Co to jest SIEM? Przewodnik dla początkujących
SIEM to obecnie branża warta 2 miliardy dolarów, ale tylko 21,9% tych firm czerpie korzyści z ich SIEM, zgodnie z niedawną ankietą.
Narzędzia SIEM są ważne część ekosystemu bezpieczeństwa danych: agregują dane z wielu systemów i analizują te dane, aby wykryć nietypowe zachowanie lub potencjalne cyberataki. Narzędzia SIEM zapewniają centralne miejsce do zbierania zdarzeń i alertów – ale mogą być drogie, wymagające dużej ilości zasobów, a klienci zgłaszają, że często trudno jest rozwiązać problemy z danymi SIEM.
Przewodnik: 5 sposobów SIEM zawodzi (i co z tym zrobić)
Co to jest SIEM?
Informacje o bezpieczeństwie i zarządzanie zdarzeniami (SIEM) to oprogramowanie, które agreguje i analizuje aktywność z wielu różnych zasobów w całej Twojej infrastrukturze IT.
SIEM zbiera dane bezpieczeństwa z urządzeń sieciowych, serwerów, kontrolerów domeny i nie tylko. SIEM przechowuje, normalizuje, agreguje i stosuje analizy do tych danych w celu wykrywania trendów, wykrywania zagrożeń i umożliwia organizacjom badanie wszelkich alertów.
Jak działa SIEM?
SIEM zapewnia dwa podstawowe możliwości zespołu reagowania na incydenty:
-
- Zgłaszanie i analiza kryminalistyczna incydentów bezpieczeństwa
- Alerty oparte na danych analitycznych, które pasują do określonego zestawu reguł, wskazujące na problem z bezpieczeństwem.
core, SIEM jest agregatorem danych, systemem wyszukiwania i raportowania. SIEM gromadzi ogromne ilości danych z całego środowiska sieciowego, konsoliduje i udostępnia je ludziom. Mając dane podzielone na kategorie i rozmieszczone na wyciągnięcie ręki, możesz badać naruszenia bezpieczeństwa danych tak szczegółowo, jak potrzeba.
Informacje o bezpieczeństwie i możliwości zarządzania zdarzeniami
Gartner identyfikuje trzy krytyczne możliwości SIEM (wykrywanie zagrożeń, badanie i czas na reakcję) – istnieją inne cechy i funkcje, które często występują na rynku SIEM, w tym:
-
- Podstawowe monitorowanie bezpieczeństwa
- Zaawansowane wykrywanie zagrożeń
- Forensics & reakcja na incydent
- Zbieranie dzienników
- Normalizacja
- Powiadomienia i alerty
- Wykrywanie incydentów bezpieczeństwa
- Przepływ pracy w odpowiedzi na zagrożenie
Najlepsze narzędzia SIEM
Oto niektórzy z najlepszych graczy w dziedzinie SIEM:
Splunk
Splunk to w pełni lokalne rozwiązanie SIEM, które Gartner ocenia jako lidera w tej dziedzinie. Splunk obsługuje monitorowanie bezpieczeństwa i może zapewnić zaawansowane możliwości wykrywania zagrożeń.
Varonis integruje się ze Splunk poprzez aplikację Varonis DatAlert dla Splunk.
IBM QRadar
QRadar to kolejny popularny SIEM, który można wdrożyć jako urządzenie sprzętowe. urządzenie wirtualne lub oprogramowanie, w zależności od potrzeb i możliwości organizacji.
QRadar można zintegrować z Varonis, aby dodać funkcje zaawansowanego wykrywania zagrożeń. Poszukaj aplikacji Varonis dla QRadar
LogRhythm
LogRhythm to dobry SIEM dla mniejszych organizacji. Możesz zintegrować LogRhythm z Varonis, aby uzyskać możliwości wykrywania zagrożeń i reagowania.
SIEM w przedsiębiorstwie
Niektórzy klienci stwierdzili, że muszą utrzymywać dwa oddzielne rozwiązania SIEM, aby uzyskać jak największą wartość do każdego celu, ponieważ SIEM może być niesamowicie hałaśliwy i wymagający dużej ilości zasobów: zazwyczaj wolą jeden ze względu na bezpieczeństwo danych, a drugi ze względu na zgodność.
Poza podstawowym przypadkiem użycia SIEM, polegającym na logowaniu i zarządzaniu dziennikami, przedsiębiorstwa wykorzystują ich SIEM cele. Jednym z alternatywnych przypadków użycia jest pomoc w wykazaniu zgodności z przepisami, takimi jak HIPAA, PCI, SOX i RODO.
Narzędzia SIEM również agregują dane, których można użyć w projektach zarządzania wydajnością. Możesz śledzić wzrost przepustowości i danych w czasie, aby planować wzrost i budżet. W świecie planowania wydajności dane są kluczowe, a zrozumienie obecnego wykorzystania i trendów w czasie pozwala zarządzać wzrostem i unikać dużych wydatków kapitałowych jako środek reakcyjny w porównaniu z zapobieganiem.
Ograniczenia aplikacji SIEM jako pełnego ekosystemu bezpieczeństwa danych
Aplikacje SIEM zapewniają ograniczone informacje kontekstowe o swoich natywnych zdarzeniach, a SIEMs są znane z martwego punktu w nieustrukturyzowanych danych i wiadomościach e-mail.Na przykład możesz zauważyć wzrost aktywności sieciowej z adresu IP, ale nie użytkownika, który utworzył ten ruch lub które pliki były dostępne.
W tym przypadku kontekst może być wszystkim.
To, co wygląda na znaczący transfer danych, może być całkowicie niegroźnym i uzasadnionym zachowaniem lub może być kradzieżą petabajtów wrażliwych i krytycznych danych. Brak kontekstu w alertach zabezpieczeń prowadzi do paradygmatu „chłopiec, który płakał wilk”: w końcu Twoje zabezpieczenia zostaną znieczulone na dzwonki alarmowe uruchamiane za każdym razem, gdy uruchamiane jest zdarzenie.
Aplikacje SIEM nie są w stanie klasyfikować dane jako wrażliwe lub niewrażliwe i dlatego nie są w stanie odróżnić sankcjonowanej aktywności na plikach od podejrzanej aktywności, która może być szkodliwa dla danych klientów, własności intelektualnej lub bezpieczeństwa firmy.
Ostatecznie aplikacje SIEM są tylko takie tak jak dane, które otrzymują. Bez dodatkowego kontekstu dotyczącego tych danych dział IT często ściga fałszywe alarmy lub inne nieistotne problemy. Kontekst ma kluczowe znaczenie w świecie bezpieczeństwa danych, aby wiedzieć, jakie bitwy toczyć.
Największym problemem, jaki słyszymy od klientów korzystających z SIEM, jest to, że niezwykle trudno jest zdiagnozować i zbadać zdarzenia dotyczące bezpieczeństwa. Ilość danych niskiego poziomu i duża liczba alertów powodują efekt „igły w stogu siana”: użytkownicy otrzymują ostrzeżenie, ale często brakuje im jasności i kontekstu, aby natychmiast zareagować na ten alert.
Jak Varonis Uzupełnia SIEM
Kontekst, jaki Varonis wnosi do SIEM, może być różnicą między polowaniem na bekasy a zapobieganiem poważnemu naruszeniu bezpieczeństwa danych.
I tu pojawia się Varonis. Varonis zapewnia dodatkowy kontekst do danych, które gromadzi SIEM: ułatwianie uzyskania większej wartości z SIEM poprzez budowanie dogłębnego kontekstu, wglądu i dodawanie informacji o zagrożeniach do badań bezpieczeństwa i zabezpieczeń.
Varonis przechwytuje dane o zdarzeniach plików z różnych magazynów danych – lokalnie iw chmurze – aby określić, kto, co, kiedy i gdzie z każdego pliku uzyskano dostęp w sieci . Dzięki monitorowaniu Varonis Edge, Varonis będzie również zbierać dane o aktywności DNS, VPN i proxy. Będziesz mógł skorelować aktywność sieciową z aktywnością magazynu danych, aby stworzyć pełny obraz ataku od infiltracji, poprzez dostęp do plików, aż po eksfiltrację.
Varonis klasyfikuje pliki bez struktury na podstawie setek możliwych dopasowań wzorców, w tym PII, rządowe numery identyfikacyjne, numery kart kredytowych, adresy i inne. Klasyfikację tę można rozszerzyć, aby wyszukiwać własność intelektualną specyficzną dla firmy, odkrywać wrażliwe, wrażliwe informacje i pomagać w przestrzeganiu przepisów dotyczących danych. Varonis odczytuje pliki w miejscu bez żadnego wpływu na użytkowników końcowych.
Varonis przeprowadza również analizę zachowań użytkowników (UBA), aby zapewnić znaczące alerty oparte na wyuczonych wzorcach zachowań użytkowników, a także zaawansowaną analizę danych pod kątem modeli zagrożeń, które sprawdzają wzorce zagrożeń wewnętrznych (takich jak eksfiltracja, ruchy boczne, podniesienie poziomu konta) i zagrożeń z zewnątrz (takich jak oprogramowanie ransomware).
Najważniejsze informacje o integracji
Varonis integruje się z aplikacjami SIEM, aby zapewnić analizę bezpieczeństwa z głębokimi kontekst danych, aby organizacje mogły mieć pewność co do strategii bezpieczeństwa danych. Korzyści obejmują:
-
- Gotowe do użycia analizy
- Zintegrowane pulpity nawigacyjne i alerty Varonis ułatwiające dochodzenie.
- Strony z konkretnymi alertami dotyczące dochodzenia
- Najważniejsze informacje wyróżnione na pierwszy rzut oka, z przydatnymi spostrzeżeniami i bogatym kontekstem
- Integracja z przepływem pracy SIEM
Jak zbadać atak za pomocą SIEM i Varonis
Te dane kontekstowe, które dostarcza Varonis, zapewniają zespołom bezpieczeństwa znaczącą analizę i alerty dotyczące infrastruktury, bez dodatkowego obciążenia lub szumu sygnału do SIEM. Zespoły SOC mogą szybciej badać, wykorzystując SIEM z Varonis i uzyskać wgląd w najbardziej krytyczne zasoby, które muszą chronić: nieustrukturyzowane dane i poczta e-mail. Dzięki dodatkowej widoczności zapewnianej przez Varonis, zyskujesz szybki przegląd tego, co dzieje się w Twoich podstawowych magazynach danych – zarówno lokalnie, jak iw chmurze. Możesz łatwo badać użytkowników, zagrożenia i urządzenia – a nawet zautomatyzować odpowiedzi.
(Kliknij, aby powiększyć)
Kiedy klikniesz zdarzenie alertu Varonis w swoim SIEM, zostaniesz przeniesiony do panelu alertów Varonis, gdzie znajdziesz alert, który badasz. Z tego miejsca widać, że ten alert jest powiązany z czterema innymi alertami. Każdy z nich jest kłopotliwy, ale ponieważ wszystkie są ze sobą połączone, daje to o wiele jaśniejszy i lepiej rozplanowany obraz cyberataku.
(Kliknij, aby powiększyć)
Ten alert informuje nas, że to konto BackupService przesłało dane do zewnętrzna witryna e-mail.
(Kliknij, aby powiększyć)
Ten alert informuje nas, że konto BackupService nigdy wcześniej nie korzystał z Internetu, przez co fakt, że konto przesyłało dane pocztą e-mail, jest znacznie bardziej podejrzany.
To dopiero początek badania alertów dotyczących cyberbezpieczeństwa w Varonis i Twoim SIEM. Varonis może uruchomić skrypt, aby wyłączyć konto użytkownika i zakończyć atak, gdy tylko zostanie wykryty – w takim przypadku haker mógł w ogóle nie być w stanie uzyskać dostępu do plików listy płac!
W kontekście, którym dysponujesz, możesz szybko odpowiadać na alerty otrzymywane w swoim SIEM i zarządzać nimi.
Analitycy bezpieczeństwa spędzają niezliczone godziny, aby uzyskać znaczące alerty od SIEM: dopracowując przypadki użycia, budując reguły i dodając źródła danych – Varonis daje przewagę dzięki gotowym modelom analitycznym, intuicyjne pulpity nawigacyjne i inteligentne alerty.
OK, jestem gotowy, aby rozpocząć!
Jeśli korzystasz już z SIEM, łatwo jest dodać Varonis i uzyskać więcej Twoja inwestycja SIEM. Jeśli chcesz rozpocząć swój plan bezpieczeństwa danych, zacznij od Varonis, a następnie dodaj swój SIEM.
Po wdrożeniu Varonis możesz dodać SIEM w celu agregacji danych oraz dodatkowego monitorowania i ostrzegania . Varonis zapewnia większą wstępną ochronę danych, a dodanie SIEM sprawi, że Varonis i Twój SIEM będą mogły lepiej korelować i przechowywać dane do analizy i audytu.
Obejrzyj webinarium na żywo o cyberataku, aby zobaczyć, jak Varonis nadaje kontekst do danych SIEM.