← Back

LESSON 10

SIEM (Security Information and Event Management)

SIEM Workflow Data Sources Firewalls Servers Cloud Services Endpoints SIEM Platform Log Aggregation Event Correlation Threat Detection Outputs Real-time Alerts Dashboards Compliance Reports Incident Response Splunk • IBM QRadar • ELK Stack • Microsoft Sentinel

What is SIEM?

SIEM aggregates security logs from multiple sources for real-time analysis, alerting, and compliance.

Data Sources:

  • Firewalls, IDS/IPS
  • Servers, endpoints
  • Cloud services (AWS CloudTrail, Azure logs)
  • Network devices
  • Applications

Core Functions

  • Log Management: Collect, normalize, store logs centrally
  • Event Correlation: Connect seemingly unrelated events to identify patterns
  • Real-Time Monitoring: Dashboards, alerts
  • Compliance Reporting: Generate audit reports (PCI-DSS, HIPAA)
  • Incident Response: Forensic investigation, timeline reconstruction
Event Correlation Example:
Event 1: Failed login from IP 10.1.1.5 (isolated, low priority)
Event 2: Same IP, 100 failed logins in 5 min (brute force!)
Event 3: Successful login after 100 attempts (compromised!)
Event 4: Privilege escalation from that account (lateral movement!)
SIEM: Correlates all 4 → High-priority alert: "Account takeover + privilege escalation"

UEBA (User and Entity Behavior Analytics)

Advanced SIEM feature using ML to detect anomalies:

  • Baseline: Learn normal behavior (John logs in 9 AM-5 PM from New York)
  • Anomaly Detection: John logs in at 3 AM from Russia → Alert!
  • Insider Threats: Employee downloads 10GB customer data (normal: 10MB/day) → Alert!
Example: Sales manager typically accesses CRM 20 times/day. Suddenly accesses database 500 times in 1 hour, downloads sensitive files.
UEBA: Flags as "Potential data exfiltration, possible insider threat"

Popular SIEM Tools

  • Splunk: Powerful search, expensive
  • IBM QRadar: Enterprise-grade, AI-powered
  • ELK Stack (Elastic): Open-source, customizable
  • Microsoft Sentinel: Cloud-native, Azure integration

SIEM kiyanne mokakda?

SIEM එකෙන් සම්පූර්ණ සංවිධානයේ ඇති ආරක්ෂක logs එකතු කරලා විශ්ලේෂණය කරනවා real-time එකෙන් තර්ජන හඳුනාගන්න.

දත්ත ප්‍රභව: Firewalls, servers, cloud සේවා (AWS), network routers, යෙදුම් - ඒ වගේ පද්ධතියකින් logs එකතු කරනවා මධ්‍යම ස්ථානයකට.

ඇයි වැදගත්? තනි උපාංගයක logs බලලා විතරයි ප්‍රහාරය හඳුනාගන්න බැහැ. SIEM එකෙන් බහු ප්‍රභවවල logs සහසම්බන්ධ කරලා සම්පූර්ණ චිත්‍රය බලනවා.

Core Functions

1. Log කළමනාකරණය: දිනපතා GB ගණන් logs විවිධ පද්ධතිවලින් ඇවිත්. SIEM එක මධ්‍යව ගබඩා කරලා දෙනවා.

2. සිදුවීම් සහසම්බන්ධය (SIEM හි බලය):

හුදකලා සිදුවීම් ගොඩක් තිබෙන්න පුළුවන් වෙන වෙනම, අර්ථ රහිත වගේ. SIEM එක ඒවා සම්බන්ධ කරලා තර්ජනය හඳුනාගන්නවා.

උදාහරණය:

  • සිදුවීම 1: පරිශීලක ගිණුම් login අසාර්ථක උත්සාහය (තනි අසාර්ථකත්වය, නොසලකා හරින්න)
  • සිදුවීම 2: එකම ගිණුම, අසාර්ථක උත්සාහ 100ක් මිනිත්තු 5ක් ඇතුළත (brute force ප්‍රහාරය!)
  • සිදුවීම 3: 101වන උත්සාහය සාර්ථක (මුරපදය කඩා ගත්තා!)
  • සිදුවීම 4: ගිණුමෙන් admin ප්‍රවේශ ඉල්ලීම (වරප්‍රසාද උත්ශ්‍රේණිය!)

SIEM එක ඒ සිදුවීම් 4ම සහසම්බන්ධ කරලා කියනවා: "ගිණුම් අත්පත් කර ගැනීම + වරප්‍රසාද උත්ශ්‍රේණිය දැන් සිදුවෙමින්!" ඉහළ ප්‍රමුඛතා අනතුරු ඇඟවීම.

3. අනුකූලතා වාර්තාකරණය: PCI-DSS (ගෙවීම් කාඩ් ආරක්ෂාව), HIPAA (සෞඛ්‍ය සේවා) වගේ නියාමන සඳහා වාර්තා උත්පාදනය කරනවා විගණන සඳහා.

4. සිදුවීම් ප්‍රතිචාරය: ප්‍රහාරයක් වුණා කියලා හඳුනාගත්තොත්, SIEM එක කාල රේඛාව ප්‍රතිනිර්මාණය කරනවා: "ප්‍රහාරකයා 2:15 PM එක login වුණා, 2:20 PM එක ගොනු ප්‍රවේශ කළා, 2:30 PM එක දත්ත කාන්දු කළා."

UEBA (User and Entity Behavior Analytics)

UEBA එකෙන් Machine Learning use කරලා සාමාන්‍ය හැසිරීම ඉගෙන ගන්නවා, අසාමාන්‍ය ක්‍රියාකාරකම් හඳුනාගන්නවා.

ක්‍රියාකරන ආකාරය:

  • මූලික රේඛා නිර්මාණය: John දන්නවා 9 AM-5 PM New York කාර්යාලයෙන් login වෙනවා, CRM ප්‍රවේශ කරනවා, emails යවනවා. (සාමාන්‍ය රටාව)
  • විෂමතා හඳුනාගැනීම: හදිසියේ John 3 AM එක Russia ඉන්දලා login → UEBA: "අසාමාන්‍ය! ගිණුම් සම්මුතිය විය හැකියි" → අනතුරු ඇඟවීම

අභ්‍යන්තර තර්ජන හඳුනාගැනීම:

සේවකයෙක් සාමාන්‍යයෙන් 10 MB/දිනකට download කරනවා. හදිසියේ 10 GB පාරිභෝගික දත්ත ගබඩාව download කරනවා. UEBA flags as "දත්ත කාන්දු කිරීමේ උත්සාහය."

උදාහරණය: විකුණුම් කළමනාකරු සාමාන්‍යයෙන් CRM ප්‍රවේශ 20 වතාවක්/දිනකට. හදිසියේ ප්‍රවේශයන් 500ක් පැයකට, ගොනු 1000ක් download. UEBA: "සැක සහිත හැසිරීම, අභ්‍යන්තර තර්ජනය හෝ සම්මුති ගිණුම විය හැකියි."

ප්‍රතිලාභය: සාම්ප්‍රදායික අත්සන-පාදක පද්ධතිවලට නව/නොදන්නා ප්‍රහාර හඳුනාගන්න බැහැ. UEBA හැසිරීම-පාදක, එබැවින් zero-day තර්ජන හඳුනාගන්න පුළුවන්.

Popular SIEM Tools

  • Splunk: ඉතා ප්‍රබල සෙවුම් හැකියාවන්. මිල අධික බලපත්‍ර ගාස්තු. විශාල ව්‍යවසාය භාවිතා කරනවා.
  • IBM QRadar: AI-බලගැන්වූ සහසම්බන්ධය. ව්‍යවසාය-ශ්‍රේණියේ ආරක්ෂාව.
  • ELK Stack (Elasticsearch, Logstash, Kibana): විවෘත-මූලාශ්‍ර, නොමිලේ. අභිරුචිකරණය කළ හැකි, නමුත් වින්‍යාසය සංකීර්ණ.
  • Microsoft Sentinel: Cloud-පාදක, Azure ඒකාබද්ධතාව. Microsoft පරිසර පද්ධති සඳහා හොඳයි.