Mi az a SIEM? Útmutató kezdőknek
A SIEM jelenleg 2 milliárd dolláros iparág, de egy nemrégiben készült felmérés szerint ezeknek a vállalatoknak csak 21,9% -a kap értéket a SIEM-ről.
A SIEM eszközei fontosak az adatbiztonsági ökoszisztéma része: több rendszer adatait összesítik és elemzik ezeket az adatokat, hogy elkapják a rendellenes viselkedést vagy az esetleges kibertámadásokat. A SIEM eszközök központi helyet biztosítanak az események és riasztások összegyűjtésére – de drágák, erőforrásigényesek lehetnek, és az ügyfelek szerint gyakran nehéz megoldani a SIEM-adatokkal kapcsolatos problémákat.
Útmutató: 5 módszer A SIEM kudarcot vall Önnek (és mit kell tennie ezzel kapcsolatban)
Mi az a SIEM?
A biztonsági információ és az eseménykezelés (SIEM) szoftveres megoldás, amely a teljes informatikai infrastruktúrán számos különböző erőforrásból összesíti és elemzi a tevékenységeket.
A SIEM biztonsági adatokat gyűjt hálózati eszközökről, szerverekről, tartományvezérlőkről és egyebekről. A SIEM tárolja, normalizálja, összesíti és elemzéseket alkalmaz ezekre az adatokra a trendek felfedezése, a fenyegetések észlelése és a szervezetek számára az esetleges riasztások kivizsgálása érdekében.
Hogyan működik a SIEM?
A SIEM kettőt nyújt elsődleges képességek egy baleset-elhárítási csapat számára:
-
- Jelentés és kriminalisztika biztonsági eseményekről
- Bizonyos szabálykészletnek megfelelő elemzéseken alapuló figyelmeztetések, amelyek biztonsági problémát jeleznek
mag, a SIEM adatgyűjtő, kereső és jelentési rendszer. A SIEM hatalmas mennyiségű adatot gyűjt az egész hálózati környezetéből, összevonja és hozzáférhetővé teszi ezeket az adatokat. Az adatok kategorizálásával és kéznél történő elhelyezésével a lehető legrészletesebben kutathatja az adatbiztonsági megsértéseket.
Biztonsági információ és eseménykezelési képességek
A Gartner három kritikus képességet azonosít a SIEM számára (fenyegetés észlelése, kivizsgálása és a válaszadás ideje) – vannak olyan egyéb funkciók és funkciók, amelyeket általában a SIEM piacon lát, például:
-
- Alapvető biztonsági ellenőrzés
- Speciális fenyegetésészlelés
- Kriminalisztika & események válasza
- Naplógyűjtés
- Normalizálás
- Értesítések és figyelmeztetések
- Biztonsági események észlelése
- Fenyegetés-válasz munkafolyamat
A legfontosabb SIEM-eszközök
Ezek a legjobb játékosok a SIEM térben:
Splunk
A Splunk egy teljes on-prem SIEM megoldás, amelyet a Gartner a tér vezetőjeként értékel. A Splunk támogatja a biztonsági megfigyelést, és fejlett fenyegetés-felderítő képességeket kínál.
A Varonis a Varonis DatAlert for Splunk segítségével integrálódik a Splunkba.
IBM QRadar
A QRadar egy másik népszerű SIEM, amelyet hardvereszközként telepíthet, egy virtuális vagy szoftveres eszköz, a szervezet igényeitől és kapacitásától függően.
A QRadar integrálódhat a Varonisba, hogy hozzáadja az Advanced Threat Detection képességeket. Keresse meg a Varonis alkalmazást a QRadar számára.
LogRhythm
A LogRhythm egy jó SIEM kisebb szervezetek számára. A fenyegetés-felderítési és reagálási képességek megszerzéséhez integrálhatja a LogRhythm programot a Varonis-szal.
SIEM az Enterprise-ban
Néhány ügyfél úgy találta, hogy két külön SIEM-megoldást kell fenntartaniuk a legnagyobb érték elérése érdekében. minden célra, mivel a SIEM hihetetlenül zajos és erőforrásigényes lehet: általában az egyiket előnyben részesítik az adatbiztonság, a másikat pedig a megfelelés érdekében.
A SIEM elsődleges naplózási és naplókezelési esetén túl a vállalatok más célokra használják SIEM-jüket. célokra. Az egyik alternatív felhasználási eset az, hogy bemutassa a HIPAA, a PCI, a SOX és a GDPR előírásoknak való megfelelést.
A SIEM eszközök összesítik azokat az adatokat is, amelyeket a kapacitásmenedzsment projektekhez felhasználhat. Nyomon követheti a sávszélességet és az adatok növekedését az idő múlásával, hogy tervezhesse növekedési és költségvetési céljait. A kapacitástervezési világban az adatok kulcsfontosságúak, és a jelenlegi felhasználás és trendek időbeli megértése lehetővé teszi a növekedés kezelését és a nagy tőkekiadások elkerülését, mint reakciós intézkedést a megelőzéssel szemben.
A SIEM-alkalmazások, mint teljes adatbiztonsági ökoszisztéma korlátai
A SIEM-alkalmazások korlátozott kontextuális információkat nyújtanak natív eseményeikről, a SIEM-ek pedig a strukturálatlan adatok és e-mailek vakfoltjáról ismertek.Például láthatja az IP-címről származó hálózati aktivitás növekedését, de nem azt a felhasználót, aki létrehozta azt a forgalmat, vagy mely fájlokat érte el.
Ebben az esetben a kontextus lehet minden.
A jelentős adatátvitelnek teljesen jóindulatú és indokolt magatartása lehet, vagy petabájtnyi érzékeny és kritikus adat lopása lehet. A biztonsági riasztások kontextusának hiánya egy „farkast kiáltó fiú” paradigmához vezet: végül az Ön biztonsága érzéketlenné válik a riasztó csengőkkel szemben, amikor minden esemény elindul.
A SIEM alkalmazások nem képesek az adatokat érzékeny vagy nem érzékeny kategóriába sorolja, és ezért nem képesek megkülönböztetni a szankcionált fájlaktivitást a gyanús tevékenységtől, amely káros lehet az ügyféladatokra, a szellemi tulajdonra vagy a vállalat biztonságára.
Végül a SIEM-alkalmazások csak képesek, mint a kapott adatok. Az adatokkal kapcsolatos további kontextus nélkül az informatika gyakran hamis riasztásokat vagy egyéb jelentéktelen problémákat üldöz. A kontextus kulcsfontosságú az adatvédelmi világban, hogy megtudja, mely csatákat kell megvívni.
A SIEM használatakor az ügyfelektől hallott legnagyobb probléma az, hogy rendkívül nehéz diagnosztizálni és kutatni a biztonsági eseményeket. Az alacsony szintű adatok mennyisége és a riasztások nagy száma „tűt a szénakazalban” eredményez: a felhasználók figyelmeztetést kapnak, de gyakran nincs egyértelműségük és szövegkörnyezetük ahhoz, hogy azonnal reagáljanak erre a figyelmeztetésre.
Hogyan Varonis Kiegészíti a SIEM
A Varonis által a SIEM-hez adott kontextus lehet a különbség a szalonka vadászat vagy a nagyobb adatbiztonsági megsértés megakadályozása között.
És itt jön be Varonis. A Varonis további kontextust nyújt a SIEM által gyűjtött adatokhoz: egyszerűbbé válik a SIEM nagyobb értékének megszerzése azáltal, hogy mélyreható összefüggéseket, betekintést épít, és a fenyegetésintelligenciát hozzáadja a biztonsági vizsgálatokhoz és védekezésekhez.
Varonis különféle adattárolókból – helyszíni és felhőbeli – rögzíti a fájl eseményes adatait, hogy megadja a hálózaton elérhető fájlok kit, mit, mikor és hol. . A Varonis Edge figyelésével a Varonis DNS-, VPN- és webproxy-tevékenységeket is gyűjt. Összehasonlíthatja a hálózati tevékenységet az adattárolási tevékenységgel, hogy teljes képet alkosson a támadásról a behatolástól a fájlhozzáférésen át a kiszűrésig.
A Varonis a strukturálatlan fájlokat több száz lehetséges mintaegyezés alapján osztályozza, beleértve a személyazonosító okmányokat, a kormányzati azonosító számokat, a hitelkártyaszámokat, a címeket és egyebeket. Ez a besorolás kiterjeszthető a vállalatspecifikus szellemi tulajdon keresésére, a sebezhető, érzékeny információk felfedezésére és a szabályozott adatok betartásának elősegítésére. Varonis a helyén lévő fájlokat olvassa el, anélkül, hogy ez a végfelhasználókra hatással lenne.
A Varonis a felhasználói viselkedés elemzését (UBA) is elvégzi, hogy a felhasználók tanult viselkedési mintáin alapuló értelmes figyelmeztetéseket adjon, valamint fejlett adatelemzést végezzen a fenyegetést vizsgáló modellek ellen a bennfentes fenyegetések (mint például az elszűrés, az oldalirányú mozgás, a számla magassága) és a kívülről érkező fenyegetések (mint a ransomware) mintái.
Integrációs kiemelések
A Varonis integrálódik a SIEM alkalmazásokba, hogy mély elemzéseket nyújtson a biztonságról adatkörnyezet, hogy a szervezetek biztosak lehessenek az adatbiztonsági stratégiában. Az előnyök a következők:
-
- A dobozon kívüli elemzés
- Integrált Varonis-irányítópultok és riasztások az egyszerűsített vizsgálat érdekében
- Riasztás-specifikus vizsgálati oldalak
- Egy pillanat alatt kiemelt kritikus információk, hasznos belátásokkal és gazdag kontextussal
- Integráció a SIEM munkafolyamatába
Hogyan lehet kivizsgálni egy támadást a SIEM és a Varonis segítségével
Ez a Varonis által előállított kontextus szerinti adat értelmes elemzést és riasztásokat ad a biztonsági csapatoknak az infrastruktúráról, anélkül, hogy a SIEM-nek további rezsi vagy jelzaj lenne. Az SOC csapatai gyorsabban kivizsgálhatják a SIEM Varonis-szel történő kihasználásával, és betekintést nyerhetnek a védelmükhöz szükséges legfontosabb eszközökbe: strukturálatlan adatokba és e-mailekbe. A Varonis által biztosított további láthatóság révén egy pillanat alatt áttekintheti, mi történik az alapadattáraiban – mind a helyszínen, mind a felhőben. Könnyen kivizsgálhatja a felhasználókat, a fenyegetéseket és az eszközöket, sőt automatizálhatja a válaszokat.
(Nagyításhoz kattintson)
Amikor a Varonis riasztási eseményre kattint a SIEM-ben, a Varonis riasztási irányítópultra kerül a vizsgált riasztáshoz. Innen láthatja, hogy ez a figyelmeztetés négy másik figyelmeztetéshez kapcsolódik. Bármelyikük zavaró, de mivel mindegyik kapcsolatban áll, sokkal világosabb és jól kirajzolt kép a kibertámadásról.
(Nagyításhoz kattintson)
Ez a figyelmeztetés azt közli velünk, hogy ez a BackupService-fiók feltöltött adatokat egy külső e-mail webhely.
(Nagyításhoz kattintson)
Ez a figyelmeztetés azt közli velünk, hogy a BackupService-fiók még soha nem járt az interneten, így sokkal gyanúsabb az a tény, hogy a fiók e-mailre töltött fel adatokat.
Ez még csak a kiberbiztonsági figyelmeztetések kivizsgálásának kezdete a Varonis és a SIEM segítségével. Varonis elindíthat egy szkriptet a felhasználói fiók letiltásához és a támadás leállításához, amint azt észleli – ebben az esetben előfordulhat, hogy ez a hacker egyáltalán nem tudott eljutni a bérszámfejtési fájlokhoz!
a rendelkezésére álló kontextusban gyorsan válaszolhat és kezelheti a SIEM-ben kapott figyelmeztetéseket.
A biztonsági elemzők számtalan órát töltenek azzal, hogy értelmes figyelmeztetéseket kapjanak a SIEM-től: felhasználási esetek finomhangolása, építési szabályok és adatforrások hozzáadása – Varonis előnyt nyújt a dobozon kívüli elemzési modellekkel, intuitív irányítópultok és intelligens riasztások.
Rendben, készen állok a kezdésre!
Ha már használsz egy SIEM-et, akkor egyszerűen hozzáadhat Varonis-t és többet hozhat ki belőle a SIEM befektetés. Ha el akarja kezdeni az adatbiztonsági tervét, kezdje a Varonis-szal, majd adja hozzá a SIEM-et.
Ha a Varonis a helyén van, hozzáadhatja SIEM-jét az adatok összesítéséhez, valamint további figyeléshez és riasztáshoz. . A Varonis nagyobb kezdeti adatbiztonsági lefedettséget biztosít Önnek, és egy SIEM hozzáadásával a Varonis és az Ön SIEM-je jobban össze tudja kapcsolni és tárolni az adatokat elemzéshez és auditáláshoz. a SIEM-adatokhoz.