Co je SIEM? Průvodce pro začátečníky
SIEM je nyní průmyslovým odvětvím v hodnotě 2 miliard dolarů, ale podle nedávného průzkumu získává hodnotu ze svého SIEM pouze 21,9% těchto společností.
Nástroje SIEM jsou důležitým nástrojem součást ekosystému zabezpečení dat: agregují data z více systémů a analyzují je, aby zachytili abnormální chování nebo potenciální kybernetické útoky. Nástroje SIEM poskytují centrální místo pro sběr událostí a výstrah – ale mohou být drahé, náročné na zdroje a zákazníci hlásí, že je často obtížné vyřešit problémy s daty SIEM.
Průvodce: 5 způsobů, jak SIEM vám selhává (a co s tím dělat)
Co je SIEM?
Bezpečnostní informace a správa událostí (SIEM) je softwarové řešení, které agreguje a analyzuje aktivitu z mnoha různých zdrojů v celé vaší IT infrastruktuře.
SIEM shromažďuje údaje o zabezpečení ze síťových zařízení, serverů, řadičů domén a dalších. SIEM ukládá, normalizuje, agreguje a aplikuje analytiku na tato data, aby zjistil trendy, detekoval hrozby a umožnil organizacím vyšetřovat jakékoli výstrahy.
Jak funguje SIEM?
SIEM poskytuje dva primární funkce týmu pro řešení incidentů:
-
- Hlášení a forenzní informace o bezpečnostních incidentech
- Upozornění založená na analýze, která odpovídá určité sadě pravidel, označující problém se zabezpečením
jádro, SIEM je datový agregátor, vyhledávací a reportovací systém. SIEM shromažďuje obrovské množství dat z celého vašeho síťového prostředí, konsoliduje a zpřístupňuje tato data pro člověka. S kategorizací a rozložením dat na dosah ruky můžete zkoumat narušení zabezpečení dat s tak podrobnými údaji, kolik je potřeba.
Informace o zabezpečení a možnosti správy událostí
Gartner identifikuje tři důležité funkce pro SIEM (detekce hrozeb, vyšetřování a doba reakce) – existují další funkce a funkce, které běžně vidíte na trhu SIEM, včetně:
-
- Základní monitorování zabezpečení
- Pokročilá detekce hrozeb
- Forenzní & reakce na incident
- Sběr protokolů
- Normalizace
- Oznámení a upozornění
- Detekce bezpečnostních incidentů
- Pracovní postup reakce na hrozby
Nejlepší nástroje SIEM
Toto jsou někteří z nejlepších hráčů v prostoru SIEM:
Splunk
Splunk je úplné on-prem řešení SIEM, které Gartner hodnotí jako lídra v prostoru. Splunk podporuje monitorování zabezpečení a může poskytovat pokročilé funkce detekce hrozeb.
Varonis se integruje se Splunk prostřednictvím aplikace Varonis DatAlert pro Splunk.
IBM QRadar
QRadar je další populární SIEM, který můžete nasadit jako hardwarové zařízení, virtuální zařízení nebo softwarové zařízení, v závislosti na potřebách a kapacitě vaší organizace.
QRadar se může integrovat s Varonisem a přidat funkce pokročilé detekce hrozeb. Podívejte se na aplikaci Varonis pro QRadar.
LogRhythm
LogRhythm je dobrý SIEM pro menší organizace. Můžete integrovat LogRhythm s Varonis, abyste získali možnosti detekce a reakce na hrozby.
SIEM v Enterprise
Někteří zákazníci zjistili, že potřebují udržovat dvě samostatná řešení SIEM, aby získali maximální hodnotu pro každý účel, protože SIEM může být neuvěřitelně hlučný a náročný na zdroje: obvykle upřednostňují jeden pro zabezpečení dat a druhý pro dodržování předpisů.
Kromě primárního případu protokolování a správy protokolů SIEM používají podniky svůj SIEM pro jiné účely. Jedním z alternativních případů použití je demonstrace souladu s předpisy, jako jsou HIPAA, PCI, SOX a GDPR.
Nástroje SIEM také agregují data, která můžete použít pro projekty správy kapacity. Můžete sledovat šířku pásma a růst dat v průběhu času, abyste mohli plánovat účely růstu a rozpočtu. Ve světě plánování kapacit jsou data klíčová a pochopení vašeho současného využití a trendů v čase vám umožní řídit růst a vyhnout se velkým kapitálovým výdajům jako reakční opatření proti prevenci.
Omezení aplikací SIEM jako úplného ekosystému zabezpečení dat
Aplikace SIEM poskytují omezené kontextové informace o svých nativních událostech a systémy SIEM jsou známé svým slepým úhlem na nestrukturovaných datech a e-mailech.Můžete například vidět nárůst síťové aktivity z adresy IP, ale nikoli uživatele, který tento provoz vytvořil nebo ke kterým souborům bylo přistupováno.
V tomto případě může být kontext všechno.
To, co vypadá jako významný přenos dat, může být zcela neškodné a zaručené chování, nebo to může být krádež petabajtů citlivých a kritických dat. Nedostatek kontextu v bezpečnostních výstrahách vede k paradigmatu „chlapec, který křičel vlka“: vaše zabezpečení bude nakonec znecitlivěno na poplachové zvony, které zhasnou pokaždé, když dojde ke spuštění události.
Aplikace SIEM nejsou schopny klasifikovat data jako citlivá nebo necitlivá, a proto nejsou schopni rozlišit mezi schválenou aktivitou souborů a podezřelou aktivitou, která může poškodit data zákazníků, duševní vlastnictví nebo zabezpečení společnosti.
Nakonec jsou aplikace SIEM pouze jako schopné jako data, která dostávají. Bez dalších souvislostí s těmito daty IT často pronásleduje falešné poplachy nebo jinak nepodstatné problémy. Kontext je ve světě zabezpečení dat klíčem k tomu, abychom věděli, s kterými bitvami bojovat.
Největší problém, který slyšíme od zákazníků, když používají SIEM, je, že je extrémně obtížné diagnostikovat a zkoumat bezpečnostní události. Objem údajů na nízké úrovni a vysoký počet upozornění způsobují efekt „jehly v kupce sena“: uživatelé dostanou upozornění, ale často jim chybí jasnost a kontext, aby s tímto upozorněním okamžitě jednali.
Jak Varonis Doplňuje SIEM
Kontext, který Varonis přináší do SIEM, může být rozdíl mezi lovem snipe nebo prevencí závažného narušení zabezpečení dat.
A právě tam přichází Varonis. Varonis poskytuje další kontext k datům, která SIEM shromažďuje: usnadňuje získávání větší hodnoty ze SIEM vytvářením hloubkového kontextu, přehledu a přidávání informací o hrozbách do bezpečnostních vyšetřování a obrany.
Varonis zachycuje data událostí souboru z různých datových úložišť – lokálně i v cloudu – a poskytuje tak komu, co, kdy a kde každý soubor přístupný v síti . Díky monitorování Varonis Edge bude Varonis také shromažďovat aktivity DNS, VPN a webových proxy. Síťovou aktivitu budete moci korelovat s aktivitou úložiště dat, abyste získali kompletní obrázek o útoku od infiltrace přes přístup k souborům až po exfiltraci.
Varonis klasifikuje nestrukturované soubory na základě stovek možných shod vzorů, včetně PII, vládních identifikačních čísel, čísel kreditních karet, adres a dalších. Tuto klasifikaci lze rozšířit na vyhledávání duševního vlastnictví pro konkrétní společnost, objevování zranitelných, citlivých informací a pomoc při dodržování předpisů pro regulovaná data. Varonis čte soubory na místě bez jakéhokoli dopadu na koncové uživatele.
Varonis také provádí analýzu chování uživatelů (UBA), aby poskytoval smysluplné výstrahy založené na naučených vzorcích chování uživatelů, spolu s pokročilou analýzou dat na modely hrozeb, které kontrolují vzory pro zasvěcené hrozby (jako je exfiltrace, boční pohyb, zvýšení účtu) a cizí hrozby (jako je ransomware).
Hlavní body integrace
Varonis se integruje s aplikacemi SIEM a poskytuje bezpečnostní analýzy kontext dat, aby si organizace mohly být jisty svou strategií zabezpečení dat. Mezi výhody patří:
-
- analytika mimo krabici
- Integrované řídicí panely Varonis a upozornění pro efektivnější vyšetřování
- Upozornění na konkrétní stránky vyšetřování
- Kritické informace zvýrazněné na první pohled, s použitelnými postřehy a bohatým kontextem
- Integrace do vašeho pracovního postupu SIEM
Jak vyšetřit útok pomocí SIEM a Varonis
Tato kontextová data, která Varonis přináší, poskytují bezpečnostním týmům smysluplnou analýzu a výstrahy o infrastruktuře, bez dalších režijních nebo signálních šumů do SIEM. Týmy SOC mohou vyšetřovat rychleji využitím SIEM s Varonis a získat přehled o nejdůležitějších prostředcích, které potřebují k ochraně: nestrukturovaná data a e-mail. Díky přidané viditelnosti, kterou poskytuje Varonis, získáte na první pohled přehled o tom, co se děje ve vašich hlavních úložištích dat – lokálně i v cloudu. Můžete snadno vyšetřovat uživatele, hrozby a zařízení – a dokonce automatizovat reakce.
(kliknutím zvětšíte)
Když kliknete na událost Varonis Alert ve vašem SIEM, dostanete se na Dashboard Varonis Alert pro upozornění, které vyšetřujete. Odtud uvidíte, že toto upozornění souvisí se čtyřmi dalšími upozorněními. Kterýkoli z nich je problematický, ale protože jsou všichni propojeni, je to mnohem jasnější a dobře vyobrazený obraz kybernetického útoku.
(kliknutím zvětšíte)
Toto upozornění nám říká, že tento účet BackupService nahrál data do externí e-mailový web.
(kliknutím zvětšíte)
Toto upozornění nám říká, že účet BackupService nikdy předtím nepřistupoval k internetu, což činí skutečnost, že účet nahrál data do e-mailu, mnohem podezřelejší.
To je jen začátek vyšetřování upozornění na kybernetickou bezpečnost s Varonis a vaším SIEM. Varonis může nastartovat skript, který deaktivuje uživatelský účet a ukončí útok, jakmile je detekován – v takovém případě by se tento hacker nemusel vůbec dostat k mzdovým souborům!
S V kontextu, který máte k dispozici, můžete rychle reagovat – a spravovat – výstrahy, které obdržíte ve vašem SIEM.
Bezpečnostní analytici tráví bezpočet hodin získáváním smysluplných upozornění od SIEM: dolaďováním případů použití, vytvářením pravidel a přidáváním datových zdrojů – Varonis poskytuje náskok s out-of-the-box analytickými modely, intuitivní řídicí panely a inteligentní výstrahy.
Dobře, jsem připraven začít!
Pokud již používáte SIEM, je snadné přidat Varonis a získat z něj více vaše investice do SIEM. Pokud chcete zahájit svůj plán zabezpečení dat, začněte s Varonis a poté přidejte svůj SIEM.
Jakmile máte Varonis zavedený, můžete přidat svůj SIEM pro agregaci dat a další monitorování a výstrahy . Varonis vám poskytne větší počáteční zabezpečení dat a přidání SIEM umožní Varonisu a vašemu SIEM lépe korelovat a ukládat data pro analýzu a audit.
Podívejte se na webový seminář Live Cyberattack a podívejte se, jak Varonis přináší kontext k vašim datům SIEM.