december 1, 2020

Mi az a SIEM? Útmutató kezdőknek

A SIEM jelenleg 2 milliárd dolláros iparág, de egy nemrégiben készült felmérés szerint ezeknek a vállalatoknak csak 21,9% -a kap értéket a SIEM-ről.

A SIEM eszközei fontosak az adatbiztonsági ökoszisztéma része: több rendszer adatait összesítik és elemzik ezeket az adatokat, hogy elkapják a rendellenes viselkedést vagy az esetleges kibertámadásokat. A SIEM eszközök központi helyet biztosítanak az események és riasztások összegyűjtésére – de drágák, erőforrásigényesek lehetnek, és az ügyfelek szerint gyakran nehéz megoldani a SIEM-adatokkal kapcsolatos problémákat.

Útmutató: 5 módszer A SIEM kudarcot vall Önnek (és mit kell tennie ezzel kapcsolatban)

“Látva a kontextust, hogy a biztonsági események mikor és hogyan gyorsították fel vizsgálatainkat 3-szorosával.”

Mi az a SIEM?

A biztonsági információ és az eseménykezelés (SIEM) szoftveres megoldás, amely a teljes informatikai infrastruktúrán számos különböző erőforrásból összesíti és elemzi a tevékenységeket.

A SIEM biztonsági adatokat gyűjt hálózati eszközökről, szerverekről, tartományvezérlőkről és egyebekről. A SIEM tárolja, normalizálja, összesíti és elemzéseket alkalmaz ezekre az adatokra a trendek felfedezése, a fenyegetések észlelése és a szervezetek számára az esetleges riasztások kivizsgálása érdekében.

Hogyan működik a SIEM?

A SIEM kettőt nyújt elsődleges képességek egy baleset-elhárítási csapat számára:

    • Jelentés és kriminalisztika biztonsági eseményekről
    • Bizonyos szabálykészletnek megfelelő elemzéseken alapuló figyelmeztetések, amelyek biztonsági problémát jeleznek

mag, a SIEM adatgyűjtő, kereső és jelentési rendszer. A SIEM hatalmas mennyiségű adatot gyűjt az egész hálózati környezetéből, összevonja és hozzáférhetővé teszi ezeket az adatokat. Az adatok kategorizálásával és kéznél történő elhelyezésével a lehető legrészletesebben kutathatja az adatbiztonsági megsértéseket.

Biztonsági információ és eseménykezelési képességek

A Gartner három kritikus képességet azonosít a SIEM számára (fenyegetés észlelése, kivizsgálása és a válaszadás ideje) – vannak olyan egyéb funkciók és funkciók, amelyeket általában a SIEM piacon lát, például:

    • Alapvető biztonsági ellenőrzés
    • Speciális fenyegetésészlelés
    • Kriminalisztika & események válasza
    • Naplógyűjtés
    • Normalizálás
    • Értesítések és figyelmeztetések
    • Biztonsági események észlelése
    • Fenyegetés-válasz munkafolyamat

A legfontosabb SIEM-eszközök

Ezek a legjobb játékosok a SIEM térben:

Splunk

A Splunk egy teljes on-prem SIEM megoldás, amelyet a Gartner a tér vezetőjeként értékel. A Splunk támogatja a biztonsági megfigyelést, és fejlett fenyegetés-felderítő képességeket kínál.

A Varonis a Varonis DatAlert for Splunk segítségével integrálódik a Splunkba.

IBM QRadar

A QRadar egy másik népszerű SIEM, amelyet hardvereszközként telepíthet, egy virtuális vagy szoftveres eszköz, a szervezet igényeitől és kapacitásától függően.

A QRadar integrálódhat a Varonisba, hogy hozzáadja az Advanced Threat Detection képességeket. Keresse meg a Varonis alkalmazást a QRadar számára.

LogRhythm

A LogRhythm egy jó SIEM kisebb szervezetek számára. A fenyegetés-felderítési és reagálási képességek megszerzéséhez integrálhatja a LogRhythm programot a Varonis-szal.

SIEM az Enterprise-ban

Néhány ügyfél úgy találta, hogy két külön SIEM-megoldást kell fenntartaniuk a legnagyobb érték elérése érdekében. minden célra, mivel a SIEM hihetetlenül zajos és erőforrásigényes lehet: általában az egyiket előnyben részesítik az adatbiztonság, a másikat pedig a megfelelés érdekében.

A SIEM elsődleges naplózási és naplókezelési esetén túl a vállalatok más célokra használják SIEM-jüket. célokra. Az egyik alternatív felhasználási eset az, hogy bemutassa a HIPAA, a PCI, a SOX és a GDPR előírásoknak való megfelelést.

A SIEM eszközök összesítik azokat az adatokat is, amelyeket a kapacitásmenedzsment projektekhez felhasználhat. Nyomon követheti a sávszélességet és az adatok növekedését az idő múlásával, hogy tervezhesse növekedési és költségvetési céljait. A kapacitástervezési világban az adatok kulcsfontosságúak, és a jelenlegi felhasználás és trendek időbeli megértése lehetővé teszi a növekedés kezelését és a nagy tőkekiadások elkerülését, mint reakciós intézkedést a megelőzéssel szemben.

A SIEM-alkalmazások, mint teljes adatbiztonsági ökoszisztéma korlátai

A SIEM-alkalmazások korlátozott kontextuális információkat nyújtanak natív eseményeikről, a SIEM-ek pedig a strukturálatlan adatok és e-mailek vakfoltjáról ismertek.Például láthatja az IP-címről származó hálózati aktivitás növekedését, de nem azt a felhasználót, aki létrehozta azt a forgalmat, vagy mely fájlokat érte el.

Ebben az esetben a kontextus lehet minden.

A jelentős adatátvitelnek teljesen jóindulatú és indokolt magatartása lehet, vagy petabájtnyi érzékeny és kritikus adat lopása lehet. A biztonsági riasztások kontextusának hiánya egy „farkast kiáltó fiú” paradigmához vezet: végül az Ön biztonsága érzéketlenné válik a riasztó csengőkkel szemben, amikor minden esemény elindul.

A SIEM alkalmazások nem képesek az adatokat érzékeny vagy nem érzékeny kategóriába sorolja, és ezért nem képesek megkülönböztetni a szankcionált fájlaktivitást a gyanús tevékenységtől, amely káros lehet az ügyféladatokra, a szellemi tulajdonra vagy a vállalat biztonságára.

Végül a SIEM-alkalmazások csak képesek, mint a kapott adatok. Az adatokkal kapcsolatos további kontextus nélkül az informatika gyakran hamis riasztásokat vagy egyéb jelentéktelen problémákat üldöz. A kontextus kulcsfontosságú az adatvédelmi világban, hogy megtudja, mely csatákat kell megvívni.

A SIEM használatakor az ügyfelektől hallott legnagyobb probléma az, hogy rendkívül nehéz diagnosztizálni és kutatni a biztonsági eseményeket. Az alacsony szintű adatok mennyisége és a riasztások nagy száma „tűt a szénakazalban” eredményez: a felhasználók figyelmeztetést kapnak, de gyakran nincs egyértelműségük és szövegkörnyezetük ahhoz, hogy azonnal reagáljanak erre a figyelmeztetésre.

Hogyan Varonis Kiegészíti a SIEM

A Varonis által a SIEM-hez adott kontextus lehet a különbség a szalonka vadászat vagy a nagyobb adatbiztonsági megsértés megakadályozása között.

És itt jön be Varonis. A Varonis további kontextust nyújt a SIEM által gyűjtött adatokhoz: egyszerűbbé válik a SIEM nagyobb értékének megszerzése azáltal, hogy mélyreható összefüggéseket, betekintést épít, és a fenyegetésintelligenciát hozzáadja a biztonsági vizsgálatokhoz és védekezésekhez.

Varonis különféle adattárolókból – helyszíni és felhőbeli – rögzíti a fájl eseményes adatait, hogy megadja a hálózaton elérhető fájlok kit, mit, mikor és hol. . A Varonis Edge figyelésével a Varonis DNS-, VPN- és webproxy-tevékenységeket is gyűjt. Összehasonlíthatja a hálózati tevékenységet az adattárolási tevékenységgel, hogy teljes képet alkosson a támadásról a behatolástól a fájlhozzáférésen át a kiszűrésig.

A Varonis a strukturálatlan fájlokat több száz lehetséges mintaegyezés alapján osztályozza, beleértve a személyazonosító okmányokat, a kormányzati azonosító számokat, a hitelkártyaszámokat, a címeket és egyebeket. Ez a besorolás kiterjeszthető a vállalatspecifikus szellemi tulajdon keresésére, a sebezhető, érzékeny információk felfedezésére és a szabályozott adatok betartásának elősegítésére. Varonis a helyén lévő fájlokat olvassa el, anélkül, hogy ez a végfelhasználókra hatással lenne.

A Varonis a felhasználói viselkedés elemzését (UBA) is elvégzi, hogy a felhasználók tanult viselkedési mintáin alapuló értelmes figyelmeztetéseket adjon, valamint fejlett adatelemzést végezzen a fenyegetést vizsgáló modellek ellen a bennfentes fenyegetések (mint például az elszűrés, az oldalirányú mozgás, a számla magassága) és a kívülről érkező fenyegetések (mint a ransomware) mintái.

Integrációs kiemelések

A Varonis integrálódik a SIEM alkalmazásokba, hogy mély elemzéseket nyújtson a biztonságról adatkörnyezet, hogy a szervezetek biztosak lehessenek az adatbiztonsági stratégiában. Az előnyök a következők:

    • A dobozon kívüli elemzés
    • Integrált Varonis-irányítópultok és riasztások az egyszerűsített vizsgálat érdekében
    • Riasztás-specifikus vizsgálati oldalak
    • Egy pillanat alatt kiemelt kritikus információk, hasznos belátásokkal és gazdag kontextussal
    • Integráció a SIEM munkafolyamatába

Hogyan lehet kivizsgálni egy támadást a SIEM és a Varonis segítségével

Ez a Varonis által előállított kontextus szerinti adat értelmes elemzést és riasztásokat ad a biztonsági csapatoknak az infrastruktúráról, anélkül, hogy a SIEM-nek további rezsi vagy jelzaj lenne. Az SOC csapatai gyorsabban kivizsgálhatják a SIEM Varonis-szel történő kihasználásával, és betekintést nyerhetnek a védelmükhöz szükséges legfontosabb eszközökbe: strukturálatlan adatokba és e-mailekbe. A Varonis által biztosított további láthatóság révén egy pillanat alatt áttekintheti, mi történik az alapadattáraiban – mind a helyszínen, mind a felhőben. Könnyen kivizsgálhatja a felhasználókat, a fenyegetéseket és az eszközöket, sőt automatizálhatja a válaszokat.

(Nagyításhoz kattintson)

Amikor a Varonis riasztási eseményre kattint a SIEM-ben, a Varonis riasztási irányítópultra kerül a vizsgált riasztáshoz. Innen láthatja, hogy ez a figyelmeztetés négy másik figyelmeztetéshez kapcsolódik. Bármelyikük zavaró, de mivel mindegyik kapcsolatban áll, sokkal világosabb és jól kirajzolt kép a kibertámadásról.

(Nagyításhoz kattintson)

Ez a figyelmeztetés azt közli velünk, hogy ez a BackupService-fiók feltöltött adatokat egy külső e-mail webhely.

(Nagyításhoz kattintson)

Ez a figyelmeztetés azt közli velünk, hogy a BackupService-fiók még soha nem járt az interneten, így sokkal gyanúsabb az a tény, hogy a fiók e-mailre töltött fel adatokat.

Ez még csak a kiberbiztonsági figyelmeztetések kivizsgálásának kezdete a Varonis és a SIEM segítségével. Varonis elindíthat egy szkriptet a felhasználói fiók letiltásához és a támadás leállításához, amint azt észleli – ebben az esetben előfordulhat, hogy ez a hacker egyáltalán nem tudott eljutni a bérszámfejtési fájlokhoz!

a rendelkezésére álló kontextusban gyorsan válaszolhat és kezelheti a SIEM-ben kapott figyelmeztetéseket.

A biztonsági elemzők számtalan órát töltenek azzal, hogy értelmes figyelmeztetéseket kapjanak a SIEM-től: felhasználási esetek finomhangolása, építési szabályok és adatforrások hozzáadása – Varonis előnyt nyújt a dobozon kívüli elemzési modellekkel, intuitív irányítópultok és intelligens riasztások.

Rendben, készen állok a kezdésre!

Ha már használsz egy SIEM-et, akkor egyszerűen hozzáadhat Varonis-t és többet hozhat ki belőle a SIEM befektetés. Ha el akarja kezdeni az adatbiztonsági tervét, kezdje a Varonis-szal, majd adja hozzá a SIEM-et.

Ha a Varonis a helyén van, hozzáadhatja SIEM-jét az adatok összesítéséhez, valamint további figyeléshez és riasztáshoz. . A Varonis nagyobb kezdeti adatbiztonsági lefedettséget biztosít Önnek, és egy SIEM hozzáadásával a Varonis és az Ön SIEM-je jobban össze tudja kapcsolni és tárolni az adatokat elemzéshez és auditáláshoz. a SIEM-adatokhoz.

admin
0

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Archívum

Legutóbbi bejegyzések