie lub bezpłatnej maszynie wirtualnej. Nie musisz płacić za licencję komercyjnego SIEM-a, aby zbudować rzeczywiste, godne omówienia doświadczenie.
Czy wiedza o SIEM-ie jest uwzględniona w Security+?
Tak, na poziomie koncepcyjnym - Security+ obejmuje koncepcje zarządzania dziennikami i monitorowania ogólnie, chociaż nie będzie cię uczyć konkretnej platformy SIEM w głębi. Zobacz mój przewodnik do nauki Security+ SY0-701 dla tego, co faktycznie jest na sylabusie.