Wat is SIEM? Een beginnershandleiding

SIEM is nu een industrie van $ 2 miljard, maar volgens een recent onderzoek haalt slechts 21,9% van die bedrijven waarde uit hun SIEM.

SIEM-tools zijn een belangrijke onderdeel van het ecosysteem voor gegevensbeveiliging: ze verzamelen gegevens van meerdere systemen en analyseren die gegevens om abnormaal gedrag of mogelijke cyberaanvallen op te sporen. SIEM-tools bieden een centrale plek om gebeurtenissen en waarschuwingen te verzamelen, maar kunnen duur en arbeidsintensief zijn, en klanten melden dat het vaak moeilijk is om problemen met SIEM-gegevens op te lossen.

Gids: 5 manieren waarop uw SIEM stelt u in de steek (en wat te doen)

“Door de context te zien voor wanneer en hoe beveiligingsgebeurtenissen onze onderzoeken met een factor 3 hebben versneld.”

Wat is SIEM?

Security Information and Event Management (SIEM) is een softwareoplossing die activiteiten van veel verschillende bronnen in uw gehele IT-infrastructuur verzamelt en analyseert.

SIEM verzamelt beveiligingsgegevens van netwerkapparaten, servers, domeincontrollers en meer. SIEM slaat die gegevens op, normaliseert, aggregeert en past analyses toe op die gegevens om trends te ontdekken, bedreigingen te detecteren en organisaties in staat te stellen eventuele waarschuwingen te onderzoeken.

Hoe werkt SIEM?

SIEM biedt er twee primaire mogelijkheden voor een incidentresponsteam:

    • Rapportage en forensisch onderzoek over beveiligingsincidenten
    • Waarschuwingen op basis van analyses die overeenkomen met een bepaalde regelset, die een beveiligingsprobleem aangeven

Op zijn core, SIEM is een data-aggregator, zoek- en rapportagesysteem. SIEM verzamelt enorme hoeveelheden gegevens uit uw gehele netwerkomgeving, consolideert en maakt die gegevens toegankelijk voor mensen. Met de gegevens gecategoriseerd en ingedeeld binnen handbereik, kunt u inbreuken op de gegevensbeveiliging zo gedetailleerd mogelijk onderzoeken.

Beveiligingsinformatie en mogelijkheden voor gebeurtenisbeheer

Gartner identificeert drie cruciale mogelijkheden voor SIEM (detectie van bedreigingen, onderzoek en tijd om te reageren) – er zijn andere kenmerken en functionaliteit die u vaak tegenkomt in de SIEM-markt, waaronder:

    • Basisbewaking van de beveiliging
    • Geavanceerde bedreigingsdetectie
    • Forensisch onderzoek & reactie op incidenten
    • Logboekverzameling
    • Normalisatie
    • Meldingen en waarschuwingen
    • Detectie van beveiligingsincidenten
    • Workflow voor bedreigingsreacties

Top SIEM-tools

Dit zijn enkele van de topspelers in de SIEM-ruimte:

Splunk

Splunk is een volledige on-prem SIEM-oplossing die Gartner beoordeelt als een leider in de ruimte. Splunk ondersteunt beveiligingsmonitoring en kan geavanceerde mogelijkheden voor bedreigingsdetectie bieden.

Varonis integreert met Splunk via de Varonis DatAlert-app voor Splunk.

IBM QRadar

QRadar is een andere populaire SIEM die u kunt inzetten als hardware-apparaat, een virtuele appliance, of een softwareapplicatie, afhankelijk van de behoeften en capaciteit van uw organisatie.

QRadar kan worden geïntegreerd met Varonis om geavanceerde mogelijkheden voor bedreigingsdetectie toe te voegen. Zoek naar de Varonis-app voor QRadar

LogRhythm

LogRhythm is een goede SIEM voor kleinere organisaties. U kunt LogRhythm met Varonis integreren om bedreigingsdetectie en responsmogelijkheden te krijgen.

SIEM in de onderneming

Sommige klanten hebben ontdekt dat ze twee afzonderlijke SIEM-oplossingen nodig hebben om de meeste waarde te krijgen voor elk doel, aangezien de SIEM ongelooflijk luidruchtig en resource-intensief kan zijn: ze geven meestal de voorkeur aan een voor gegevensbeveiliging en een voor naleving.

Naast SIEMs primaire use-case van logboekregistratie en logboekbeheer, gebruiken bedrijven hun SIEM voor andere doeleinden. Een alternatieve use case is om te helpen aantonen dat regelgeving zoals HIPAA, PCI, SOX en GDPR wordt nageleefd.

SIEM-tools verzamelen ook gegevens die u kunt gebruiken voor capaciteitsbeheerprojecten. U kunt de bandbreedte en datagroei in de loop van de tijd volgen om te plannen voor groei en budgettering. In de wereld van capaciteitsplanning zijn gegevens essentieel, en als u uw huidige gebruik en trends in de loop van de tijd begrijpt, kunt u de groei beheren en grote kapitaaluitgaven vermijden als een reactionaire maatregel versus preventie.

Beperkingen van SIEM-applicaties als een volledig ecosysteem voor gegevensbeveiliging

SIEM-applicaties bieden beperkte contextuele informatie over hun oorspronkelijke gebeurtenissen, en SIEMs staan bekend om hun blinde vlek op ongestructureerde gegevens en e-mails.U kunt bijvoorbeeld een toename zien in netwerkactiviteit vanaf een IP-adres, maar niet de gebruiker die dat verkeer heeft aangemaakt of tot welke bestanden toegang is verkregen.

In dit geval kan context alles zijn.

Wat eruitziet als een aanzienlijke overdracht van gegevens, kan een volkomen onschuldig en gerechtvaardigd gedrag zijn, of het kan een diefstal zijn van petabytes aan gevoelige en kritieke gegevens. Een gebrek aan context in beveiligingswaarschuwingen leidt tot een boy that cried wolf-paradigma: uiteindelijk zal uw beveiliging ongevoelig zijn voor de alarmbellen die afgaan elke keer dat een gebeurtenis wordt geactiveerd.

SIEM-toepassingen kunnen dit niet classificeren gegevens als gevoelig of niet-gevoelig en kunnen daarom geen onderscheid maken tussen gesanctioneerde bestandsactiviteit en verdachte activiteit die schadelijk kan zijn voor klantgegevens, intellectueel eigendom of bedrijfsbeveiliging.

Uiteindelijk zijn SIEM-toepassingen slechts zo capabel als de gegevens die ze ontvangen. Zonder aanvullende context voor die gegevens, blijft IT vaak achter op valse alarmen of anderszins onbeduidende problemen. Context is de sleutel in de wereld van gegevensbeveiliging om te weten welke gevechten ze moeten leveren.

Het grootste probleem dat we van klanten horen wanneer ze SIEM gebruiken, is dat het buitengewoon moeilijk is om beveiligingsgebeurtenissen te diagnosticeren en te onderzoeken. De hoeveelheid low-level data en het hoge aantal alerts veroorzaken een naald in een hooiberg-effect: gebruikers krijgen een alert maar missen vaak de duidelijkheid en context om direct op die alert te reageren.

Hoe Varonis Vult SIEM aan

De context die Varonis naar SIEM brengt, kan het verschil zijn tussen een snipjacht of het voorkomen van een grote inbreuk op de gegevensbeveiliging.

En dat is waar Varonis om de hoek komt kijken. Varonis biedt extra context op de gegevens die een SIEM verzamelt: het gemakkelijker maken om meer waarde uit een SIEM te halen door diepgaande context en inzicht te creëren en informatie over bedreigingen toe te voegen aan veiligheidsonderzoeken en verdedigingen.

Varonis legt bestandsgebeurtenisgegevens vast uit verschillende datastores – on-premise en in de cloud – om het wie, wat, wanneer en waar te geven van elk bestand dat op het netwerk wordt geopend . Met Varonis Edge-monitoring verzamelt Varonis ook DNS-, VPN- en webproxy-activiteit. U kunt de netwerkactiviteit correleren met de gegevensopslagactiviteit om een compleet beeld te schetsen van een aanval van infiltratie via bestandstoegang tot exfiltratie.

Varonis classificeert ongestructureerde bestanden op basis van honderden mogelijke patroonovereenkomsten, inclusief PII, ID-nummers van de overheid, creditcardnummers, adressen en meer. Die classificatie kan worden uitgebreid om te zoeken naar bedrijfsspecifiek intellectueel eigendom, kwetsbare, gevoelige informatie te ontdekken en te helpen voldoen aan de naleving van gereguleerde gegevens. Varonis leest aanwezige bestanden zonder enige impact voor eindgebruikers.

Varonis voert ook gebruikersgedragsanalyses (UBA) uit om zinvolle waarschuwingen te geven op basis van aangeleerde gedragspatronen van gebruikers, samen met geavanceerde gegevensanalyse tegen dreigingsmodellen die inspecteren patronen voor bedreigingen van binnenuit (zoals exfiltratie, laterale verplaatsing, accountverhoging) en bedreigingen van buitenaf (zoals ransomware).

Hoogtepunten van integratie

Varonis kan worden geïntegreerd met SIEM-toepassingen om beveiligingsanalyses met diepgaande gegevenscontext, zodat organisaties kunnen vertrouwen op hun gegevensbeveiligingsstrategie. Voordelen zijn onder meer:

    • Kant-en-klare analyses
    • Geïntegreerde Varonis-dashboards en waarschuwingen voor gestroomlijnd onderzoek
    • Waarschuwingsspecifieke onderzoekspaginas
    • Kritische informatie in één oogopslag uitgelicht, met bruikbare inzichten en rijke context
    • Integratie in uw SIEM-workflow

Hoe een aanval met SIEM en Varonis te onderzoeken

Deze contextuele gegevens die Varonis meebrengt, geven beveiligingsteams zinvolle analyses en waarschuwingen over de infrastructuur, zonder de extra overhead of signaalruis naar de SIEM. SOC-teams kunnen sneller onderzoek doen door gebruik te maken van SIEM met Varonis en inzicht krijgen in de meest kritieke middelen die ze moeten beschermen: ongestructureerde gegevens en e-mail. Met de extra zichtbaarheid die Varonis biedt, krijgt u in één oogopslag een overzicht van wat er gebeurt in uw kerngegevensopslag, zowel on-premise als in de cloud. U kunt gebruikers, bedreigingen en apparaten gemakkelijk onderzoeken en zelfs reacties automatiseren.

(Klik om te vergroten)

Wanneer u op de Varonis Alert Event in uw SIEM klikt, wordt u naar het Varonis Alert Dashboard geleid voor de waarschuwing die u onderzoekt. Vanaf hier kunt u zien dat deze waarschuwing verband houdt met vier andere waarschuwingen. Elk van hen is lastig, maar aangezien ze allemaal met elkaar verbonden zijn, is het een veel duidelijker en overzichtelijker beeld van een cyberaanval.

(Klik om te vergroten)

Deze waarschuwing vertelt ons dat dit BackupService-account gegevens heeft geüpload naar een externe e-mailwebsite.

(Klik om in te zoomen)

Deze waarschuwing vertelt ons dat het BackupService-account heeft nog nooit toegang tot internet gehad, waardoor het feit dat het account gegevens naar e-mail heeft geüpload, veel verdachter is.

Dat is nog maar het begin van het onderzoeken van cyberbeveiligingswaarschuwingen met Varonis en uw SIEM. Varonis kan een script starten om het gebruikersaccount uit te schakelen en de aanval af te sluiten zodra deze wordt gedetecteerd – in welk geval die hacker misschien helemaal niet bij de loonlijstbestanden kon komen!

Met de context die u tot uw beschikking heeft, kunt u snel reageren op – en beheren – de alerts die u in uw SIEM ontvangt.

Beveiligingsanalisten besteden talloze uren om zinvolle waarschuwingen van SIEM te krijgen: use cases verfijnen, regels opstellen en gegevensbronnen toevoegen – Varonis geeft een voorsprong met kant-en-klare analysemodellen, intuïtieve dashboards en intelligente alarmering.

OK, ik ben klaar om aan de slag te gaan!

Als u al een SIEM gebruikt, is het eenvoudig om Varonis toe te voegen en meer uit uw SIEM-investering. Als u uw gegevensbeveiligingsplan wilt starten, begin dan met Varonis en voeg vervolgens uw SIEM toe.

Zodra u Varonis heeft geïnstalleerd, kunt u uw SIEM toevoegen voor gegevensaggregatie en aanvullende monitoring en alarmering. . Varonis geeft u meer initiële gegevensbeveiligingsdekking, en door een SIEM toe te voegen, zullen Varonis en uw SIEM beter in staat zijn om gegevens te correleren en op te slaan voor analyse en audit.

Bekijk een live cyberaanval-webinar om te zien hoe Varonis context brengt toe aan uw SIEM-gegevens.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *