Che cosè SIEM? Una guida per principianti

SIEM è ora un settore da 2 miliardi di dollari, ma solo il 21,9% di queste aziende trae valore dal proprio SIEM, secondo un recente sondaggio.

Gli strumenti SIEM sono un importante parte dellecosistema di sicurezza dei dati: aggregano i dati da più sistemi e li analizzano per rilevare comportamenti anomali o potenziali attacchi informatici. Gli strumenti SIEM forniscono un luogo centrale per raccogliere eventi e avvisi, ma possono essere costosi, ad alta intensità di risorse e i clienti segnalano che spesso è difficile risolvere i problemi con i dati SIEM.

Guida: 5 modi per SIEM ti sta deludendo (e cosa fare al riguardo)

“Vedere il contesto per quando e come gli eventi di sicurezza hanno accelerato le nostre indagini di un fattore 3”.

Che cosè SIEM?

Security Information and Event Management (SIEM) è una soluzione software che aggrega e analizza lattività da molte risorse diverse nellintera infrastruttura IT.

SIEM raccoglie i dati di sicurezza da dispositivi di rete, server, controller di dominio e altro ancora. SIEM archivia, normalizza, aggrega e applica analisi a tali dati per scoprire tendenze, rilevare minacce e consentire alle organizzazioni di indagare su eventuali avvisi.

Come funziona SIEM?

SIEM fornisce due capacità primarie a un team di risposta agli incidenti:

    • Reporting e analisi forense sugli incidenti di sicurezza
    • Avvisi basati su analisi che corrispondono a un determinato insieme di regole, che indicano un problema di sicurezza

Al suo core, SIEM è un aggregatore di dati, ricerca e sistema di reporting. SIEM raccoglie immense quantità di dati dallintero ambiente di rete, consolida e rende tali dati accessibili alle persone. Con i dati classificati e disposti a portata di mano, puoi ricercare le violazioni della sicurezza dei dati con tutti i dettagli necessari.

Informazioni sulla sicurezza e funzionalità di gestione degli eventi

Gartner identifica tre capacità critiche per SIEM (rilevamento delle minacce, indagine e tempo per rispondere): ci sono altre caratteristiche e funzionalità che si vedono comunemente nel mercato SIEM, tra cui:

    • Monitoraggio della sicurezza di base
    • Rilevamento avanzato delle minacce
    • Forensics & risposta agli incidenti
    • Raccolta log
    • Normalizzazione
    • Notifiche e avvisi
    • Rilevamento degli incidenti di sicurezza
    • Flusso di lavoro di risposta alle minacce

Principali strumenti SIEM

Questi sono alcuni dei migliori giocatori nello spazio SIEM:

Splunk

Splunk è una soluzione SIEM completa in sede che Gartner valuta come leader nello spazio. Splunk supporta il monitoraggio della sicurezza e può fornire funzionalità avanzate di rilevamento delle minacce.

Varonis si integra con Splunk tramite lapp Varonis DatAlert per Splunk.

IBM QRadar

QRadar è un altro SIEM popolare che puoi distribuire come appliance hardware, un appliance virtuale, o unappliance software, a seconda delle esigenze e della capacità della tua organizzazione.

QRadar può integrarsi con Varonis per aggiungere funzionalità di rilevamento avanzato delle minacce. Cerca lapp Varonis per QRadar

LogRhythm

LogRhythm è un buon SIEM per le organizzazioni più piccole. Puoi integrare LogRhythm con Varonis per ottenere capacità di rilevamento e risposta alle minacce.

SIEM in azienda

Alcuni clienti hanno scoperto di dover mantenere due soluzioni SIEM separate per ottenere il massimo valore per ogni scopo poiché il SIEM può essere incredibilmente rumoroso e dispendioso in termini di risorse: di solito ne preferiscono uno per la sicurezza dei dati e uno per la conformità.

Oltre al caso duso principale di SIEM di registrazione e gestione dei registri, le aziende scopi. Un caso duso alternativo è aiutare a dimostrare la conformità a normative come HIPAA, PCI, SOX e GDPR.

Gli strumenti SIEM aggregano anche i dati che puoi utilizzare per progetti di gestione della capacità. Puoi monitorare la larghezza di banda e la crescita dei dati nel tempo per pianificare la crescita e il budget. Nel mondo della pianificazione della capacità, i dati sono fondamentali e comprendere lutilizzo corrente e le tendenze nel tempo consente di gestire la crescita ed evitare ingenti spese in conto capitale come misura reazionaria rispetto alla prevenzione.

Limitazioni delle applicazioni SIEM come ecosistema completo per la sicurezza dei dati

Le applicazioni SIEM forniscono informazioni contestuali limitate sui loro eventi nativi e i SIEM sono noti per il loro punto cieco su dati non strutturati ed e-mail.Ad esempio, potresti vedere un aumento dellattività di rete da un indirizzo IP, ma non lutente che ha creato quel traffico o a quali file è stato effettuato laccesso.

In questo caso, il contesto può essere tutto.

Quello che sembra un trasferimento significativo di dati potrebbe essere un comportamento completamente innocuo e giustificato, oppure potrebbe essere un furto di petabyte di dati sensibili e critici. La mancanza di contesto negli avvisi di sicurezza porta a un paradigma del “ragazzo che gridava al lupo”: alla fine, la tua sicurezza sarà desensibilizzata ai campanelli dallarme che si attivano ogni volta che viene attivato un evento.

Le applicazioni SIEM non sono in grado di farlo classificare i dati come sensibili o non sensibili e quindi non sono in grado di distinguere tra attività di file sanzionate e attività sospette che possono danneggiare i dati dei clienti, la proprietà intellettuale o la sicurezza aziendale.

In definitiva, le applicazioni SIEM sono solo come capaci come i dati che ricevono. Senza un contesto aggiuntivo su tali dati, lIT è spesso lasciato a caccia di falsi allarmi o problemi altrimenti insignificanti. Il contesto è fondamentale nel mondo della sicurezza dei dati per sapere quali battaglie combattere.

Il problema più grande che sentiamo dai clienti quando utilizzano SIEM è che è estremamente difficile diagnosticare e ricercare eventi di sicurezza. Il volume di dati di basso livello e lelevato numero di avvisi provocano un effetto “ago nel pagliaio”: gli utenti ricevono un avviso ma spesso non hanno la chiarezza e il contesto per agire immediatamente su quellavviso.

Come Varonis Completa SIEM

Il contesto che Varonis porta a SIEM può fare la differenza tra una caccia al beccaccino o prevenire una grave violazione della sicurezza dei dati.

Ed è qui che entra in gioco Varonis. Varonis fornisce contesto aggiuntivo ai dati che un SIEM raccoglie: rendere più facile ottenere più valore da un SIEM costruendo un contesto approfondito, insight e aggiungendo informazioni sulle minacce alle indagini e alle difese di sicurezza.

Varonis acquisisce i dati sugli eventi dei file da vari archivi di dati – in locale e nel cloud – per fornire chi, cosa, quando e dove di ogni file a cui si accede in rete . Con il monitoraggio Varonis Edge, Varonis raccoglierà anche attività DNS, VPN e proxy web. Sarai in grado di correlare lattività di rete con lattività dellarchivio dati per disegnare un quadro completo di un attacco dallinfiltrazione attraverso laccesso ai file allesfiltrazione.

Varonis classifica i file non strutturati in base a centinaia di possibili corrispondenze di pattern, inclusi PII, codici identificativi governativi, numeri di carte di credito, indirizzi e altro ancora. Tale classificazione può essere estesa alla ricerca di proprietà intellettuale specifica dellazienda, scoprire informazioni vulnerabili e sensibili e aiutare a soddisfare la conformità per i dati regolamentati. Varonis legge i file sul posto senza alcun impatto sugli utenti finali.

Varonis esegue anche analisi del comportamento degli utenti (UBA) per fornire avvisi significativi basati sui modelli di comportamento appresi degli utenti, insieme allanalisi avanzata dei dati contro modelli di minacce che ispezionano modelli di minacce interne (come esfiltrazione, spostamento laterale, elevazione dellaccount) e minacce esterne (come ransomware).

Punti salienti dellintegrazione

Varonis si integra con le applicazioni SIEM per fornire analisi di sicurezza con contesto dei dati in modo che le organizzazioni possano essere sicure della loro strategia di sicurezza dei dati. I vantaggi includono:

    • Analisi pronta per luso
    • Cruscotti e avvisi Varonis integrati per unindagine semplificata
    • Pagine di indagine specifiche sugli avvisi
    • Informazioni critiche evidenziate a colpo docchio, con approfondimenti fruibili e ricco contesto
    • Integrazione nel flusso di lavoro SIEM

Come indagare su un attacco con SIEM e Varonis

Questi dati contestuali forniti da Varonis forniscono ai team di sicurezza analisi significative e avvisi sullinfrastruttura, senza sovraccarico aggiuntivo o rumore di segnale al SIEM. I team SOC possono indagare più rapidamente sfruttando SIEM con Varonis e ottenere informazioni sugli asset più critici che devono proteggere: dati non strutturati ed e-mail. Con la visibilità aggiuntiva fornita da Varonis, ottieni una panoramica a colpo docchio di ciò che sta accadendo nei tuoi archivi di dati principali, sia in locale che nel cloud. Puoi facilmente indagare su utenti, minacce e dispositivi e persino automatizzare le risposte.

(fai clic per ingrandire)

Quando si fa clic sullevento di avviso Varonis nel SIEM, si viene indirizzati al dashboard degli avvisi di Varonis per lavviso che si sta indagando. Da qui, puoi vedere che questo avviso è correlato ad altri quattro avvisi. Ognuno di loro è fastidioso, ma poiché sono tutti collegati, è unimmagine molto più chiara e ben strutturata di un attacco informatico.

(Fare clic per ingrandire)

Questo avviso ci informa che questo account BackupService ha caricato i dati su un sito web di posta elettronica esterno.

(Fare clic per ingrandire)

Questo avviso ci informa che laccount BackupService non ha mai effettuato laccesso a Internet prima, rendendo il fatto che laccount abbia caricato i dati tramite e-mail molto più sospetto.

Questo è solo linizio delle indagini sugli avvisi di sicurezza informatica con Varonis e il tuo SIEM. Varonis può avviare uno script per disabilitare laccount utente e interrompere lattacco non appena viene rilevato, nel qual caso lhacker potrebbe non essere stato in grado di accedere ai file del libro paga!

Con il contesto che hai a disposizione, puoi rispondere rapidamente – e gestire – gli avvisi che ricevi nel tuo SIEM.

Gli analisti della sicurezza impiegano innumerevoli ore per ricevere avvisi significativi da SIEM: ottimizzazione dei casi duso, creazione di regole e aggiunta di origini dati: Varonis offre un vantaggio con modelli di analisi preconfigurati, dashboard intuitive e avvisi intelligenti.

OK, sono pronto per iniziare!

Se stai già utilizzando un SIEM, è semplice aggiungere Varonis e ottenere di più da il tuo investimento SIEM. Se stai cercando di avviare il tuo piano di sicurezza dei dati, inizia con Varonis, quindi aggiungi il tuo SIEM.

Dopo aver installato Varonis, puoi aggiungere il tuo SIEM per laggregazione dei dati e ulteriori monitoraggi e avvisi . Varonis ti offre una maggiore copertura iniziale della sicurezza dei dati e laggiunta di un SIEM renderà Varonis e il tuo SIEM più in grado di correlare e archiviare i dati per lanalisi e lauditing.

Dai unocchiata a un webinar sugli attacchi informatici in tempo reale per vedere come Varonis porta il contesto ai dati SIEM.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *