zurück zur Übersicht

SIEM in Aktion: Account Sharing erkennen

Account-Missbrauch im SIEM erkennen mit Geo Daten

Komplexität erfordert Automatisierung

Die IT-Infrastruktur in Organisationen unterschiedlicher Branchen und deren Überwachung ist ein immer komplexer werdendes Thema. Immer größeres Wissen und breit gefächerte Expertise ist von Nöten, um die meist heterogene Infrastruktur zu warten, Probleme zu erkennen, Richtlinien durchzusetzen und zeitnah auf Vorfälle reagieren zu können. Ein SIEM-System (Security Information and Event Management) kann dabei umfangreich unterstützen. Es stellt die zentrale Sammelstelle für eine Vielzahl von Informationen in der IT-Infrastruktur dar. So können dort z.B. Informationen der Firewalls oder Proxys gesammelt und auf Anomalien untersucht werden. Etwaige Auffälligkeiten werden sofort an die zuständige Stelle weitergeleitet.

Ein typisches Szenario für den Einsatz eines SIEMs ist zum Beispiel das Erkennen von „Account Sharing“, also die Nutzung von personalisierten Zugangsberechtigungen durch mehrere Personen. Die exemplarische Umsetzung eines solchen Szenarios wird anhand des SIEM-Systems HPE ArcSight ESM erklärt.

Voraussetzungen & Umsetzung

Die Weitergabe von Benutzerdaten an Dritte ermöglicht diesen unberechtigt oder zumindest unkontrolliert auf Daten und Systeme zuzugreifen und stellt meist eine Verletzung der Sicherheitsrichtlinien einer Organisation dar. Das Teilen von Nutzerkonten oder auch Kontendiebstahl kann zu erheblichen Schäden an den betroffenen Systemen selbst und zum Verlust (Diebstahl) von kritischen Daten führen.

Wenn zwei Anmeldungen mit dem gleichen Nutzernamen, aber unterschiedlicher Quelladresse innerhalb einer kurzen Zeitspanne erfolgen, dann könnte dies ein Anzeichen dafür sein, dass das Nutzerkonto möglicherweise kompromittiert oder die Zugangsdaten weitergegeben wurden.

Folgende Voraussetzungen der IT-Infrastruktur müssen gegeben sein, damit es möglich ist, das beschriebene Szenario zu erkennen:

  • Windows Login events:
    • Windows 2003 und früher:
      • Security Log Event ID 528: Successful Logon
      • Security Log Event ID 540: Successful Network Logon
    • Windows 2008/Vista:
      • Windows Security Log Event ID 4624: An account was successfully logged on
    • UNIX Login events (Network Syslog)
    • Remote Login events (bspw. Remote Access über NCP, Juniper MAG etc.)

Spezifische Voraussetzungen für HPE ArcSight ESM:

  • Network/Location Modellierung in HPE ArcSight ESM (private/interne Adressbereiche)
    • Nötig um die korrekten Geo-Informationen wie Längen- und Breitengrad der Quelladresse zu erhalten.
  • Aktuelle GeoIP-Informationen für HPE ArcSight ESM (öffentliche/bekannte Adressbereiche)
    • HPE ArcSight ESM verwendet die integrierte GeoIP Datenbank von MaxMind, um Adressen, die in öffentliche Adressbereiche (z.B. 108.0.0.0-108.255.255.255 (ARIN)) fallen, aufzulösen. Diese muss kontinuierlich aktualisiert werden.

Schritt 1:

In HPE ArcSight ESM werden sogenannte „Active Lists“ erstellt, welche die relevanten Login Events speichern. Man benötigt zwei solcher Listen, eine für die aktuellen Logins und eine für alte Logins.

Schritt 2:

Es wird eine Regel definiert, die die neusten relevanten Login Events, in Abhängigkeit des Benutzernamens, auf die Active List der aktuellen Logins schreibt. Ein bereits existierender Login-Eintrag des gleichen Benutzers wird auf die Active List der alten Logins geschrieben.

Schritt 3:

Eine zweite Regel analysiert die beiden Listen und berechnet durch trigonometrische Funktionen den geographischen Abstand (mit Hilfe von Längen- und Breitengradinformationen) zwischen zwei Login Events (aktuell und vorhergehend) des gleichen Nutzers. Eine zweite Berechnung, berechnet den zeitlichen Abstand zwischen den Login Events. Ergeben sich nun aus diesen Berechnungen utopische Werte, wie z.B. eine Distanz von 800 km und ein zeitlicher Abstand von 3 Minuten, wird ein Alarm erzeugt und zuständige Personen für die Analyse benachrichtigt. Account-Sharing kann so zuverlässig erkannt werden.

Login-Events können im SIEM basierend auf Geodaten analysiert werden
Geographischer Überblick der Login Events

Fazit

Use-Cases sind die Inhalte, die ein SIEM-System zum Leben erwecken und letztlich erst den Mehrwert für den Nutzer generieren, indem sie die automatisierte Auswertung von Informationen wie Log-Daten möglich machen. Wohldefinierte Security-Use-Cases, effiziente Implementierungen und Eskalationsprozesse sorgen für schnelle Reaktionszeiten bei der Bearbeitung von Vorfällen und helfen die IT-Sicherheit einer Organisation zu stärken.

Die iT-CUBE SYSTEMS AG ist zertifizierter HP Gold-Partner für HPE ArcSight Integrationen und Training. Mit mehr als 15 Consultants und Operation Engineers stellen wir das größte Professional-Service-Team im Bereich SIEM im deutschsprachigen Raum. Wir unterstützen Sie bei der Implementierung und Optimierung von Log-Management-Systemen und der Umsetzung von Use-Cases.

Schreibe einen Kommentar