Mikä on SIEM? Aloittelijan opas

SIEM on nyt 2 miljardin dollarin ala, mutta äskettäisen tutkimuksen mukaan vain 21,9% näistä yrityksistä saa arvoa SIEM: stä.

SIEM-työkalut ovat tärkeitä osa tietoturvaekosysteemiä: ne yhdistävät tietoja useista järjestelmistä ja analysoivat nämä tiedot epänormaalin käyttäytymisen tai mahdollisten kyberhyökkäysten havaitsemiseksi. SIEM-työkalut tarjoavat keskeisen paikan tapahtumien ja ilmoitusten keräämiseen – mutta ne voivat olla kalliita, resursseja kuluttavia, ja asiakkaat ilmoittavat, että SIEM-tietoihin liittyviä ongelmia on usein vaikea ratkaista.

Mikä on SIEM?

Suojaustiedot ja tapahtumien hallinta (SIEM) on ohjelmistoratkaisu, joka kokoaa ja analysoi toiminnan monista eri resursseista koko IT-infrastruktuurissasi.

SIEM kerää suojaustietoja verkkolaitteista, palvelimista, toimialueiden ohjaimista ja muusta. SIEM tallentaa, normalisoi, yhdistää ja käyttää analyyseja näihin tietoihin trendien löytämiseksi, uhkien havaitsemiseksi ja organisaatioiden mahdollistamiseksi mahdollisten ilmoitusten tutkimiseen.

Kuinka SIEM toimii?

SIEM tarjoaa kaksi ensisijaiset ominaisuudet häiriötilanteista vastaavalle tiimille:

• • Tietoturvaloukkauksista raportointi ja rikostekninen tuki
  • Analyyttisiin tietoihin perustuvat ilmoitukset, jotka vastaavat tiettyä sääntöjoukkoa, mikä ilmoittaa tietoturvaongelmasta

SIEM on tietojen kerääjä-, haku- ja raportointijärjestelmä. SIEM kerää valtavia määriä dataa koko verkkoympäristöstäsi, yhdistää ja tekee tiedoista ihmisten saataville. Kun tiedot on luokiteltu ja sijoitettu ulottuvillesi, voit tutkia tietoturvaloukkauksia mahdollisimman yksityiskohtaisesti.

Suojaustiedot ja tapahtumien hallintaominaisuudet

Gartner tunnistaa kolme kriittistä ominaisuutta SIEM: lle (uhkien havaitseminen, tutkinta ja reagointiaika) – SIEM-markkinoilla on muitakin ominaisuuksia ja toimintoja, kuten:

• • Suojauksen perustarkkailu
  • Edistynyt uhkien havaitseminen
  • Oikeuslääketiede & tapahtumavastuu
  • Lokikokoelma
  • Normalisointi
  • Ilmoitukset ja hälytykset
  • Suojaustapahtumien havaitseminen
  • Uhkavasteen työnkulku

Parhaat SIEM-työkalut

Nämä ovat joitain SIEM-tilan huippupelaajia:

Splunk

Splunk on täysi on-prem SIEM -ratkaisu, jonka Gartner arvioi johtavaksi avaruudessa. Splunk tukee turvallisuuden valvontaa ja voi tarjota edistyneitä uhkien havaitsemisominaisuuksia.

Varonis integroituu Splunkiin Varonis DatAlert for Splunk -sovelluksen kautta.

IBM QRadar

QRadar on toinen suosittu SIEM, jonka voit ottaa käyttöön laitteistona, virtuaalilaite tai ohjelmistolaite organisaatiosi tarpeiden ja kapasiteetin mukaan.

QRadar voi integroida Varonisiin lisätäksesi edistyneitä uhkien havaitsemistoimintoja. Etsi Varonis-sovellus QRadarille

LogRhythm

LogRhythm on hyvä SIEM pienemmille organisaatioille. Voit integroida LogRhythm Varonisiin saadaksesi uhkien havaitsemis- ja reagointimahdollisuudet.

SIEM yrityksessä

Jotkut asiakkaat ovat huomanneet, että heidän on ylläpidettävä kahta erillistä SIEM-ratkaisua saadakseen eniten hyötyä jokaiseen tarkoitukseen, koska SIEM voi olla uskomattoman meluisa ja resursseja kuluttava: yleensä ne suosivat yhtä tietoturvan ja yhden vaatimusten noudattamisen kannalta.

SIEM: n ensisijaisen kirjaamisen ja lokinhallinnan käyttötapauksen lisäksi yritykset käyttävät SIEM: ää muihin tarkoituksiin tarkoituksiin. Yksi vaihtoehtoinen käyttötapa on auttaa osoittamaan HIPAA: n, PCI: n, SOX: n ja GDPR: n mukaisten sääntöjen noudattaminen.

SIEM-työkalut yhdistävät myös tietoja, joita voit käyttää kapasiteetinhallintaprojekteissa. Voit seurata kaistanleveyttä ja tiedon kasvua ajan mittaan suunnitellaksesi kasvua ja budjetointia. Kapasiteettisuunnittelumaailmassa data on avainasemassa, ja nykyisen käytön ja trendien ymmärtäminen ajan mittaan antaa sinun hallita kasvua ja välttää suuria investointeja reaktiona ennaltaehkäisevänä toimenpiteenä.

SIEM-sovellusten rajoitukset täydellisen tietoturvan ekosysteeminä

SIEM-sovellukset tarjoavat rajallista asiayhteyteen liittyvää tietoa natiivista tapahtumastaan, ja SIEM tunnetaan rakenteettomien tietojen ja sähköpostien kuolleesta kulmasta.Saatat esimerkiksi nähdä lisääntyvän verkkotoiminnan IP-osoitteesta, mutta et käyttäjä, joka on luonut kyseisen liikenteen tai mitä tiedostoja on käytetty.

Tässä tapauksessa konteksti voi olla kaikki.

Näyttää siltä, että merkittävä tiedonsiirto voi olla täysin hyvänlaatuista ja perusteltua käyttäytymistä tai se voi olla petatavujen arkaluonteisen ja kriittisen tiedon varastamista. Kontekstin puute turvahälytyksissä johtaa ”poika, joka huusi susia” -paradigmaan: lopulta tietoturvasi herkistyy hälytyskelloille, jotka soivat aina, kun tapahtuma laukaistaan.

SIEM-sovellukset eivät pysty luokitella tiedot arkaluonteisiksi tai ei-arkaluonteisiksi, eivätkä siksi pysty erottamaan seuraamuksista tiedostotoimintaa epäilyttävästä toiminnasta, joka voi vahingoittaa asiakastietoja, henkistä omaisuutta tai yrityksen turvallisuutta.

Viime kädessä SIEM-sovellukset ovat vain kykenevät saamiinsa tietoihin. Ilman lisäkontekstia kyseisille tiedoille IT jää usein jahtaamaan vääriä hälytyksiä tai muuten merkityksettömiä asioita. Konteksti on tietoturvamaailmassa avainasemassa tietääkseen taisteluita vastaan.

Suurin ongelma, jonka kuulemme asiakkailta SIEMiä käytettäessä, on se, että turvallisuustapahtumien diagnosointi ja tutkiminen on erittäin vaikeaa. Alhaisen tason tietojen määrä ja suuri määrä ilmoituksia aiheuttaa neula heinäsuovassa -vaikutuksen: käyttäjät saavat ilmoituksen, mutta usein puuttuvat selkeydestä ja asiayhteydestä toimia heti hälytyksen suhteen.

Kuinka Varonis Täydentää SIEM

Konteksti, jonka Varonis tuo SIEM: iin, voi olla ero piikkijahdin tai merkittävän tietoturvarikkomuksen estämisen välillä.

Siellä Varonis tulee sisään. Varonis tarjoaa lisää kontekstia SIEM: n keräämiin tietoihin: helpottamalla SIEM: n lisäarvon saamista rakentamalla syvällistä kontekstia, oivalluksia ja lisäämällä uhkatiedustelua turvallisuustutkimuksiin ja puolustuksiin.

Varonis sieppaa tiedostotapahtumatiedot useista tietovarastoista – paikan päällä ja pilvessä – antaakseen kuka, mitä, milloin ja missä kukin verkossa oleva tiedosto . Varonis Edge -seurannan avulla Varonis kerää myös DNS-, VPN- ja web-välityspalvelintoimintoja. Pystyt vertaamaan verkkotoiminnan tietovarastotoimintoihin saadaksesi täydellisen kuvan hyökkäyksestä tunkeutumisesta tiedostojen saantiin suodattamiseen.

Varonis luokittelee rakentamattomat tiedostot satojen mahdollisten kaavojen vastaavuuksien perusteella, mukaan lukien henkilötodistukset, valtion tunnistenumerot, luottokorttinumerot, osoitteet ja paljon muuta. Tätä luokitusta voidaan laajentaa koskemaan yrityskohtaisten immateriaalioikeuksien etsimistä, haavoittuvien ja arkaluontoisten tietojen löytämistä ja säänneltyjen tietojen noudattamista. Varonis lukee paikallaan olevat tiedostot vaikuttamatta loppukäyttäjiin.

Varonis suorittaa myös käyttäjien käyttäytymisanalytiikkaa (UBA) tarjotakseen mielekkäitä ilmoituksia käyttäjien oppimien käyttäytymismallien pohjalta sekä edistynyttä data-analyysiä tarkastavia uhkamalleja vastaan. sisäpiirin uhkien (kuten suodattaminen, sivusuunnassa liikkuminen, tilin korkeus) ja ulkopuolisten uhkien (kuten kiristysohjelmat) mallit.

Integraation kohokohdat

Varonis integroituu SIEM-sovelluksiin tarjotakseen turvallisuusanalytiikkaa syvällä tietokonteksti, jotta organisaatiot voivat luottaa tietoturvastrategiaan. Etuihin kuuluu:

• • Ei-analytiikka
  • Integroitu Varonis-kojelauta ja hälytys virtaviivaista tutkimusta varten
  • Hälytyskohtaiset tutkintasivut
  • Kriittiset tiedot korostettu yhdellä silmäyksellä, hyödyllisiä oivalluksia ja rikas konteksti
  • Integrointi SIEM-työnkulkuun

Kuinka hyökkäystä tutkitaan SIEM: n ja Varoniksen kanssa

Tämä Varoniksen tuottama asiayhteyteen liittyvä data antaa tietoturvaryhmille mielekkään analyysin ja hälytykset infrastruktuurista ilman ylimääräisiä yleiskustannuksia tai signaalikohinaa SIEM: lle. SOC-ryhmät voivat tutkia nopeammin hyödyntämällä SIEM: ää Varoniksen kanssa ja saada käsityksen kriittisimmistä resursseista, joita heidän on suojattava: jäsentämättömät tiedot ja sähköposti. Varoniksen tarjoaman lisätyn näkyvyyden ansiosta saat yhdellä silmäyksellä katsauksen ydintallennustesi tapahtumiin – sekä paikan päällä että pilvessä. Voit helposti tutkia käyttäjiä, uhkia ja laitteita – ja jopa automatisoida vastaukset.

(Zoomaa napsauttamalla)

Kun napsautat Varonis-hälytystapahtumaa SIEM: ssäsi, sinut viedään Varonis-hälytyskeskukseen tutkittavaa ilmoitusta varten. Täältä näet, että tämä hälytys liittyy neljään muuhun ilmoitukseen. Jokainen heistä on hankala, mutta koska ne ovat kaikki yhteydessä toisiinsa, se on paljon selkeämpi ja selkeämpi kuva kyberhyökkäyksestä.

(Zoomaa napsauttamalla)

Tämä varoitus kertoo meille, että tämä BackupService-tili latasi tietoja ulkoinen sähköposti -sivusto.

(Zoomaa napsauttamalla)

Tämä varoitus kertoo meille, että BackupService-tili ei ole koskaan aiemmin käyttänyt Internetiä, mikä tekee tilin epäilyttävämmäksi sen, että tili lähetti tietoja sähköpostiin.

Se on vasta alkua Varonisin ja SIEM-tietoverkkohälytysten tutkimiseen. Varonis voi käynnistää komentosarjan, joka poistaa käyttäjätilin käytöstä ja sammuttaa hyökkäyksen heti, kun se havaitaan – jolloin hakkeri ei ehkä ole päässyt lainkaan palkatiedostoihin!

käytettävissäsi olevan kontekstin avulla voit vastata nopeasti – ja hallita – SIEM-järjestelmässäsi saamiasi ilmoituksia.

Turvallisuusanalyytikot käyttävät lukemattomia tunteja saadakseen mielekkäitä ilmoituksia SIEM: ltä: käyttötapausten hienosäätö, rakennussäännöt ja tietolähteiden lisääminen – Varonis antaa etumatkan valmiiden analyysimallien kanssa, intuitiiviset koontinäytöt ja älykäs hälytys.

OK, olen valmis aloittamaan!

Jos käytät jo SIEMiä, Varonis on helppo lisätä ja saada enemmän irti. SIEM-sijoituksesi. Jos haluat aloittaa tietoturvasuunnitelmasi, aloita Varoniksella ja lisää sitten SIEM.

Kun Varonis on paikallaan, voit lisätä SIEMisi tietojen yhdistämistä sekä lisävalvontaa ja hälytyksiä varten. . Varonis antaa sinulle enemmän alustavaa tietoturvan kattavuutta, ja SIEM: n lisääminen tekee Varoniksesta ja SIEMistäsi paremman vertailemaan ja tallentamaan tietoja analysointia ja tarkastusta varten. SIEM-tietoihin.