Ενίσχυση των δυνατοτήτων ανίχνευσης απειλών σε περιβάλλοντα Windows και CentOS μέσω της ανάλυσης συστημικών και firewall logs από το QRadar

Abstract

Ο σκοπός της εργασίας είναι να αναδυχθεί η τέχνη του εντοπισμού και αντιμετώπισης κινδύνων σε ένα Security Operation Center(SOC). Για τη δημιουργία του χρησιμοποιώντας το IBM QRadar, η διαδικασία ξεκίνησε με την εγκατάσταση του VMware σε έναν windows 10 υπολογιστή και την ανάπτυξη ενός εικονικού μηχανήματος QRadar Community Edition 7.5.0 από ένα αρχείο ISO. To QRadar λειτουργεί ως κεντρική πλατφόρμα παρακολούθησης και ανάλυσης. Στη συνέχεια, δημιουργήθηκαν αρκετά εικονικά μηχανήματα: ένας υπολογιστής με Windows 10 Pro, ένας υπολογιστής με Kali Linux και ένα honeypot με CentOS 8. Κάθε υπολογιστής ρυθμίστηκε για τη δημιουργία και την αποστολή καταγραφών στο QRadar, όπου παραμετροποιήθηκαν τα αντίστοιχα Log Sources για την εισαγωγή και την ερμηνεία αυτών των δεδομένων.

Μόλις η υποδομή ήταν έτοιμη, καθορίστηκαν εννέα Use Cases για να προσομοιώσουν διάφορα σενάρια επίθεσης, με στόχο να δοκιμαστεί και να επικυρωθεί το Rule Correlation Engine του QRadar. Η μεθοδολογία περιλάμβανε την εκτέλεση επιθέσεων κατά των εικονικών μηχανημάτων, την παρακολούθηση και την ανάλυση των καταγραφών που δημιουργήθηκαν μέσα στο QRadar. Βασιζόμενοι στα παρατηρούμενα πρότυπα και συμπεριφορές, δημιουργήθηκαν και εφαρμόστηκαν προσαρμοσμένοι κανόνες συσχέτισης στο QRadar για την ανίχνευση και την αντιμετώπιση αυτών των προσομοιωμένων απειλών. Στη συνέχεια, η αποτελεσματικότητα αυτών των κανόνων επικυρώθηκε με την επανεκτέλεση των επιθέσεων για να εξασφαλιστεί ότι το QRadar αναγνώρισε σωστά και ανταποκρίθηκε σε κάθε σενάριο. Αυτή η ολοκληρωμένη εγκατάσταση εργαστηρίου και διαδικασία δοκιμής αναπαριστά αποτελεσματικά τη ροή εργασίας και τις δυνατότητες ενός πραγματικού SOC, επιδεικνύοντας πώς οι προσαρμοσμένοι κανόνες μπορούν να ενισχύσουν την προστασία δικτύου με την ανίχνευση και την απόκριση ενεργειών ασφαλείας.