Hva er SIEM? En nybegynnerveiledning

SIEM er nå en industri på 2 milliarder dollar, men bare 21,9% av disse selskapene får verdi av SIEM, ifølge en nylig undersøkelse.

SIEM-verktøy er et viktig del av datasikkerhetsøkosystemet: de samler data fra flere systemer og analyserer dataene for å fange unormal oppførsel eller potensielle nettangrep. SIEM-verktøy gir et sentralt sted å samle inn hendelser og varsler – men kan være dyre, ressurskrevende, og kunder rapporterer at det ofte er vanskelig å løse problemer med SIEM-data.

Guide: 5 Ways Your SIEM mislykkes deg (og hva du skal gjøre med det)

«Ser vi sammenhengen for når og hvordan sikkerhetshendelser fremskyndet undersøkelsene våre med en faktor på 3.»

Hva er SIEM?

SIEM (Security Information and Event Management) er en programvareløsning som samler og analyserer aktivitet fra mange forskjellige ressurser over hele IT-infrastrukturen.

SIEM samler sikkerhetsdata fra nettverksenheter, servere, domenekontrollere og mer. SIEM lagrer, normaliserer, samler og bruker analyser på dataene for å oppdage trender, oppdage trusler og gjøre det mulig for organisasjoner å undersøke eventuelle varsler.

Hvordan fungerer SIEM?

SIEM gir to primære evner til et Incident Response-team:

    • Rapportering og rettsmedisin om sikkerhetshendelser
    • Varsler basert på analyser som samsvarer med et bestemt regelsett, noe som indikerer et sikkerhetsproblem

Når det er kjernen, SIEM er et dataaggregat-, søke- og rapporteringssystem. SIEM samler enorme mengder data fra hele nettverksmiljøet ditt, konsoliderer og gjør dataene tilgjengelige. Med dataene kategorisert og lagt ut like ved fingrene, kan du undersøke datasikkerhetsbrudd med så mange detaljer som nødvendig.

Sikkerhetsinformasjon og evner for hendelsesadministrasjon

Gartner identifiserer tre kritiske muligheter for SIEM (trusseldeteksjon, etterforskning og tid til å svare) – det er andre funksjoner og funksjonalitet som du ofte ser i SIEM-markedet, inkludert:

    • Grunnleggende sikkerhetsovervåking
    • Avansert trusseldeteksjon
    • Rettsmedisin & hendelsesrespons
    • Loggsamling
    • Normalisering
    • Varsler og varsler
    • Oppdagelse av sikkerhetshendelser
    • Arbeidsflyt for trussvar

Topp SIEM-verktøy

Dette er noen av de beste spillerne i SIEM-rommet:

Splunk

Splunk er en fullstendig lokal SIEM-løsning som Gartner vurderer som en leder i rommet. Splunk støtter sikkerhetsovervåking og kan tilby avanserte muligheter for deteksjon av trusler.

Varonis integreres med Splunk gjennom Varonis DatAlert-appen for Splunk.

IBM QRadar

QRadar er en annen populær SIEM som du kan distribuere som maskinvareenhet, en virtuelt apparat, eller et programvareapparat, avhengig av organisasjonens behov og kapasitet.

QRadar kan integreres med Varonis for å legge til Advanced Threat Detection-funksjoner. Se etter Varonis-appen for QRadar

LogRhythm

LogRhythm er en god SIEM for mindre organisasjoner. Du kan integrere LogRhythm med Varonis for å få muligheter for deteksjon og respons for trusler.

SIEM i bedriften

Noen kunder har funnet ut at de trenger å opprettholde to separate SIEM-løsninger for å få mest mulig verdi for hvert formål siden SIEM kan være utrolig støyende og ressurskrevende: de foretrekker vanligvis en for datasikkerhet og en for overholdelse.

Utover SIEMs primære brukstilfelle av logging og loggstyring, bruker bedriftene sine SIEM for andre formål. En alternativ brukstilfelle er å bidra til å påvise samsvar med forskrifter som HIPAA, PCI, SOX og GDPR.

SIEM-verktøy samler også data som du kan bruke til kapasitetsstyringsprosjekter. Du kan spore båndbredde og datavekst over tid for å planlegge for vekst- og budsjetteringsformål. I kapasitetsplanleggingsverdenen er data nøkkelen, og å forstå din nåværende bruk og trender over tid gjør at du kan håndtere vekst og unngå store investeringer som et reaksjonært tiltak versus forebygging.

Begrensninger for SIEM-applikasjoner som et fullstendig datasikkerhetsøkosystem

SIEM-applikasjoner gir begrenset kontekstuell informasjon om deres opprinnelige hendelser, og SIEM-er er kjent for sin blinde flekk på ustrukturerte data og e-post.For eksempel kan du se en økning i nettverksaktivitet fra en IP-adresse, men ikke brukeren som opprettet trafikken eller hvilke filer som ble brukt.

I dette tilfellet kan kontekst være alt.

Det som ser ut som en betydelig overføring av data kan være fullstendig godartet og berettiget oppførsel, eller det kan være tyveri av petabyte med sensitive og kritiske data. Manglende kontekst i sikkerhetsvarsler fører til et paradigme av gutt som gråt ulv: Til slutt vil sikkerheten din bli avfølsom overfor alarmklokkene som går hver gang en hendelse utløses.

SIEM-applikasjoner kan ikke klassifisere data som sensitive eller ikke-sensitive og kan derfor ikke skille mellom sanksjonert filaktivitet fra mistenkelig aktivitet som kan skade kundedata, immateriell eiendom eller selskapets sikkerhet.

Til slutt er SIEM-applikasjoner bare som stand som dataene de mottar. Uten ytterligere kontekst på disse dataene blir IT ofte etterlatt falske alarmer eller på annen måte ubetydelige problemer. Kontekst er nøkkelen i datasikkerhetsverdenen for å vite hvilke kamper vi skal kjempe.

Det største problemet vi hører fra kunder når de bruker SIEM, er at det er ekstremt vanskelig å diagnostisere og undersøke sikkerhetshendelser. Volumet av data på lavt nivå og det høye antallet varsler forårsaker en nål i en høystak -effekt: brukere får et varsel, men mangler ofte klarhet og kontekst til å reagere på det varselet umiddelbart.

Hvordan Varonis Utfyller SIEM

Konteksten som Varonis bringer til SIEM kan være forskjellen mellom en snipejakt eller å forhindre et større datasikkerhetsbrudd.

Og det er der Varonis kommer inn. Varonis gir ekstra kontekst til dataene som et SIEM samler inn: gjør det lettere å få mer verdi ut av et SIEM ved å bygge inngående kontekst, innsikt og legge til trusselinformasjon i sikkerhetsetterforskninger og forsvar.

Varonis registrerer filhendelsesdata fra forskjellige datalagre – lokalt og i skyen – for å gi hvem, hva, når og hvor av hver fil som er tilgjengelig på nettverket . Med Varonis Edge-overvåking vil Varonis også samle inn DNS, VPN og web-proxy-aktivitet. Du vil være i stand til å korrelere nettverksaktiviteten med datalagringsaktiviteten for å tegne et komplett bilde av et angrep fra infiltrasjon gjennom filtilgang til exfiltrering.

Varonis klassifiserer ustrukturerte filer basert på hundrevis av mulige mønsterkamper, inkludert PII, myndighets-ID-nummer, kredittkortnumre, adresser og mer. Denne klassifiseringen kan utvides til å søke etter selskapsspesifikk immateriell eiendom, oppdage sårbar, sensitiv informasjon og bidra til å oppfylle samsvar med regulerte data. Varonis leser filer på plass uten noen innvirkning på sluttbrukere.

Varonis utfører også brukeratferdsanalyse (UBA) for å gi meningsfulle varsler basert på lærte atferdsmønstre hos brukere, sammen med avansert dataanalyse mot trusselmodeller som inspiserer mønstre for insider-trusler (som eksfiltrering, lateral bevegelse, kontohøyde) og utenforstående trusler (som ransomware).

Integrasjonshøydepunkter

Varonis integreres med SIEM-applikasjoner for å gi sikkerhetsanalyser med dyp datakontekst slik at organisasjoner kan være trygge på sin datasikkerhetsstrategi. Fordelene inkluderer:

    • Analyser utenom boksen
    • Integrerte Varonis dashbord og varsler for strømlinjeformet etterforskning
    • Varsle spesifikke undersøkelsessider
    • Kritisk informasjon fremhevet med et øyeblikk, med handlingsbar innsikt og rik kontekst
    • Integrering i SIEM-arbeidsflyten

Hvordan undersøke et angrep med SIEM og Varonis

Denne kontekstuelle dataen som Varonis bringer gir sikkerhetsteam meningsfull analyse og varsler om infrastrukturen, uten ekstra overhead- eller signalstøy til SIEM. SOC-team kan undersøke raskere ved å utnytte SIEM med Varonis og få innsikt i de mest kritiske eiendelene de trenger for å beskytte: ustrukturerte data og e-post. Med den ekstra synligheten som tilbys av Varonis, får du en oversikt over hva som skjer i kjernedatabutikkene dine – både lokale og i skyen. Du kan enkelt undersøke brukere, trusler og enheter – og til og med automatisere svar.

(Klikk for å zoome)

Når du klikker på Varonis Alert Event i SIEM, blir du ført til Varonis Alert Dashboard for varselet du undersøker. Herfra kan du se at dette varselet er relatert til fire andre varsler. Enhver av dem er plagsom, men siden de alle er koblet sammen, er det et mye tydeligere og oversiktlig bilde av en cyberangrep.

(Klikk for å zoome)

Dette varselet forteller oss at denne BackupService-kontoen lastet opp data til en ekstern e-postwebside.

(Klikk for å zoome)

Dette varselet forteller oss at BackupService-kontoen har aldri tilgang til internett før, noe som gjør det faktum at kontoen lastet opp data til e-post mye mer mistenkelig.

Det er bare begynnelsen på å undersøke cybersecurity-varsler med Varonis og SIEM. Varonis kan starte et skript for å deaktivere brukerkontoen og slå av angrepet så snart det er oppdaget – i så fall har den hackeren kanskje ikke klart å komme til lønnsfilene i det hele tatt!

Med konteksten du har til rådighet, kan du raskt svare på – og administrere – varslene du mottar i SIEM.

Sikkerhetsanalytikere bruker utallige timer på å få meningsfulle varsler fra SIEM: finjustere brukstilfeller, bygningsregler og legge til datakilder – Varonis gir et forsprang med ut-av-es-analysemodeller, intuitive dashboards og intelligent varsling.

OK, jeg er klar til å komme i gang!

Hvis du allerede bruker et SIEM, er det enkelt å legge til Varonis og få mer ut av din SIEM-investering. Hvis du ønsker å starte datasikkerhetsplanen din, begynner du med Varonis og legger deretter til SIEM.

Når du har Varonis på plass, kan du deretter legge til SIEM for dataaggregering og ekstra overvåking og varsling . Varonis gir deg mer innledende datasikkerhetsdekning, og å legge til en SIEM vil gjøre Varonis og SIEM bedre i stand til å korrelere og lagre data for analyse og revisjon. til SIEM-dataene dine.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *