Čo je SIEM?

Riešenie SIEM je bezpečnostný softvér, ktorý ponúka organizáciám a inštitúciám komplexný pohľad na aktivitu v celej sieti. Vďaka tomu môžu na hrozby reagovať rýchlejšie, a to ešte pred narušením podnikania či činnosti. Softvér, nástroje a služby SIEM zisťujú a blokujú bezpečnostné hrozby pomocou analýzy v reálnom čase.

Dôvod je veľmi jednoduchý a praktický. Ak chcete, čo najrýchlejšie reagovať na prichádzajúce hrozby, je vhodné byť o nich efektívne notifikovaný napríklad chatom. A ten dokáže byť veľkou pridanou hodnotou. Ak sa k notifikáciám pridajú ďalšie vlastnosti, môžete z toho vyťažiť maximum informácii. K notifikáciám vedia bezpečností špecialisti pridať rôzne príznaky. Ide napríklad o možnosť reagovať, aktívne komunikovať, pridať hyperlink, ktorý vás prenesie priamo k vzniknutým SIEM alertom. A to prináša značnú efektivitu i rýchlosť.

Prečo je vhodný chat a nie e-mail?

Chat je stvorený na interaktívnu komunikáciu. Je rýchly, efektívny, menej formálny. Cez chat sa dokáže vymeniť veľké množstvo informácií v krátkom čase. Pri väčšej skupine ľudí sa chatové správy čítajú rýchlejšie ako v emailovej komunikácii. Mobilné aplikácie chatových platforiem sú preto ideálne na rýchlu a efektívnu komunikáciu. Neformálnosť chatu so sebou prináša ľahkosť a rýchlosť komunikácie, ktorá má veľký potenciál aj pre SOC tím. Ľudia v tíme sú viac zaangažovaní, majú väčší prehľad o riešených alertoch a incidentoch. Vedia prispieť k riešeniu a pomôcť kolegom, aj keď im daný alert nebol pridelený.

Implementácia chatu do SIEM platformy

V Alanata na komunikáciu používame nástroj Webex. Chat sa dá samozrejme implementovať aj do akejkoľvek inej platformy, ktorá má API (Slack, Discord, Rocket.Chat, Telegram…). API (Application Programming Interface) je sada definovaných pravidiel a protokolov, ktorá umožňuje rôznym softvérovým aplikáciám komunikovať a interagovať medzi sebou.

„Pre SIEM alerty som vytvoril špeciálnu miestnosť, do ktorej skriptom posielam alerty. Na posielanie správ/alertov som ešte potreboval vytvoriť bota s vlastným tokenom, ktorý bude správy publikovať v room-e. Celé to funguje tak, že python skript cez API nášho Qradaru (SIEM) číta nové alerty. Tie vie následne filtrovať podľa vlastností, ktoré mu zašpecifikujem a potom ich pushne cez Webex API na kanál/room. Správa sa dá samozrejme modifikovať a obohacovať aj o ďalšie informácie. Fantázii sa medze nekladú. Obmedzovať vás bude asi len API na oboch stranách a programátorské zručnosti. Vždy je dobré, keď pri tvorbe spolupracujú konzumenti správ, čo je v tomto prípade SOC tím a implementátor. Riešenie na mieru uspokojí koncového odberateľa oveľa viac. Aj v minulosti sa mi potvrdilo, že čím menej “klikania” má SOC človek, tým je spokojnejší,“ opisuje implementáciu chatu SOC bezpečnostný špecialista Vladimír Frčo.

Ako to vyzerá v realite?

SOC operátor vidí čas, kedy prišla správa od bota. ID alert je hyperlink s odkazom priamo na konkrétny alert. „Popis alertu zodpovedá mennej konvencii, vďaka ktorej vieme o čo ide. Solve URL je odkaz na tímový workspace Wiki s popisom riešenia. To je užitočné hlavne v prípadoch, ak máte v tíme nováčika alebo daný alert nechodí často a potrebujete si ešte niečo naštudovať z Wiki. Ďalej tam máme magnitúdu, ktorá sa dá vymeniť za iný údaj napríklad severitu. A offense source je v tomto prípade škodlivá URL, podľa ktorej indexujeme,“ opisuje Frčo notifikovanie od bota.

Plány do budúcna

Integrácia s chat platformou sa u nás v Alanata ujala, a tak do nej budeme investovať viac času. Pre bota máme v pláne aj integrovanie príkazov, ktoré budú komunikovať so SIEM-om a poskytnú tímu SOC ďalšie informácie. Napríklad vytiahnu z logu nejaké eventy.

„V teste som už mal aj on-prem LLM (large language model), ale nebol som zatiaľ spokojný s rýchlosťou odozvy. Treba na to naozaj ‚silný stroj‘. Druhou prekážkou sú aj samotné LLM. Kvôli licencii sa nie všetky dajú použiť v komerčných riešeniach. Otázna je aj rýchlosť, akou sa mení kód integračnej platformy LangChain. Je príliš rýchla na to, aby som uvažoval nad stabilným riešením. Dám tomu ešte polroka a opäť sa vrátim k LLM. Zatiaľ nám bude v tíme postačovať jednoduchý chatbot,“ vysvetľuje Vlado Frčo jeho postrehy k aplikovaniu umelej inteligencie do SIEM softvéru.