SIEM-ratkaisun käyttöönotto voi johtaa myös ojasta allikkoon – toisenlaiseen herätetulvaan – ylläpidon tuskaan ja hintavaan keskitettyyn lokienhallintaan.
Otsikon syvällinen päättely ei perustu akateemiseen tutkimukseen, mutta pistän silti nimeni sen alle. Kaikkea ei tarvitse eikä pidä liittää SIEM-järjestelmään. Massiivista tietomäärää voidaan toki käyttää jälkien selvittelyyn pitkällä aikavälillä, mutta kun pyrkimyksenä on mahdollisimman reaaliaikainen tilannekuva, ei määrä korvaa laatua. Ylimitoitettuun lokilähteiden määrään voivat ajaa myös SIEM-järjestelmien hinnoittelumallit, joissa myyjän intressinä voi olla lokilähteiden määrä tai niiden generoiman tietomäärän suuruus. SIEM-järjestelmän tarkoitus ei kuitenkaan ole syrjäyttää keskitettyä lokienhallintaa.
Käyttötapauksen tarkoitus on havaita hyökkäys tai epätyypillinen tilanne automaattisesti ennalta määritellyn säännön perusteella. SIEM-järjestelmät pitävät sisällään mallisääntöjä, joista suuri osa vaatii räätälöintiä, jotta malli saadaan sovitettua paikalliseen ympäristöön. Kun kyseessä on jokin paikallinen tai ei laajasti tunnettu järjestelmä, on räätälöintisääntö ei poikkeus. Oman mausteensa tuo aina muuttuva toimintaympäristö, joka tekee käyttötapausten ylläpidosta jatkuvaa toimintaa. Tähän osa-alueeseen apua on tuomassa edellä mainittu koneoppiminen, mutta toistaiseksi moni käyttötapaus kuvataan edelleen ihmisen toimesta. Vasta käyttötapausten avulla SIEM-järjestelmää voidaan pitää herätteitä analysoivana työkaluna. Jo SIEM-projektin lähtöviivalla tarvitaan selvää tavoitteellisuutta siinä, mitä järjestelmällä halutaan nähdä ja mitä käyttötapauksia näin ollen tarvitaan. Ilman selkeitä tavoitteita myös lokilähteiden määrä voi karata käsistä, eikä kenelläkään ole käsitystä, mitä tietomäärästä on tarkoitus nähdä.
SIEM ei poista lokilähteiden laatuun liittyviä haasteita tilannekuvan kannalta. Tämä korostuu erityisesti tilanteissa, jossa SIEM-järjestelmää käytetään suhteellisen pitkälle jalostuneiden hälytysten käsittelemiseen ja esittämiseen keskitetyssä hälytysnäkymässä. Mikäli esimerkiksi IDS-järjestelmä tuottaa huomattavan määrän virheellisiä hälytyksiä ennen SIEM-järjestelmän käyttöönottoa, periytyvät samat haasteet suurella todennäköisyydellä myös SIEM-aikakauteen. Jäljet johtavat siis sylttytehtaalle, jossa haaste on ratkaistava.
Huld on mukana Cyber Security Nordic 2019 -tapahtumassa. Tulethan moikkaamaan ja keskustelemaan aiheesta lisää.
Teksti: Jouni Ihanus, Senior Consultant (Information & Cyber Security)