\ /

CASE STUDY - Implementation and Management of a SIEM solution For Log Events Management and Correlation

English version

THE CHALLENGE

The need was to equip ourselves with a management tool that had to be suitable to handle the volume of logs produced by a numerous company devices, and we also needed a tool that would be able to automate tasks as to support the SOC and NOC workflows .

THE SOLUTION

Following evaluations of the conformity of different SIEM solutions offered by different vendors, our choice fell on SIEM Elastic because of its features:

• Scalability of the solution and efficiency in querying large amounts of data in an agile and precise manner;

• Open Source, the participation of the community in the improvement of the solution, makes it a flowing product, capable of adapting to the new needs of analysts

• Modular and unified, Elastic Security offers the possibility of unifying different solutions in a single agent as to ensure maximum adaptability

Elastic SIEM. Elastic Security's solution allows SOC analysts to conduct quickly and profitable analyses of security events.

OUR WORK

  • We start with the selection of data sources for event correlation, identifying critical equipment for business flows and activities. -- Implementation of data ingestion in the SIEM.
  • Activation of the staging phase, during which the volume of alerts and their nature is monitored.
  • Before the final step into production, the rules are tuned on the basis of what emerged in the staging phase.
  • Finally, based on the data available in the SIEM, we move on to the activation of the built-in detection rules and the addition of IoC through the integration of one or more TI feeds.
  • Following our working methodology, which is contrary to the famous IT dogma 'if it works do not touch it', each event and its analysis can be crucial for reasoning about the improvement of product characteristics.

OUR WORK METHODOLOGY

Constant improvement, proactive research, transmission of skills.

Every team member is expected to stop at the essentials, to make an extra assumption, nothing is taken for granted in a 0 Trust context.

In order to be able to conduct proactive threat hunting, we consider it essential to keep abreast of trends in defensive and offensive security.

Finally, the summary of our working methodology is "Moving Together” with a view to a transmission of skills where each member brings his specific weight and specialization to form a collective knowledge.

Versione italiana

LA SFIDA

L’esigenza era quella di dotarci di uno strumento di gestione che fosse adatto alla mole di log prodotta da numerosi dispositivi aziendali, inoltre necessitavamo di uno strumento in grado di automatizzare task per poter sostenere i flussi di lavoro del SOC e del NOC.

LA SOLUZIONE

A seguito di valutazioni circa la conformità delle diverse soluzioni SIEM proposte da differenti vendor, la nostra scelta è ricaduta su SIEM Elastic per le sue caratteristiche:

• Scalabilità della soluzione ed efficienza nell’esecuzione di query tra ingenti quantitativi di dati in maniera agile e precisa;

• Open Source, la partecipazione della community al miglioramento della soluzione, la rende un prodotto liquido, capace di adattarsi alle nuove esigenze degli analisti

• Modulare ed unificato, Elastic Security offre la possibilità di unificare in unico agent diverse soluzioni, per garantire la massima adattabilità

La soluzione Elastic SIEM di Elastic Security, permette agli analisti del SOC di condurre le analisi degli eventi di sicurezza velocemente ed in maniera proficua.

IL NOSTRO LAVORO

  • Partiamo dalla selezione delle data sources per la correlazione degli eventi, individuando gli apparati critici per i flussi e le attività aziendali. -- Implementazione dell’ingestion dei dati nel SIEM.
  • Attivazione della fase di staging, durante la quale viene monitorata la mole di alert e la loro natura.
  • Prima del passaggio finale in produzione, viene fatto il tuning delle regole sulla base di quanto emerso nella fase di staging.
  • Infine, in base ai dati disponibili nel SIEM, si passa all’attivazione delle detection rule built-in ed all’aggiunta di IoC attraverso l’integrazione di uno o più feed di TI.
  • Seguendo la nostra metodologia di lavoro, contraria al celebre dogma informatico “if it works do not touch it”, ogni evento e la sua analisi possono rivelarsi cruciali per un ragionamento circa il miglioramento delle caratteristiche del prodotto.

LA NOSTRA METODOLOGIA DI LAVORO

Miglioramento costante, ricerca proattiva, trasmissione delle competenze.

Ogni membro del team è tenuto a non fermarsi all’essenziale, ad avanzare un’ipotesi in più, nulla è dato per scontato in un contesto 0 Trust.

Al fine di poter condurre delle attività di ricerca proattiva delle minacce (threat hunting), riteniamo fondamentale tenerci costantemente aggiornati sui trend in materia di defensive ed offensive security.

Infine, il sunto della nostra metodologia di lavoro è “Moving Toghether” nell’ottica di una trasmissione di competenze in cui ogni membro porta il suo peso specifico e la sua specializzazione, per formare una conoscenza collettiva.

comments powered by Disqus