2016年11月21日

SIEMとイベントの閾値

SIEMを運用していると、ログイン失敗など常時発生しているイベント数の急な増減が起きた場合にアラートを受けたいという要望があがると思います。
残念ながらAlienvaultにそのような機能はありません。
旧enVision, Arksight, Splunkなどはあります。
旧enVisionでは自動的に各イベントカテゴリのベースライン値を曜日・時間ごとに計算して、イベント数がそのベースラインより15%以上乖離した場合にアラートを上げるということが可能です。わたくしもこの機能を使っていました。

Alienvaultでは特定のpluginのイベントの発生数をSQLから読み取るスクリプトをcronで定期的に実行させることで実現可能です。
例えば
・Login failureのpluginに関するイベントの発生数を以下のようなクエリで読みだす。
SELECT count(*) AS "" FROM alienvault_siem.acid_event WHERE ((plugin_id = XXXX AND plugin_sid IN ("XXXX")) AND alienvault_siem.acid_event.timestamp BETWEEN "'$DATEいつから'" AND "'$DATEいつまで'";

・暫定的に閾値を平日の営業時間の時間毎、それ以外の閾値を設定しておく。(別ファイルに定義しておく)
・イベントの数が閾値を超えたらアラートを上げる。(メール送付など)
・上記をスクリプトにまとめてcronで一定時間ごとに実行させる。Alienvaultのサーバにそれほど負荷はかからないと思いますが、どれぐらいの頻度で実行させるのが効率的かは環境次第。




posted by 目指せ! at 12:26| Comment(0) | TrackBack(0) | SIEM | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:


この記事へのトラックバック