Sigma-regels: Elasticsearch versterken bij LinProfs

Mijn naam is Furkan Kizilbayir, vierdejaars student aan de Hogeschool Utrecht waar ik een graad in HBO-ICT - Cyberveiligheid & Cloud. Momenteel ben ik actief als stagiair bij LinProfs, waar ik betrokken ben bij een uitdagend project gericht op het verbeteren van het Security Information and Event Management (SIEM).

De opdracht die mij werd toevertrouwd betrof het uitbreiden van de set beveiligingsregels (Sigma rules) voor het SIEM. In eerste instantie maakte de SIEM voornamelijk gebruik van standaardregels die werden meegeleverd met de ElasticSIEM product. Mijn taak was om internetbronnen te onderzoeken (bij voorkeur open source) voor het verkrijgen van Sigma-regels in YAML-formaat. Daarnaast werd van mij verwacht dat ik zou onderzoeken hoe deze regels omgezet konden worden in het juiste formaat voor de SIEM en hoe ze automatisch up-to-date gehouden konden worden. Het uiteindelijke doel was om het niveau van beveiligingsscans te verhogen.

Deze uitdaging vereiste een grondige analyse van de implementatie van Sigma-regels, inclusief aspecten zoals het up-to-date houden, verwerken en opslaan ervan. Dit artikel hieronder geeft een diepgaand inzicht in mijn onderzoek en strategieën om LinProfs te helpen bij het bereiken van verbeterde cyberbeveiliging met behulp van Sigma-regels.

Sigma-regels - Project

Huidige status van beveiligingsmonitoring bij LinProfs

Om een solide basis te leggen voor het begrijpen van de bestaande beveiligingsinfrastructuur bij LinProfs, begon het onderzoek met een grondige analyse van de huidige staat van beveiligingsmonitoring. Dit omvatte een gedetailleerd onderzoek van de toegepaste technieken en tools voor clientbeheer. Deze diepgaande inzichten bieden niet alleen een uitgebreid inzicht in de bestaande infrastructuur, maar dienen ook als basis voor verdere strategische besluitvorming.

De analyse van de huidige situatie stelde LinProfs in staat om niet alleen de sterke punten in hun beveiligingsaanpak te identificeren, maar ook de gebieden die voor verbetering vatbaar waren. Dit proactieve inzicht in de huidige situatie vormde de eerste stap naar het definiëren van een effectieve strategie voor het automatiseren van Sigma-regels.

Sigma-regels up-to-date houden: een doordachte aanpak

De sleutel tot effectief beveiligingsbeheer ligt in het regelmatig bijwerken van beveiligingsregels, vooral in een voortdurend veranderend cyberlandschap. Strategieën voor het up-to-date houden van Sigma-regels werden zorgvuldig onderzocht en geanalyseerd om een doordachte aanpak te garanderen.

Een essentieel aspect van deze aanpak is de implementatie van een tweewekelijkse cron job gebaseerd op de updatefrequentie van GitHub. Door regelmatig de sigma_tool.py script worden Sigma-regels automatisch gesynchroniseerd met de wekelijkse updates op de GitHub-pagina. Deze frequentie wordt nauwkeurig gekozen om een optimale balans te vinden tussen regelmatige updates en het minimaliseren van onnodige executies.

Een grondige analyse van het encryptiegebruik onthulde de doordachte aanpak van veilig wachtwoordbeheer binnen de sigma_tool.py script. Dit omvat niet alleen het beschermen van wachtwoorden, maar ook het minimaliseren van potentiële beveiligingsrisico's. Er werden extra beveiligingslagen toegevoegd, waaronder extra bestandsbeschermingen, om een robuust beveiligingsniveau te garanderen.

Verwerking en opslag van Sigma-regels: Flexibiliteit en overzicht

De verwerking en opslag van beveiligingsregels onderging een gedetailleerde analyse om een optimale strategie te formuleren. In plaats van te kiezen voor een aparte database, werd gekozen voor een aanpak die flexibiliteit en duidelijkheid bevordert.

Tijdens het installatieproces, beheerd door de sigma_install.py script heeft de gebruiker de mogelijkheid om de naam en locatie van de map te specificeren waar Sigma regels worden opgeslagen. Deze aanpak biedt niet alleen flexibiliteit, maar ook duidelijkheid in het beheer van beveiligingsregels. De gegenereerde mapstructuur volgt een logisch pad, met duidelijk zichtbare en geconverteerde Sigma regels in NDJSON formaat.

De beslissing om directe opslag in een database te vermijden werd gerechtvaardigd door het efficiëntere gebruik van Elastic als uitgebreide NoSQL-database. Dit draagt bij aan een gestructureerde en geoptimaliseerde opslag van beveiligingsregels zonder dat er een aparte database nodig is.

Conclusie: Een veerkrachtige IT-infrastructuur voor LinProfs en hun klanten

De voorgestelde automatiseringsstrategieën dragen aanzienlijk bij aan de versterking van de IT-infrastructuur voor LinProfs en geven een waardevolle impuls aan de beveiliging van hun klanten. De geautomatiseerde aanpak verlicht niet alleen de operationele lasten, maar verbetert ook de proactieve reactie op potentiële bedreigingen. De synergie van regelmatige updates van Sigma-regels en gestructureerde verwerking en opslag resulteert in een geoptimaliseerde en veerkrachtige IT-infrastructuur.

Explore more about our interns’ assignments and their impactful contributions. Click here to learn more!

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Cookies Toestemming
Cookies Toestemming

We gebruiken cookies om uw surfervaring te verbeteren. Door te klikken op "Accepteren"geeft u toestemming voor het gebruik van alle cookies.

Meer informatie
nl_NLDutch