Real-Time Event Correlation for Windows Event Logs

Abstract

Nye sårbarheter og angrepsvektor blir funnet hver dag. Cyberangrep kan kritisk skade og påvirke bedrifter som blir angrepet. Mange av disse truslene fokuserer på å penetrere nettverket til bedriften for å stjele verdifull informasjon, holde data som gissel eller permanent ødelegge bedriftsnettverket. Kostnaden av et cyberangrep kan være høy, og er ikke bare målt i tapt data eller utstyr, men også bedriftens omdømme og kunder. Dette er grunnen til at det er viktig å identifisere slike angrep så raskt som mulig.

Den mest vanlige måten å bedrive sikkerhetsmonitorering av et nettverk, er ved å bruke løsninger som detekterer, alarmerer og muligens forhindrer sikkerhetshendelser fra å inntreffe ved å overvåke nettverkstrafikken som flyter mellom maskinene i bedriftsnettverket, og ut på internett. Men når bedrifter stadig blir mer og mer digitale, og arbeidsstyrken blir mer vandt til å jobbe fra hvor som helst, enten det er fra hjemme, fra kaffesjappa eller fra stranden, så eroderes bedriftens nettverksperimeter sakte men sikkert bort.

Industriens løsning på dette problemet har vært å skifte fokus vekk fra nettverksbasert overvåkning og deteksjon, og skifte fokus mot endepunktene i nettverket. Sentralisering og analysering av loggdata fra flere endepunkt har blitt mer og mer vanlig i større bedrfiter. Selv om ny teknologi har gjort det enklere å samle og lagre store mengder med eventer, så er det fremdeles et problem hvordan man skal analysere og alarmere på de eventene i sanntid. Det finnes forskjellige løsninger for å korrelere event logger, men vi mener at den type spesialisert programvare kan bli ytterligere forbedret for å øke ytelsen ved sanntidskorrelering av event logger. I denne oppgaven presenterer vi en forbedret metode for å korrelere Windows event logger i nær sanntid.

New vulnerabilities and attack vectors are discovered every day. Cyber attacks can critically impact and cripple businesses that are targeted. Many of these cyber threats focus on penetrating the network of a business to steal valuable information, hold data as ransom or permanently destroy the business network. The cost of a cyber attack can be high, and is not only measured in lost data or equipment, but also the business reputation and client-base. This is why it is important to identify such attacks as soon as possible.

The most common way to do network security monitoring, is to use solutions that detect, alert and possibly prevent security incidents from occurring by monitoring the network traffic that flows to and from the computers in the business network, and out to the internet. But as businesses are moving to become more and more digital, and the workforce is getting accustomed to working from anywhere, be it from home, from the coffee shop or even from the beach, the business network-perimeter is slowly being eroded away.

The industry solution to this has been to shift focus away from network-based monitoring and detection, and shift the focus towards the endpoints in the network. Centralizing and analysing log data from multiple endpoints has become more and more commonplace in enterprises. Even though new technology has made it easier to collect and store huge amounts of events, the problem still persist on how to analyze and alert on those events in real time. There exist different solutions for correlating event logs, but we believe that the specialized software can be further enhanced to improve the performance of real time event correlation. In this thesis we propose an improved method for correlating Windows event logs in near real-time.