händelseloggar från Windows samt flöden

Datateknik

Computer Science IBM QRadar SIEM:

Installation, dokumentation och utvärdering Rickard Zetterlund

MITTUNIVERSITETET Nätverksdrift

Författare: Rickard Zetterlund, rize1600@student.miun.se Examinator: Lennart Franked, lennart.franked@miun.se

Handledare: Magnus Eriksson, magnus.eriksson@miun.se Utbildningsprogram: Nätverksdrift, 120 hp

Kurs: Datateknik B, Självständigt arbete, 15 hp Huvudområde: Datateknik

Termin, år: Våren 2018

Sammanfattning

Detta arbete har utförts på uppdrag av ett konsultföretag vars systemkon- sult önskar dokumentera grundläggande kunskap gällande IBM QRadar SIEM. Arbetet beskriver vad IBM QRadar SIEM är och vad det kan göra, samt går igenom installation av QRadar Community Edition och infor- mation gällande händelser och öden i en virtuell miljö. Arbetet redovisar även den uppskattade tiden det tar att installera QRadar CE och de ap- plikationer som användes i detta arbete. En dokumentation skapades för systemkonsulten innehållandes denna information. Det tar även upp en etisk diskussion angående SIEM, andra SIEM-lösningar samt olika typer av nätverksattacker.

Nyckelord: QRadar, SIEM, CentOS, WinCollect, SysMon, Installation, Händelse, Flöde

Abstract

This work has been performed on behalf of a consulting company whose system consultant wishes to document basic knowledge regarding IBM QRadar SIEM. The work describes what IBM QRadar SIEM is and what it can do, as well as reviewing the installation of QRadar Community Edition and information about events and ows in a virtual environment.

The work also reports the estimated time it takes to install QRadar CE and the applications used in this work. A documentation was created for the system consultant containing this information. It also addresses an ethical discussion regarding SIEM, other SIEM solutions and various types of network attacks.

Keywords: QRadar, SIEM, CentOS, WinCollect, SysMon, Installation, Event, Flow

Innehåll

Sammanfattning ii

Abstract iii

Terminologi vi

1 Introduktion 1

1.1 Bakgrund . . . . 1

1.2 Övergripande syfte . . . . 1

1.3 Avgränsningar . . . . 1

1.4 Konkreta och verierbara mål . . . . 1

2 Teori 3 2.1 IBM QRadar SIEM . . . . 3

2.2 Användargränssnittet . . . . 3

2.2.1 Dashboard . . . . 3

2.2.2 Oences . . . . 4

2.2.3 Log Activity . . . . 4

2.2.4 Network Activity . . . . 5

2.2.5 Assets . . . . 5

2.2.6 Reports . . . . 5

2.2.7 Admin . . . . 5

2.3 Nätverksattacker . . . . 5

2.3.1 Passiva attacker . . . . 5

2.3.2 Aktiva attacker . . . . 6

2.3.3 Skadliga program (Malware) . . . . 6

2.4 WHOIS . . . . 7

2.5 GDPR . . . . 7

2.6 Andra SIEM-lösningar . . . . 7

3 Metod 9 3.1 Genomförande av QRadar-kurs . . . . 9

3.2 Installationer . . . . 9

3.2.1 CentOS . . . . 9

3.2.2 QRadar CE . . . . 9

3.3 Genomförande av tester (händelser och öden) . . . . 9

3.4 Dokumentation . . . 10

4 Konguration 11 4.1 Installation av CentOS . . . 11

4.2 Installation av QRadar . . . 12

4.3 Händelseloggar från Windows . . . 13

4.3.1 Installation av Windows 10 Professional . . . 13

4.3.2 Log Source Security Event Log . . . 13

4.3.3 WinCollect på Windows-värd . . . 14

4.3.4 Log Activity . . . 16

4.3.5 Sysmon . . . 17

4.4 Flöden . . . 19

5 Resultat 20 5.1 Händelselogg . . . 20

5.2 Flödestest . . . 20

5.3 Installationstid . . . 22

6 Diskussion 23 6.1 Etik . . . 23

6.2 Dokumentation . . . 23

6.3 Utvärdering . . . 23

6.4 Framtida arbete . . . 24

Bilagor 26 .A Dokumentation . . . 26

Terminologi

Detta kapitel listar de akronymer som förekommer i dokumentet.

CE Community Edition EPS Event Per Second FPM Flow Per Minute

GDPR General Data Protection Regulation

IBM International Business Machines Corporation IP Internet Protocol

OS Operating System

SIEM Security Information Event Management TCP Transmission Control Protocol

1 Introduktion

För att underlätta kontrollen av vad som sker i ett företags IT-infrastruktur

nns det hjälpmedel för att kunna läsa av loggar, händelser samt öden för att kunna spåra eventuella intrång eller om någon gör något hen ej är berättigad att göra. Ett exempel på ett sådant hjälpmedel är plattformen IBM QRadar SIEM (Security Information Event Management) vilket lyfter fram den relevanta informationen ur det stora bruset av händelser som sker varje sekund.

1.1 Bakgrund

Då företaget har för avsikt att kunna leverera plattformen QRadar till kun- der behövs ökad kunskap gällande denna. Jag har i detta fall fått i uppgift att studera hur denna plattform fungerar samt sammanfatta en enklare installa- tionsdokumentation för att underlätta för organisationens konsulter att utföra installation hos kund.

1.2 Övergripande syfte

Syftet med denna studie är att ge upphov till ny kunskap inom organisationen gällande QRadar och dess funktioner samt resultera i en lättförståelig informativ dokumentation för de konsulter som ska utföra installationer av QRadar hos kund.

1.3 Avgränsningar

Studien har fokus på QRadars användargränssnitt samt funktioner gällande händelser och öden, vilket i denna studie genomförs på en virtuell maskin.

Installation på riktig hårdvara kan ej göras då denna ej nns tillgänglig. Be- gränsningar nns även i själva QRadar då denna studie använder IBM QRadar Community Edition (gratisversion) vilken begränsar de funktioner som nns i den kommersiella versionen.

1.4 Konkreta och verierbara mål

De mål som sätts för denna studie är:

• Installera och kongurera QRadar.

• Genomföra tester för att få fram information gällande säkerhetshändelser och öden (nätverkstrak).

• Beräkna den uppskattade arbetstiden för installation av QRadar.

• Skapa en enklare dokumentation för konsulten som ska utföra installation av QRadar hos kund.

• Dokumentationen ska ta upp installation av QRadar,

• händelser,

• öden,

• uppskattad arbetstid för installation av QRadar,

• beskriva grunderna för de mjukvarufunktioner QRadar har.

2 Teori

Teorikapitlet beskriver vad IBM QRadar SIEM är samt information gällande de grundläggande funktioner som QRadar har. Det tar även upp exempel på andra SIEM-lösningar som nns på marknaden utöver IBM QRadar SIEM. Kapitlet nämner även GDPR och vikten av att incidenter som sker gällande personupp- gifter hos företag eller myndigheter rapporteras samt beskriver olika typer av nätverksattacker och vad WHOIS är.

2.1 IBM QRadar SIEM

SIEM handlar om händelsehantering av säkerhetsinformation. Det gäller till exempel insamling och lagring av händelser och öden, övervakning samt ana- lysering, synlighet samt spårbarhet, att upptäcka samt åtgärda eventuella säker- hetsrisker samt att förhindra falska positiva och negativa incidenter. Exempel på en falsk positiv kan vara en systemvarning vilken visar sig vara falsklarm, medans en falsk negativ exempelvis godkänner en händelse fast den är skadlig.

QRadar är en plattform skapad av IBM för att hantera händelser gällande sä- kerhetsinformation. Dess funktioner är bland annat att kunna behandla data från en hel mängd olika källor (routrar, brandväggar, applikationer och map- par), men även att kunna samla och lagra data, kontrollera nätverksöden samt påvisa sårbarheter och information gällande hot mot datasäkerheten. QRadar innehåller övervakningsfunktioner för beteendeförändringar hos användare el- ler nätverk vilka kan tyda på angrepp eller policy-överträdelser, men även om applikationer används på tider då de vanligtvis inte används. Om överträdelse eller angrepp skett kan QRadar skicka meddelanden, via exempelvis e-post, till relevant mottagare för att informera om händelsen. [1]

2.2 Användargränssnittet

QRadars användargränssnitt är en webbaserad konsoll vilken visar alla uppgifter på ett tydligt sätt. QRadars funktioner är uppdelade i olika ikar i webbläsaren.

[Figur 1]

2.2.1 Dashboard

Fliken Dashboard (instrumentbräda) visas vid inloggning. Den ger en arbets- miljö som stöder era paneler vilka visar värden gällande t.ex. nätverkssäkerhet, aktivitet eller data som QRadar samlar in. Dit kan placeras olika fönster med vald information gällande QRadars funktioner. Det nns era färdiga instru- mentbrädor att välja mellan, men man kan även skapa egna som fokuserar på det man vill visa.

Figur 1: IBM QRadar Security Intelligence - Community Edition - Dashboard

2.2.2 Oences

Fliken Oenses (överträdelse) visar de förseelser som uppstår i nätverket. Dessa kan hittas genom kraftfulla sökningar med hjälp av olika lter eller olika navi- gationsalternativ. QRadar kan upptäcka olika misstänkta aktiviteter och knyter samman dessa till ett eventuellt brott, vilket till exempel kan vara brott mot fö- retagets policy eller någon form av attack. Exempel på dessa brott är om någon försökt logga in med fel lösenord ett ertal gånger, portskanning, olika virus.

QRadar skapar ett oence då händelse, öde eller båda, möter kriteriet för de satta reglerna (vilka kan ändras). Reglerna kan exempelvis gälla kända hot och inkommande händelser och öden.

QRadar bedömer hotet i magnitud från 1 till 10, där 1 är lägst och 10 är högst.

Magnituden indikerar brottets relativa betydelse vilket beräknas baserat på re- levans (Relevance), allvarlighetsgrad (Severity) och trovärdighetsgrad (Credibi- lity). Relevansen bestämmer den inverkan överträdelsen har på nätverket. Om exempelvis en port är öppen är relevansen hög. Trovärdigheten indikerar brot- tets integritet vilket bestäms av den trovärdighetsbedömning som kongurerats i loggkällan. Trovärdigheten ökar allt eftersom era källor rapporterar samma händelse. Allvarligheten (Severity) anger den hotnivå som en källa ställer i för- hållande till hur förberedd destinationen är för attacken [2].

2.2.3 Log Activity

Fliken Log Activity (loggaktivitet) möjliggör undersökning av händelseloggar vilka skickas till QRadar i realtid, men även söka på händelser som skett inom till exempel 5 minuter upp till 7 dagar. Man kan utföra kraftfulla sökningar på händelser med hjälp av olika lter eller olika navigationsalternativ samt göra

djupgående händelsedataundersökningar för att ta reda på vilken typ av händel- se det är. Det kan handla om legitima händelser men även intrång och angrepp.

2.2.4 Network Activity

Fliken Network Activity (nätverksavtivitet) används för att undersöka öden som skickas i realtid, utföra kraftfulla sökningar på öden med hjälp av olika

lter eller olika navigationsalternativ samt visa nätverksaktivitet. Ett öde är en kommunikations-session mellan två värdar. Genom att titta på ödesinformation får man reda på hur traken kommuniceras, vad som kommuniceras och vem som kommunicerar.

2.2.5 Assets

Fliken Assets (tillgångar) visar de automatiskt upptäckta tillgångarna, till ex- empel de datorer (värdar), servrar och andra enheter som nns inom nätverket.

En styrka med detta är att om någon loggar in på nätverket så kommer denna enhet att visas i listan över alla nätverkets enheter. På så sätt kan administra- tören spåra om denna enhet ska få ta del av nätverket eller ej och enkelt kunna stoppa denna.

2.2.6 Reports

I iken Reports (rapporter) kan man skapa, distribuera och hantera rapporter för all data inom QRadar.

2.2.7 Admin

I iken Admin (administration) nns alla inställningar för QRadar, till exempel systemkonguration, tillgångar, event och öden.

2.3 Nätverksattacker

En nätverksattack kan denieras med vilken metod, process eller medel som används för att skadligt försöka äventyra nätverkssäkerheten.

2.3.1 Passiva attacker

En passiv attack försöker lära sig eller använder information från systemet men påverkar inte systemets resurser. Det kan handla om att tjuvlyssna på eller övervaka det som skickas inom nätverket. Passiva attacker kan vara väldigt svåra att upptäcka då de inte påverkar själva innehållet. [3] Det nns två typer av passiva attacker: utgiven information samt trakanalys.

• Utgiven information

Utgiven information kan exempelvis vara telefonsamtal, e-post eller en datal innehållande kondentiell information.

• Trakanalys

Trakanalys handlar om att analysera det som skickas inom nätverket.

Då traken kan vara krypterad för att gömma själva innehållet kan dock plats och identitet på kommunicerande värdar fås fram samt meddelande- nas längd och hur ofta meddelanden skickas mellan dessa värdar. Denna informationen kan vara till hjälp för att gissa vad kommunikationen hand- lar om. [3]

2.3.2 Aktiva attacker

Aktiva attacker involverar viss modikation av datatraken eller skapande av oriktig datatrak. De är uppdelade i fyra kategorier: maskerad, omspelad, med- delandemodiering samt nekande av tjänst. [3]

• Maskerad (Masquerade)

Denna attack handlar om att en enhet låtsas vara en annan enhet, ex- empelvis om en autentiseringssekvens läses in och återspelas efter det att en giltig autentiseringsföljd skett. Detta möjliggör så att en auktoriserad enhet med få privilegier tilldelas extra privilegier genom att ersätta en enhet som har dessa privilegier. Attacken består ofta av en av de andra formerna av aktiva attacker. [3]

• Omspelad (Replay)

Denna attack handlar om att passivt fånga in en dataenhet samt dess efterföljande omsändningar för att på så sätt skapa en auktoriseringseekt.

[3]

• Meddelandemodiering (Modication of messages)

Denna attack handlar om att en del av ett legitimt meddelande ändras, försenas eller ombeställs för att skapa en obehörighetseekt. [3]

• Nekande av tjänst (Denial of Service)

Denna attack handlar om att förhindra eller dämpa nätverksanvändning, till exempel genom att hindra alla meddelanden som riktas till en viss des- tination eller att störa ut ett helt nätverk genom att inaktivera nätverket eller överbelasta det med meddelanden så att prestandan försämras. [3]

2.3.3 Skadliga program (Malware)

• Virus

Ett program vilket består av kod som, när det körs, replikerar sig själv in i annat körbart program och dess kod. När det lyckas sägs koden vara smittad. När det infekterade programmet körs så körs även viruset. [3]

• Mask (Worm)

Ett program vilket är självkörande och kan sprida en komplett version av sig själv till andra värdar på ett nätverk. Kan innehålla skadlig kod. [3]

• Trojansk häst (Trojan horse)

Ett program som verkar ha en användbar funktion, men även döljer en potentiellt skadlig funktion. Den skadliga funktionen döljer sig för att undvika säkerhetsmekanismer och kan ibland, genom att ha fått tillåten befogenhet i ett system anropa den trojanska hästen. Trojanska hästar

nns i tre modeller: Fungerar som originalprogrammet men utför skadliga funktioner, fungerar som originalprogrammet men modierar dess funk- tion för att utföra skadliga funktioner, kör en funktion vilket helt byter funktion i originalprogrammet. [3]

2.4 WHOIS

WHOIS är en Internet-tjänst samt ett protokoll som söker och visar information gällande ett domännamn. WHOIS-tjänsten är inte en enda central databas utan data hanteras istället av oberoende enheter vilka kallas domännamnregistrato- rer och domännamnregister över hela världen.

Whois-tjänsten är en gratis Internet-tjänst som gör det möjligt för en användare att söka ett specikt domännamns tillgänglighet och, om det är registrerat, den tilldelade enheten/personen till vilken den är registrerad. [4]

2.5 GDPR

Efter att den nya dataskyddsförordningen GDPR (General Data Protection Re- gulation) trädde i kraft från den 25 maj 2018 krävs det att incidenter hos företag eller myndigheter rapporteras [5]. Om personuppgifter behandlas fel och ej rap- porteras till Datainspektionen inom 72 timmar kan de som ej rapporterar detta tvingas betala böter på maximalt 20 miljoner euro eller 4% av den globala om- sättningen.

2.6 Andra SIEM-lösningar

Denna rapport går endast igenom IBM QRadar SIEM, men det nns många andra SIEM-lösningar på marknaden. Här tas upp några exempel på dessa med en kortare beskrivning:

• Micro Focus ArcSight

ArcSight är ett enterprise-klassat SIEM-system.

Det har många funktioner så som: Kraftfull datainsamling och händel- sekorrelation i realtid, arbetsödesautomatisering, produktintegration och automation, gemenskapsdrivet säkerhetsinnehåll, Multi-Tenancy och en- hetlig behörighetsmatris, ArcSight Data Platform och Event Broker in- tegration samt ArcSight Investigate integration. Det nns tillgängligt som hårdvara, mjukvara eller i molnet. [6]

• Splunk Enterprise Security (ES)

Splunk utnyttjar dess styrka i operativ intelligens i sin säkerhetsverk- samhet. Splunk ES har en integration med dess User Behavior Analytics (UBA) och Machine Learning toolkit.

Splunk ES ger organisationer möjlighet att: Förbättra säkerhetsoperatio- ner med snabbare svarstider, förbättra säkerhetsställningen genom ända- målsenlighet över all maskindata, öka upptäckt och utredningsfunktioner med hjälp av avancerad analys samt skapa bättre informerade beslut ge- nom att utnyttja hotintelligens. Det nns tillgängligt som mjukvara eller i molnet. [7]

• AlienVault Unied Security Management (USM)

AlienVault erbjuder ett SIEM till lägre kostnad tack vare dess open sour- ce Open Threat Exchange (OTX). Det erbjuder era säkerhetsfunktioner på plattformen: Upptäcker tillgångar automatiskt, värdanalys, intrångsde- tektion, sårbarhetsbedömning, övervakning av lintegritet, händelsekorre- lation, övervakning av användaraktivitet, Dark Web-övervakning, logghan- tering, kriminalteknik, produktintegration och automation samt överens- stämmelserapportering. Det nns tillgängligt som hårdvara, virtuellt eller i molnet. [8]

• McAfee Enterprise Security Manager (ESM)

McAfeeEnterprise Security Manager, vilken är kärnan i McAfee SIEM- lösningen, levererar prestanda, förseelseintelligens och lösningsintegrering med den hastighet och grad som krävs för säkerhetsorganisationer. Det erbjuder många funktioner så som: Kontext- och innehållsmedvetenhet, avancerad hottolkning, optimerade säkerhetsoperationer, förenklar över- ensstämmelser och förbinder IT-infrastrukturen. Det nns tillgängligt som hårdvara och virtuellt. [9]

3 Metod

Metodkapitlet tar upp vad som ska genomföras för detta arbete, vilket består av genomförande av en teoretisk QRadar-kurs, installationer, tester samt doku- mentering.

3.1 Genomförande av QRadar-kurs

För att få reda på vad QRadar är och hur det fungerar tillhandahåller IBM ett kurspaket kallat QRadar Foundations  Level 100 Roadmaps under deras Security Learning Academy [1], vilket går igenom grunder för nätverkssäkerhet, vad QRadar SIEM är och dess funktioner samt applikationer och hårdvara. För att få ytterliga information tas hjälp av YouTube där det nns instruktionsvi- deor gällande QRadar.

3.2 Installationer

3.2.1 CentOS

För att kunna köra QRadar Community Edition behöver operativsystemet Cen- tOS [10] installeras först. Det är i det operativsystemet som QRadar sedan in- stalleras. Det ska installeras på en av organisationens servrar vilket i sig kör en virtuell maskin (VMWare ESXi 6.5) för att kunna installera olika operativsy- stem i virtuell miljö.

3.2.2 QRadar CE

När CentOS är färdiginstallerat och kongurerat ska QRadar Community Edi- tion installeras. QRadar Community Edition är en gratisversion av QRadar vilket är avsedd för enskilt bruk och släpps utan garanti. QRadar CE tillhan- dahåller några av de möjligheter som ett licensierat QRadar har. QRadar CE kan hantera 50 händelser per sekund och 5000 öden per minut. Detta kon- gureras med grundläggande funktioner för att samla in event och öden. Event ska samlas in från en virtuell Windows-dator och från en brandvägg. Flöden ska samlas in från QRadars virtuella interface.

3.3 Genomförande av tester (händelser och öden)

Det som ska genomföras är att ta fram information om säkerhetshändelser i form av systemloggar från en virtuell dator körandes operativsystemet Micro- soft Windows 10 Professional med hjälp av programmet WinCollect [11]. Flö- den (nätverkstraken) ska läsas av från det virtuella gränssnitt som QRadar är kopplat till.

3.4 Dokumentation

En enklare dokumentation ska skrivas vilket beskriver hur QRadar ska installe- ras, men även hur man kan få fram information gällande händelser och öden.

4 Konguration

Kongurationskapitlet tar upp hur installationerna av CentOS samt QRadar gjordes samt de applikationer som använts för att få fram information gällande händelser och öden.

4.1 Installation av CentOS

För att kunna köra QRadarCE behövdes CentOS [12]. Minimala ISO-versionen av CentOS 7 laddades ner och installerades på organisationens server körandes en virtuell maskin (VMware ESXi 6.5) [Figur 2].

Figur 2: CentOS-VMWare-ESXi65 Systemkrav för QRadar Community Edition:

Minne (RAM) Minimum: 4 GB (Valde 8 GB)

Fritt hårddiskutrymme Minimum: 80 GB (Valde 200 GB) Processor Minimum: 2 CPU Kärnor (Valde 4 CPU Kärnor)

Efter omstart startade CentOS i terminalfönstret där inloggning krävdes vil- ket valdes under installationen. Jag kongurerade nätverksuppgifterna [Figur 3]

för QRadar i lerna ifcfg-ens192 i katalogen /etc/syscong/network-scripts

(bild a) och network i katalogen /etc/syscong (bild b) samt resolv.conf i katalogen /etc (bild c). Jag kontrollerade att det var rätt kongurerat genom att använda ping-kommandot mot Internet ping google.com"(med ping kan man kontrollera nätverkskontakt mellan lokala eller större nätverk, vilket sker genom att kommandot skickar informationspaket till en given adress och mäter sedan svarstiden från den adressen). Installation samt konguration tog ca 1 timme att genomföra. Detta är dock beroende på den hårdvara systemet har som man installerar det på.

(a) ifcfg-ens192 (b) network

(c) resolvconf

Figur 3: Nätverkskongurationer

4.2 Installation av QRadar

Jag började med att hämta QRadar CE 7.3 från IBM [13]. För installationen av QRadar behövde jag först skicka ISO-len för QRadar till CentOS. Jag använde FTP-programmet FileZilla [14] och laddade upp len i katalogen /tmp. Jag öppnade därefter terminalfönstret för CentOS och gick till /tmp och monterade ISO-len mot /media. Därefter gick jag till /media och skrev setup för att starta installationen av QRadar. Jag valde standardinställningarna, men fyllde i de relevanta nätverksuppgifterna för QRadar. Denna installation tog ca 1 timme att genomföra. Även detta är beroende på den hårdvara systemet har som man installerar det på.

När installationen var klar öppnade jag en webbläsare (Google Chrome) [15] och skrev in den IP-adress som bestämts för QRadar. Efter ett litet tag öppnades QRadars användargränssnitt (Dashboard), se Figur 1 Kap 2.2.

I iken Admin nns en knapp som heter System and License Management vil- ken öppnar en ruta där man kan se vilken version som körs, licenser samt dess begränsningar [Figur 4]. Då detta var QRadar Community Edition (gratisver- sion) var den begränsad till en användare och kunde bara hantera 50 händelser per sekund och 5000 öden per minut.

Figur 4: QRadar System Licence

4.3 Händelseloggar från Windows

För att kunna se vad som sker hos en värd bestående av en dator körandes operativsystemet Windows behövs ett sätt att kunna skicka den informationen från värden till QRadar. För detta behövs WinCollect installeras på värdda- torn. WinCollect skickar systemloggar från datorn till QRadar där de läses in för händelseövervakning. För denna rapport installerades varianten StandAlo- ne. På sidan WinCollect overview [11] under Setting up a Managed WinCollect deployment på IBM knowledge Center nns information om varianten Managed (fjärrstyrt från QRadar Console) om det ska användas istället.

4.3.1 Installation av Windows 10 Professional

För att kunna göra tester gällande event från en värddator körandes Windows behövde jag installera Windows 10 Professional på organisationens server kö- randes en virtuell maskin (VMware ESXi 6.5).

4.3.2 Log Source Security Event Log

Jag började med att först kontrollera i QRadar att Log Source Security Event Log nns som Log Source Type i Log Sources i Admin-iken. Då det inte fanns behövdes det hämtas från IBM Support: Fix Central [16] och installeras i QRa- dar. I dess sökfunktion valde jag att det skulle vara för Windows varpå QRadar DSM för Windows hittades. När len laddats ner, skickade jag len med FTP till den IP-adress som QRadar använde och lade len i /tmp-katalogen. Jag loggade därefter in i Qradar-konsolen och installerade len (yum install 'lnam- net'). När installationen var klar behövde den aktiveras i QRadar vilket gjordes genom att trycka på Deploy Changes-knappen i Admin-iken. QRadar kunde därefter ta emot och behandla Windows-loggar. Under iken Log Activity syntes loggar från värden men efter några Unknown log event lärde sig QRadar att dessa är Windowsloggar och visade dess logginformation. I Log Sources under Admin-iken syntes nu värdens uppgifter [Figur 5].

Figur 5: Log Sources

4.3.3 WinCollect på Windows-värd

WinCollect version 7.2.7-20 hämtades från IBM Support: Fix Central [16]. Jag hämtade även den senaste StandAlone-patchen för WinCollect vilken innehåller WinCollect Conguration Console. För att kunna köra WinCollect måste .NET 3.5 [17] och Microsoft Management Console 3.0 vara installerade och då Micro- soft Management Console 3.0 redan var installerad behövde jag bara installera .NET 3.5.

Därefter installerade jag WinCollect på värddatorn och fyllde i:

• användarnamn och organisation

• att det ska vara StandAlone, dvs utan styrning från QRadar

• att den ska vara en loggkälla, namn och identiering för denna (använde värddatornamn)

• vilken sorts loggar WinCollect ska skicka till QRadar

• namn på mottagaren (console) med dess IP-adress

• port 514 och TCP är redan inställt för WinCollect

• sen använde jag standardinställningarna för resten av alternativen och slutförde installationen.

När det var klart installerade jag StandAlone-patchen för WinCollect med det användar- och organisationsnamn som gavs vid installationen av WinCollect, och använde standardinställningarna för resten och slutförde installationen. In- stallationen tog ca 10 minuter, men kan variera beroende på konguration.

För att WinCollect-agenter ska kunna kommunicera med QRadar måste brand- väggar som nns mellan QRadar och WinCollect-agenter tillåta trak på dessa portar:

Port 8413: Krävs för att kunna styra WinCollect-agenterna samt för funktioner som kongurationsuppdateringar. Trak skickas över TCP och kommunikatio- nen är krypterad.

Port 514: Används av WinCollect-agenten för att vidarebefordra händelser från syslog till QRadar. WinCollect-loggkällor kan kongureras för antingen TCP eller UDP för händelseleverans [18].

Loggarna skickas okrypterade, men det går att ställa in så att de skickas krypte- rade genom att kongurera WinCollect-destinationen för att använda ett TLS- certikat (Transport Layer Security). [19] Man kan även kongurera en loggkälla i StandAlone-versionen av WinCollect för att skicka krypterade händelser till QRadar med TLS syslog. Managed WinCollect stöder inte TLS Syslog. [20]

När installationerna var klara, gick jag till Systemgranskningsprinciper i Win- dows 10 via Administrationsverktyg > Lokal säkerhetsprincip > Konguration av avancerad granskningsprincip > Systemgranskningsprinciper. Där ställdes de loggningsregler in som skulle skickas till QRadar [Figur 6]. Detta nns dock ej i Home, Premium eller Starter versionerna av Windows 10, bara i Ultimate, Enterprise och Professional. Kongurationstiden kan variera mycket på denna del beroende på hur många loggningsregler man väljer, men då jag bara valde ut några enklare regler tog det ca 5 minuter.

Figur 6: Lokal Säkerhetsprincip-In/Utloggning

När alla inställningar var klara, öppnade jag WinCollect Conguration Console i Startmenyn. Under menyn Devices, Microsoft Windows Event Log fanns den enhet som installerades [Figur 7]. I kontrollpanelen gick det att lägga till eller ta bort det som skulle loggas. Det bör inte skickas event som inte är relevanta då detta påverkar begränsningen på Qradars EPS (Event Per Second).

Figur 7: WinCollect Conguration Console

4.3.4 Log Activity

För att skapa en händelse och kontrollera att WinCollect fungerade provade jag med att i värden gå in i kommandotolken och pingade google.se. Sedan öppnade jag QRadars Log Activity-ik för att se om dessa pingar visades som event från värden [Figur 8]. För att ta reda på vem som är ägare av en viss IP-adress högerklickar man på IP-adressen och väljer WHOIS Lookup. När jag öppnade WHOIS Lookup för IP-adressen 172.217.21.142 visade den att det var Googles adress [Figur 9].

Figur 8: Event Ping Google.com

För att kunna utforska loggarna måste man först pausa ödet. Därefter kan man välja bland de som visas, men man kan även välja att bara se de som passerat de senaste 5 minuterna, den senaste timmen eller upp till de senaste 7 dagarna.

Om det kommer väldigt mycket loggar kan man välja att ltrera bort de man inte vill se. Då pausar man loggödet och högerklickar på den eventtyp som man ej vill ska visas och väljer Filter on Event Name is not *. Då kommer det ej visas bland eventen. Detta är dock bara temporärt [Figur 10]. QRadar fortsätter att logga ödet i bakgrunden under pausen.

Figur 9: WHOIS Lookup Google.com

Figur 10: Log Activity Filter Win 10

Man kan även använda sig utav olika lter för att få fram den information man vill ha gällande eventen. För att se vad eventen består av kan man dubbelklicka på eventraden. Då öppnas ett nytt webbläsarfönster med loggens information.

Om eventen rullas i realtid måste dessa pausas först för att kunna kontrolleras.

4.3.5 Sysmon

För att utöka funktionerna i QRadar kan man hämta tillägg hos IBM App Exchange [21] [Figur 11]. Vissa är gratis medans vissa kostar pengar att använda.

Detta kräver dock att man har rätt behörighet i sitt IBM-Id. För att enkelt hämta och installera den/de tillägg man vill ha i QRadar går man in i Admin-

iken i QRadar och öppnar Extensions Management. Högs upp till vänster nns en knapp som heter IBM Security App Exchange. När man klickar på den så öppnas IBM App Exchange.

Figur 11: QRadar App Exchange Page

Tillägget IBM QRadar Content for Sysmon [22] innehåller ertalet nya regler gällande olika attacker och liknande, för att kunna ta fram och visa i QRadar vilken typ av attack det är. IBM App Exchange beskriver IBM QRadar Content for Sysmon som [22]:

Sysmon is a Windows system service and device driver that moni- tors system activity and logs events in the Windows event log.

Sysmon is free, easy to install, and it provides more detailed infor- mation than the Windows security logs. QRadar uses the forwarded logs to detect advanced threats on Windows endpoints.

This content pack provides many use cases to detect advanced thre- ats, such as PowerShell abuse, hidden Windows processes, 'leless' memory attacks, code obfuscation, and many more.

This content pack includes new oenses rules, building blocks, refe- rence sets, and custom functions that enhance detection capabiliti- es.

För att hämta Sysmon klickade jag på Download-knappen uppe i högra hörnet på IBM App Exchange-sidan för Sysmon. Sen öppnade jag Extension Manager och klickade på Add-knappen och sökte efter den nedladdade len. Därefter valde jag att installera len direkt och tryckte sen på Add-knappen (om man väljer att len inte ska installeras direkt måste man sedan klicka på det valda tillägget och välja att installera det). Installationen tog ca 10 minuter. Efter installationen gick jag till Oenses-iken och klickade på Rules. Där syntes de nya reglerna som lagts till [Figur 12]. Sysmon innehåller även extra tillägg för andra tredjepartstillägg som kan installeras i QRadar.

Figur 12: Sysmon Rules

4.4 Flöden

För att lägga till öden i QRadar gick jag in på Admin-iken och öppnade Flow Sources där jag tryckte på Add-knappen. Där fyllde jag i den information som gällde för den ödeskällan, så som namn, vilken Flow Collector som skulle användas och vilken typ av öde det gällde [Figur 13]. Då typen av ödeskälla i detta fall var Network Interface valde jag ens192 som gränssnittet där ödet togs från. Gränssnittet ens192 är det gränssnitt QRadar skapar i CentOS för all trak till och från QRadar. Vid varje ändring i Admin-iken måste man komma ihåg att trycka på Deploy Changes högst upp på sidan för att ändringen ska köras.

Figur 13: Flow Source Management - Details

5 Resultat

Resultatkapitlet tar upp resultatet av ett inloggningstest samt ödesspårning.

Det är dock väldigt begränsat beroende på de förutsättningar jag hade. Det tar även upp den uppskattade tiden det tog att installera QRadar.

5.1 Händelselogg

För att testa loggfunktionen från Windows 10 valde jag att skriva in fel lösenord när jag skulle logga in på den virtuella datorn med Windows 10. Detta loggades och skickades till QRadar som visade felmeddelandet som ett event [Figur 14].

Denna funktion jag sedan tidigare ställt in i systemgranskningsprincipen inlogg- ning.

Figur 14: Event Name Login Fail - Windows 10

Då jag klickade på händelsen öppnades ett nytt fönster med ytterligare hän- delseinformation vilket talar om exempelvis vad som hänt, vad som skapade händelsen och när den skapades [Figur 15]. Den visar även magnituden (Mag- nitude) på händelsen och indikerar brottets relativa betydelse vilket beräknas baserat på relevans, allvarlighetsgrad och trovärdighetsgrad.

Figur 15: Event Login Failure - Windows 10

5.2 Flödestest

För att få fram den information man eftersöker nns det lterfunktioner att använda sig av. Dels nns det färdiga lter men man kan även skapa egna lter genom att skriva vad man söker efter. Detta exempel visar resultatet för när jag

ltrerade på Source IP för den information som skickades genom QRadar under en halvtimme [Figur 16]. Detta visade vilka de största sändarna var, både som cirkeldiagram och som stapeldiagram. I detta fallet var mottagaren den virtuella Windows 10 installationen och traken skapades uinder en uppdatering.

Figur 16: Flow List - SourceIP - Visar öde under en uppdatering

För att ta reda på vem som är ägare av en viss IP-adress i ödet behövde jag först pausa ödet av information som visas i QRadar varpå jag högerklickade på en IP-adress och valde WHOIS Lookup [Figur 17]. I detta fallet var det en adress tillhörande Microsoft.

Figur 17: WHOIS Lookup

5.3 Installationstid

Detta är de uppskattade tiderna för installationerna:

CentOS: ca 1 timme 30 minuter, detta är dock beroende av vilka inställningar som använts.

QRadar: ca 1 timme 30 minuter, även detta är beroende på inställningarna.

WinCollect (StandAlone): ca 10 minuter, utöver detta tillkommer konguratio- ner både för WinCollect samt i Windows vilket i detta fall tog ca 5 minuter då jag bara använt mig av några loggningsregler.

SysMon: ca 10 minuter

Den sammanlagda uppskattade installationstiden för dessa är 3 timmar och 45 minuter. Dock tog det betydligt längre tid för mig att installera dessa då jag behövde läsa på hur dessa installationer samt kongurationer skulle genomföras i praktiken.

6 Diskussion

Diskussionskapitlet tar upp en etisk diskussion angående SIEM, dokumentatio- nen, en utvärdering av QRadar samt lyfter fundering kring ett möjligt framtida arbete.

6.1 Etik

Då säkerhetsanalytikern eller administratören av QRadar lätt kan få reda på all information gällande den datatrak som skickas i det kontrollerade nätver- ket är det väldigt viktigt att denna information ej missbrukas. Det måste gå att lita på att den ansvarige ej använder informationen på fel sätt. QRadar SIEM ger djupgående synlighet till nätverks-, användar- och applikationsaktivi- tet. Det tillhandahåller insamling, normalisering, korrelation och säker lagring av händelser, öden, tillgångar, topologier och sårbarheter. Datatraken inne- håller exempelvis information om användare, IP-adresser, vad en viss person gjort på internet, bilder samt media. Det är olagligt att behandla personuppgif- ter på fel sätt. Det är viktigt att tänka på den personliga integriteten när det gäller vad som loggas. Det måste säkerställas att QRadar SIEM inte används oetiskt, till exempel om de anställda spioneras på utan dess vetskap. Alla bör veta om att ett SIEM används i deras nätverk. Även om de ansvariga inte miss- brukar informationen så kan till exempel någon som avlyssnar den datatrak som skickas mellan värd och QRadar få reda på informationen om traken inte krypteras. Detta skulle kunna leda till att sekretessbelagt material sprids eller om det gäller personer så skulle det kunna leda till utpressning.

6.2 Dokumentation

Den dokumentation som skapats inom detta arbete för Företagets konsulter skrevs under arbetets gång. Den innehåller en grundläggande beskrivning för installation av IBM QRadar SIEM samt hur man får QRadar att hantera hän- delser och öden. Se Bilaga .A - Dokumentation.

6.3 Utvärdering

Då jag bara hade tillgång till den begränsade gratisversionen samt att jag kör- de systemet virtuellt har jag inte kunnat testa QRadars kapacitet till fullo. De tester jag genomförde fungerade utan problem men jag var ej i närheten av den mängd event och öde gratisversionen klarade av (50 EPS och 5000 FPM).

Mängden event samt öde som kan hanteras bestäms av den licens som skaf- fas till QRadar och beställs efter behovet hos beställaren samt vilken kapacitet hårdvaran [23] har som används. QRadar kan hantera information som trans- porteras inom det bestämda nätverket, kunna analysera vad som sker, antingen helt vanlig användning eller om det sker någon form av attack inom nätverket.

Det kan även övervaka nätverkstraken för att kontrollera att om någon person

gör något hen inte ska göra och i så fall ta reda på vem den personen är, vart hen benner sig och exakt vad hen gjort [24].

Det har varit väldigt intressant att läsa om och använda QRadar, även om det var väldigt begränsat. Jag har genom detta arbete fått reda på betydelsen av att kunna kontrollera den trak som färdas inom nätverk för att få en överblick av vad som sker samt att kunna förhindra händelser som inte får ske.

6.4 Framtida arbete

Ett framtida arbete skulle kunna gälla information gällande IBM QRadar SI- EM's övriga funktioner samt information gällande dess applikationer, men även att fördjupa sig i händelser och öden, vilket bara beskrivits enklare i detta arbete. Framtida arbete skulle även kunna genomföras i riktig miljö för att få fram mer information och data, då detta arbete bara genomfördes i en virtuell miljö.

Referenser

[1] IBMSecurityLearningAcademy. Roadmap:QRadar Foundations Le- vel 100; Hämtad 2018-09-13. Available from: https://www.

securitylearningacademy.com/enrol/index.php?id=1717.

[2] IBMCorporation. IBM Security QRadar Version 7.3.0 User Gui- de; Publicerad 2017-12-21. Hämtad 2018-09-13. Available from:

ftp://public.dhe.ibm.com/software/security/products/qradar/

documents/7.3.0/en/b_qradar_users_guide.pdf.

[3] Stallings W. Network Security Essentials: Applications and Standards. 6th ed. Harlow: Pearson Education Limited; 2017.

[4] ICANN. WHOIS; Hämtad 2019-06-14. Available from: https://whois.

icann.org/en/about-whois.

[5] nu D. Incidentrapportering; Publicerad 2017-03-17. Hämtad 2018-09-13.

Available from: http://dataskyddsombud.nu/incidentrapportering/.

[6] MicroFocus. ArcSight Enterprise Security Manager (ESM); Hämtad 2018-09-13. Available from: https://software.microfocus.com/en-us/

products/siem-security-information-event-management/overview.

[7] SplunkInc. Splunk Enterprise Security; Hämtad 2018-09-13. Avai- lable from: https://www.splunk.com/en_us/software/enterprise- security.html.

[8] AlienVaultInc. AlienVault USM Anywhere; Hämtad 2018-09-13. Available from: https://www.alienvault.com/products/usm-anywhere.

[9] McAfeeLLC. McAfee Enterprise Security Manager; Hämtad 2018-09- 13. Available from: https://www.mcafee.com/enterprise/en-us/

products/enterprise-security-manager.html.

[10] TheCentOSProject. CentOS; Hämtad 2018-09-13. Available from: https:

//www.centos.org/.

[11] IBMKnowledgeCenter. WinCollect overview; Hämtad 2018-09-13. Availab- le from: https://www.ibm.com/support/knowledgecenter/SS42VS_7.2.

6/com.ibm.wincollect.doc/c_wincollect_overview_new.html.

[12] TheCentOSProject. CentOS Download; Hämtad 2018-09-13. Available from: https://www.centos.org/download/.

[13] IBM. QRadar Community Edition; Hämtad 2018-04-17. Available from:

https://developer.ibm.com/qradar/ce/.

[14] FileZilla. FileZilla; Hämtad 2018-09-13. Available from: https://

filezilla-project.org/.

[15] Google. Google Chrome; Hämtad 2018-09-13. Available from: https://

www.google.com/chrome/.

[16] IBM. Fix Central; Hämtad 2018-09-13. Available from: https://www.ibm.

com/support/fixcentral/.

[17] Microsoft. Microsoft .NET Framework 3.5; Hämtad 2018-09-13. Availab- le from: https://www.microsoft.com/sv-se/download/details.aspx?

id=21.

[18] IBMKnowledgeCenter. Communication between WinCollect agents and QRadar; Hämtad 2018-09-13. Available from: https:

//www.ibm.com/support/knowledgecenter/nl/SS42VS_7.2.6/com.

ibm.wincollect.doc/c_ug_wincollect_comm_event_collector.html.

[19] IBMKnowledgeCenter. Conguring a destination with TLS in the WinCollect Conguration Console; Hämtad 2018-09-13. Availab- le from: https://www.ibm.com/support/knowledgecenter/en/

SSKMKU/com.ibm.wincollect.doc/t_wincollect_config_console_

tls_destination_config.html.

[20] IBMKnowledgeCenter. Sending encrypted events to QRadar; Häm- tad 2018-09-13. Available from: https://www.ibm.com/support/

knowledgecenter/en/SSKMKU/com.ibm.wincollect.doc/t_ug_

wincollect_syslog_tls.html.

[21] IBMSecurity. IBM App Exchange; Hämtad 2018-09-13. Available from:

https://exchange.xforce.ibmcloud.com/hub.

[22] IBMSecurity. IBM QRadar Content for Sysmon; Hämtad 2018-09-13. Avai- lable from: https://exchange.xforce.ibmcloud.com/hub/extension/

e41e758e2ab5786173438cd09219a9d0.

[23] IBM. IBM Security QRadar Version 7.3.2 Hardware Guide; Häm- tad 2019-06-19. Available from: https://www.ibm.com/support/

knowledgecenter/SS42VS_7.3.2/com.ibm.qradar.doc/b_QRadar_

hardware_guide.pdf.

[24] IBM. IBM QRadar SIEM; Hämtad 2019-06-25. Available from: https:

//www.ibm.com/se-en/marketplace/ibm-qradar-siem.

Bilagor

.A Dokumentation

Security Information and Event Management (SIEM)

Installation,

händelseloggar från Windows samt flöden

MITTUNIVERSITETET Författare: Rickard Zetterlund

Utbildningsprogram: Nätverksdrift, 120 hp

Kurs: DT140G - Datateknik B, Självständigt arbete, 15 hp Huvudområde: Datateknik

Termin, år: VT 2018

3. Installation av QRadar 3

4. Användargränssnittet 3

5. Händelseloggar från Windows 4

5.1 Log Source Security Event Log 4

5.2 WinCollect på Windows-värd 4

5.3 Sysmon 6

6. Flöden 7

6.1 Flödeskällor 7

6.1.1 Interna flödeskällor 7

6.1.2 Externa flödeskällor 7

6.2 Flöden i QRadar 8

6.3 Flödesexempel 8

samt att förhindra falska positiva och negativa incidenter. QRadar är en plattform skapad av IBM för att hantera dessa saker.

2. Hårdvara

QRadar använder sig utav 2 olika hårdvarusystem: All-In-One (Allt i ett) eller Distribuerat.

All-In-One är en enda enhet vilken samlar in både händelser och flödesdata från olika säkerhets- och nätverksenheter. Den utför även datasamband och regelmatchning samt rapporterar varningar.

Den tillhandahåller alla funktioner via en webbläsare.

Ett distribuerat system består av flera enheter för olika ändamål:

• Event processor: för att samla in, bearbeta och lagra logghändelser

• Flow processor: för att samla in, bearbeta och lagra flera typer av flödesdata vilka genereras från nätverksenhet. Valfri QFlow Collector används för att samla lager 7-applikationsdata.

• Konsol för datasamband från hanterade processorer, generera varningar/rapporter samt tillhandahålla alla administrationsfunktioner.

Mer information gällande alla hårdvaruenheter samt dess funktioner finns att läsa i ”IBM Security QRadar Version 7.3.1 Hardware Guide” [1].

3. Installation av QRadar

För att installera QRadar, följ IBM Security QRadar Version 7.3.1 Installation Guide PDF [2] för just det system och på det sätt du vill installera. PDF’en tar upp vad som behövs vid installationen samt skapandet av ett startbart USB-minne då det kan behövas. Den tar även upp

installationsförfarandet av Red Hat Enterprise Linux (RHEL) om detta behövs för systemet, men även om systemet ska köras virtuellt, antingen via virtuell maskin eller via molnet.

4. Användargränssnittet

QRadars funktioner är uppdelade i olika flikar i webbläsaren.

• Fliken Dashboard visas vid inloggning. Den ger en arbetsmiljö som stöder flera paneler vilka visar olika värden gällande nätverkssäkerhet, aktivitet eller data som QRadar samlar in.

• Fliken Offenses tillåter dig se förseelser som uppstår i nätverket. Dessa kan hittas genom kraftfulla sökningar eller olika navigationsalternativ.

• Fliken Log Activity låter dig undersöka händelseloggar vilka skickas till QRadar i realtid, utföra kraftfulla sökningar på händelser och göra djupgående händelsedataundersökningar.

• Fliken Network Activity används för att undersöka flöden som skickas i realtid, utföra kraftfulla sökningar på flöden och visa nätverksaktivitet. Ett flöde är en kommunikations- session mellan två värdar. Genom att titta på flödesinformation får man reda på hur trafiken kommuniceras, vad som kommuniceras och vem som kommunicerar.

• Fliken Assets visar de automatiskt upptäckta tillgångarna, till exempel de servrar och värdar som finns inom nätverket.

• I fliken Reports kan du skapa, distribuera och hantera rapporter för alla data inom QRadar.

• I fliken Admin finns alla inställningar för QRadar, till exempel systemkonfiguration, tillgångar, event och flöden.

QRadar där de läses in för händelseövervakning. I denna dokumentation installeras varianten StandAlone. På sidan WinCollect overview [3] under ”Setting up a Managed WinCollect

deployment” på IBM knowledge Center finns information om varianten Managed (fjärrstyrt från QRadar Console) om det ska användas istället.

5.1 Log Source Security Event Log

Kontrollera först i QRadar att Log Source Security Event Log finns som Log Source Type i Log Sources i Admin-fliken. Om det inte finns måste det hämtas från Fix Central [4] och installeras i QRadar. Välj att det ska vara för Windows och sök så hittas QRadar DSM för Windows. När filen laddats ner, skicka filen med FTP till den IP-adress som QRadar använder och lägg filen i /tmp- katalogen. Logga därefter in i Qradar-konsolen och installera filen (yum install ’filnamnet’). När installationen är klar måste den aktiveras i QRadar vilket görs i Admin-fliken ”Deploy Changes”.

QRadar ska nu kunna ta emot och behandla Windows-loggar. Under fliken Log Activity syns loggar från värden och efter några ”Unknown log event” lär sig QRadar att dessa är Windowsloggar och visar dess logginformation. I Log Sources under Admin-fliken syns nu värden.

5.2 WinCollect på Windows-värd

WinCollect används för att skicka Syslog-händelser från Windows-värdar till QRadar. WinCollect med StandAlone-inställning kan samla händelser från system med WinCollect installerade (lokala system). Detta kan även ske fjärrstyrt (Managed). På sidan WinCollect overview [3] under ”Setting up a Managed WinCollect deployment” på IBM knowledge Center finns information gällande detta.

WinCollect hämtas från IBM Support: Fix Central [4]. Hämta även den senaste StandAlone-patchen för WinCollect vilken innehåller WinCollect Configuration Console. För att kunna köra WinCollect måste .NET 3.5 och Microsoft Management Console 3.0 vara installerade. Installera WinCollect på

loggningsregler in som ska skickas till QRadar. Detta finns dock ej i Home, Premium eller Starter versionerna av Windows 10, bara i Ultimate, Enterprise och Professional.

När alla inställningar är klara, öppna WinCollect Configuration Console i Startmenyn. Under menyn Devices, Microsoft Windows Event Log finns den enhet som installerades. I kontrollpanelen kan man lägga till och ta bort det ska loggas. Det bör inte skickas event som inte är relevanta då detta påverkar begränsningen på Qradars EPS (Event Per Second).

För att se om WinCollect fungerar kan man testa med att i värden göra en ping och sedan kontrollera i QRadars Log Activity-flik för att se om dessa pingar visas som event från värden.

Om det kommer väldigt mycket loggar kan man välja att filtrera bort de man inte vill se. Pausa loggflödet och högerklicka på den eventtyp som ej ska visas och välj ”Filter on Event Name is not

5.3 Sysmon

För att utöka funktionerna i QRadar kan man hämta tillägg hos IBM App Exchange [5]. Vissa är gratis medans vissa kostar pengar att använda. För att enkelt hämta och installera den/de tillägg man vill ha i QRadar går man in i Admin-fliken i QRadar och öppnar Extensions Management. Högst upp till vänster finns en knapp som heter IBM Security App Exchange. När man klickar på den så öppnas IBM App Exchange [5].

Tillägget IBM QRadar Content for Sysmon [6] innehåller flertalet nya regler gällande olika attacker och liknande, för att kunna ta fram och visa i QRadar vilken typ av attack det är. IBM App

Exchange beskriver IBM QRadar Content for Sysmon [6] i som:

”Sysmon is a Windows system service and device driver that monitors system activity and logs events in the Windows event log.

Sysmon is free, easy to install, and it provides more detailed information than the Windows security logs. QRadar uses the forwarded logs to detect advanced threats on Windows endpoints. This content pack provides many use cases to detect advanced threats, such as PowerShell abuse, hidden Windows processes, 'fileless' memory attacks, code obfuscation, and many more.

Manager och klicka på Add-knappen, sök efter den nedladdade filen, välj om den ska installeras direkt eller inte, och tryck sedan på Add-knappen. Om filen inte valdes att installeras direkt måste man klicka på det valda tillägget och välja att installera det. Efter installationen kan man gå till Offense-fliken och se de nya regler som lagts till. Sysmon innehåller även extra tillägg för andra tredjepartstillägg som kan installeras i QRadar.

6. Flöden

I IBM® Security QRadar®-hårdvaror lägger QRadar SIEM automatiskt till standardflödeskällor för de fysiska portarna på hårdvaran. QRadar SIEM har även ett standardflöde (NetFlow). Om QRadar SIEM är installerad på egen hårdvara (ej IBM® Security QRadar®) försöker QRadar SIEM att automatiskt identifiera och lägga till standardflödeskällor för alla sorters fysiska enheter, t.ex. ett nätverkskort (NIC). När du lägger till en QRadar QFlow Collector så innehåller QRadar SIEM ett standardflöde (NetFlow).

6.1 Flödeskällor

Med QRadar SIEM kan du integrera flödeskällor. Flödeskällor är klassade som interna eller externa.

6.1.1 Interna flödeskällor

Inkluderar extra hårdvara som är installerad på en hanterad värd, till exempel ett nätverkskort (NIC). Beroende på den hårdvara din hanterade värd består av kan de interna flödeskällorna innehålla följande källor:

Nätverkskort

Napatech-gränssnitt 6.1.2 Externa flödeskällor

Inkluderar externa flödeskällor som skickar flöden till QRadar QFlow Collector. Om din QRadar QFlow Collector tar emot flera flödeskällor kan du tilldela varje flödeskälla ett distinkt namn. När extern flödesdata tas emot av samma QRadar QFlow Collector, hjälper det att ha ett distinkt namn för att enklare skilja på från vilken flödeskälla datat kommer från.

Externa flödeskällor kan innehålla följande källor:

NetFlow IPFIX sFlow J-Flow Packeteer Flowlog file

Network Interface måste man välja det gränssnitt som flödet ska tas från. Vid varje ändring i Admin-fliken måste man komma ihåg att trycka på ”Deploy Changes” högst upp på sidan.

6.3 Flödesexempel

Man kan använda sig utav filter för att få fram den information man vill se. Här visas ett exempel på när man filtrerar på Source IP.

ware_guide.pdf

[2] IBM Security QRadar Version 7.3.1 Installation Guide

https://www.ibm.com/support/knowledgecenter/SS42VS_7.3.1/com.ibm.qradar.doc/b_siem_inst.pdf [3] WinCollect overview

https://www.ibm.com/support/knowledgecenter/SS42VS_7.2.3/com.ibm.wincollect.doc/c_wincolle ct_overview_new.html

[4] IBM Support: Fix Central

https://www.ibm.com/support/fixcentral/

[5] IBM App Exchange

https://exchange.xforce.ibmcloud.com/hub [6] IBM QRadar Content for Sysmon

https://exchange.xforce.ibmcloud.com/hub/extension/e41e758e2ab5786173438cd09219a9d0 [7] Flow Sources

https://www.ibm.com/support/knowledgecenter/SS42VS_7.2.6/com.ibm.qradar.doc/c_qradar_adm_

flow_source_ovrvw.html