Hvad er SIEM? En begyndervejledning
SIEM er nu en industri på 2 milliarder dollars, men kun 21,9% af disse virksomheder får værdi fra deres SIEM ifølge en nylig undersøgelse.
SIEM-værktøjer er et vigtigt en del af datasikkerhedsøkosystemet: de samler data fra flere systemer og analyserer disse data for at fange unormal adfærd eller potentielle cyberangreb. SIEM-værktøjer giver et centralt sted at indsamle begivenheder og alarmer – men kan være dyre, ressourceintensive, og kunder rapporterer, at det ofte er vanskeligt at løse problemer med SIEM-data.
Vejledning: 5 måder, din SIEM fejler dig (og hvad man skal gøre ved det)
Hvad er SIEM?
SIEM (Security Information and Event Management) er en softwareløsning, der samler og analyserer aktivitet fra mange forskellige ressourcer på tværs af hele din IT-infrastruktur.
SIEM indsamler sikkerhedsdata fra netværksenheder, servere, domænekontrollere og mere. SIEM gemmer, normaliserer, samler og anvender analyser til disse data for at opdage tendenser, opdage trusler og gøre det muligt for organisationer at undersøge eventuelle alarmer.
Hvordan fungerer SIEM?
SIEM leverer to primære muligheder for et Incident Response-team:
-
- Rapportering og retsmedicin om sikkerhedshændelser
- Alarmer baseret på analyser, der matcher et bestemt regelsæt, hvilket indikerer et sikkerhedsproblem
Når det er kerne, SIEM er et dataaggregator-, søgnings- og rapporteringssystem. SIEM samler enorme mængder data fra hele dit netværksmiljø, konsoliderer og gør disse data menneskelige tilgængelige. Med de data, der er kategoriseret og lagt lige ved hånden, kan du undersøge datasikkerhedsbrud med så mange detaljer som nødvendigt.
Sikkerhedsoplysninger og evner til styring af hændelser
Gartner identificerer tre kritiske muligheder for SIEM (trusselsregistrering, efterforskning og tid til at reagere) – der er andre funktioner og funktionalitet, som du ofte ser på SIEM-markedet, herunder:
-
- Grundlæggende sikkerhedsovervågning
- Avanceret detektion af trusler
- Forensics & hændelsesrespons
- Logsamling
- Normalisering
- Underretninger og alarmer
- Registrering af sikkerhedshændelser
- Workflow for trusselsrespons
Top SIEM-værktøjer
Dette er nogle af de bedste spillere i SIEM-rummet:
Splunk
Splunk er en komplet SIEM-løsning, som Gartner vurderer som en leder i rummet. Splunk understøtter sikkerhedsovervågning og kan tilbyde avancerede trusselregistreringsfunktioner.
Varonis integreres med Splunk gennem Varonis DatAlert-appen til Splunk.
IBM QRadar
QRadar er en anden populær SIEM, som du kan implementere som hardwareapparat, en virtuelt apparat eller et softwareapparat afhængigt af din organisations behov og kapacitet.
QRadar kan integreres med Varonis for at tilføje Advanced Threat Detection-muligheder. Se efter Varonis-appen til QRadar
LogRhythm
LogRhythm er en god SIEM for mindre organisationer. Du kan integrere LogRhythm med Varonis for at få trusselsregistrering og reaktionsfunktioner.
SIEM i virksomheden
Nogle kunder har fundet ud af, at de har brug for at vedligeholde to separate SIEM-løsninger for at få mest mulig værdi til hvert formål, da SIEM kan være utroligt støjende og ressourcekrævende: de foretrækker normalt en til datasikkerhed og en til overholdelse.
Ud over SIEMs primære brugstilfælde ved logning og loghåndtering bruger virksomheder deres SIEM til andre formål. En alternativ brugssag er at hjælpe med at demonstrere overholdelse af regler som HIPAA, PCI, SOX og GDPR.
SIEM-værktøjer samler også data, du kan bruge til kapacitetsstyringsprojekter. Du kan spore båndbredde og datavækst over tid for at planlægge vækst- og budgetteringsformål. I kapacitetsplanlægningsverdenen er data nøglen, og forståelse af din nuværende brug og tendenser over tid giver dig mulighed for at styre vækst og undgå store investeringer som en reaktionær foranstaltning versus forebyggelse.
Begrænsninger af SIEM-applikationer som et fuldt datasikkerhedsøkosystem
SIEM-applikationer giver begrænset kontekstuel information om deres oprindelige begivenheder, og SIEMer er kendt for deres blinde vinkel på ustrukturerede data og e-mails.For eksempel kan du muligvis se en stigning i netværksaktivitet fra en IP-adresse, men ikke den bruger, der oprettede den trafik, eller hvilke filer der blev åbnet.
I dette tilfælde kan kontekst være alt.
Hvad der ser ud som en betydelig overførsel af data kan være fuldstændig godartet og berettiget adfærd, eller det kan være tyveri af petabytes af følsomme og kritiske data. Manglende kontekst i sikkerhedsadvarsler fører til et paradigme for dreng, der græd ulv: I sidste ende bliver din sikkerhed desensibiliseret over for, at alarmklokkerne går, hver gang en begivenhed udløses.
SIEM-applikationer kan ikke klassificere data som følsomme eller ikke-følsomme og kan derfor ikke skelne mellem sanktioneret filaktivitet fra mistænkelig aktivitet, der kan skade kundedata, intellektuel ejendomsret eller virksomheds sikkerhed.
I sidste ende er SIEM-applikationer kun som stand som de data, de modtager. Uden yderligere sammenhæng med disse data efterlades IT ofte efter falske alarmer eller på anden måde ubetydelige problemer. Kontekst er nøglen i datasikkerhedsverdenen for at vide, hvilke kampe der skal kæmpes.
Det største problem, vi hører fra kunder, når de bruger SIEM, er, at det er ekstremt vanskeligt at diagnosticere og undersøge sikkerhedshændelser. Mængden af data på lavt niveau og det store antal alarmer forårsager en nål i en høstak -effekt: brugerne får en advarsel, men mangler ofte klarheden og konteksten til at reagere på denne alarm med det samme.
Hvordan Varonis Supplerer SIEM
Den kontekst, som Varonis bringer til SIEM, kan være forskellen mellem en snipejagt eller forhindre et større datasikkerhedsbrud.
Og det er her Varonis kommer ind. Varonis giver yderligere kontekst til de data, som et SIEM indsamler: gør det lettere at få mere værdi ud af et SIEM ved at opbygge en dybtgående kontekst, indsigt og tilføje trusselintelligens i sikkerhedsundersøgelser og forsvar.
Varonis registrerer filhændelsesdata fra forskellige datalagre – lokalt og i skyen – for at give hvem, hvad, hvornår og hvor af hver fil, der er adgang til på netværket . Med Varonis Edge-overvågning vil Varonis også indsamle DNS-, VPN- og webproxy-aktivitet. Du vil være i stand til at korrelere netværksaktiviteten med datalagringsaktiviteten for at tegne et komplet billede af et angreb fra infiltration gennem filadgang til exfiltrering.
Varonis klassificerer ustrukturerede filer baseret på hundreder af mulige mønstermatcher, inklusive PII, regerings-ID-numre, kreditkortnumre, adresser og mere. Denne klassificering kan udvides til at søge efter virksomhedsspecifik intellektuel ejendom, opdage sårbare, følsomme oplysninger og hjælpe med at opfylde overholdelse af regulerede data. Varonis læser filer på plads uden nogen indvirkning på slutbrugere.
Varonis udfører også brugeradfærdsanalyser (UBA) for at give meningsfulde alarmer baseret på lærte adfærdsmønstre hos brugere sammen med avanceret dataanalyse mod trusselmodeller, der inspicerer mønstre for insidertrusler (såsom exfiltration, lateral bevægelse, kontohøjde) og outsidertrusler (som ransomware).
Integration Highlights
Varonis integreres med SIEM-applikationer for at give sikkerhedsanalyser med dyb datakontekst, så organisationer kan være sikre på deres datasikkerhedsstrategi. Fordelene inkluderer:
-
- Analyser uden for boksen
- Integrerede Varonis-dashboards og alarmer til strømlinet undersøgelse
- Underret specifikke undersøgelsessider
- Kritisk information fremhævet med et hurtigt overblik med handlingsbar indsigt og rig kontekst
- Integration i din SIEM-arbejdsgang
Sådan undersøges et angreb med SIEM og Varonis
Disse kontekstuelle data, som Varonis bringer, giver sikkerhedsteams meningsfuld analyse og advarsler om infrastrukturen uden den ekstra overhead eller signalstøj til SIEM. SOC-hold kan undersøge hurtigere ved at udnytte SIEM med Varonis og få indsigt i de mest kritiske aktiver, de har brug for for at beskytte: ustrukturerede data og e-mail. Med den ekstra synlighed, der leveres af Varonis, får du et overblik over, hvad der sker i dine kernedatalagre – både lokalt og i skyen. Du kan let undersøge brugere, trusler og enheder – og endda automatisere svar.
(Klik for at zoome)
Når du klikker på Varonis Alert-begivenheden i din SIEM, føres du til Varonis Alert Dashboard for den alarm, du undersøger. Herfra kan du se, at denne alarm er relateret til fire andre alarmer. Enhver af dem er besværlig, men da de alle er forbundet, er det et meget klarere og godt udformet billede af en cyberangreb.
(Klik for at zoome)
Denne alarm fortæller os, at denne BackupService-konto uploadede data til en ekstern e-mail-webside.
(Klik for at zoome)
Denne alarm fortæller os, at BackupService-kontoen har aldrig haft adgang til internettet før, hvilket gør det faktum, at kontoen uploadede data til e-mail meget mere mistænkelig.
Det er kun begyndelsen på at undersøge cybersikkerhedsadvarsler med Varonis og dit SIEM. Varonis kan starte et script for at deaktivere brugerkontoen og lukke angrebet, så snart det er opdaget – i hvilket tilfælde den hacker muligvis ikke har været i stand til at komme til lønningsfilerne overhovedet!
Med i den sammenhæng, du har til rådighed, kan du hurtigt svare på – og administrere – de alarmer, du modtager i dit SIEM.
Sikkerhedsanalytikere bruger utallige timer på at få meningsfulde alarmer fra SIEM: finjustering af brugssager, bygningsregler og tilføjelse i datakilder – Varonis giver et forspring med out-of-the-box analysemodeller, intuitive dashboards og intelligent alarm.
OK, jeg er klar til at komme i gang!
Hvis du allerede bruger et SIEM, er det nemt at tilføje Varonis og få mere ud af din SIEM-investering. Hvis du ønsker at starte din datasikkerhedsplan, skal du starte med Varonis og derefter tilføje dit SIEM.
Når du har Varonis på plads, kan du derefter tilføje dit SIEM til dataggregation og yderligere overvågning og alarmering . Varonis giver dig mere indledende datasikkerhedsdækning, og tilføjelse af et SIEM vil gøre Varonis og dit SIEM bedre i stand til at korrelere og gemme data til analyse og revision.
Se et Live Cyberattack-webinar for at se, hvordan Varonis bringer kontekst til dine SIEM-data.