Ce este SIEM? Un ghid pentru începători
SIEM este acum o industrie de 2 miliarde de dolari, dar numai 21,9% dintre aceste companii obțin valoare din SIEM, conform unui sondaj recent.
Instrumentele SIEM sunt un element important parte a ecosistemului de securitate a datelor: acestea agregă date de la mai multe sisteme și analizează acele date pentru a prinde un comportament anormal sau potențiale atacuri cibernetice. Instrumentele SIEM oferă un loc central pentru colectarea de evenimente și alerte – dar pot fi costisitoare, consumatoare de resurse, iar clienții raportează că este adesea dificil să se rezolve problemele cu datele SIEM.
Ghid: 5 moduri SIEM vă eșuează (și ce să faceți în legătură cu aceasta)
Ce este SIEM?
Informațiile de securitate și gestionarea evenimentelor (SIEM) sunt o soluție software care agregează și analizează activitatea din multe resurse diferite din întreaga infrastructură IT.
SIEM colectează date de securitate de pe dispozitive de rețea, servere, controlere de domeniu și multe altele. SIEM stochează, normalizează, agregează și aplică analize datelor respective pentru a descoperi tendințe, a detecta amenințările și a permite organizațiilor să investigheze orice alerte.
Cum funcționează SIEM?
SIEM oferă două capabilități primare pentru o echipă de răspuns la incidente:
-
- Raportare și criminalistică despre incidentele de securitate
- Alerte bazate pe analize care corespund unui anumit set de reguli, care indică o problemă de securitate
bie
La nucleu, SIEM este un sistem de agregare, căutare și raportare a datelor. SIEM adună cantități imense de date din întregul mediu din rețea, consolidează și face ca aceste date să fie accesibile oamenilor. Cu datele clasificate și prezentate la îndemână, puteți cerceta încălcările de securitate a datelor cu cât mai multe detalii necesare.
Informații de securitate și capacități de gestionare a evenimentelor
Gartner identifică trei capabilități esențiale pentru SIEM (detectarea amenințărilor, investigarea și timpul de răspuns) – există alte caracteristici și funcționalități pe care le vedeți în mod obișnuit pe piața SIEM, inclusiv:
-
- Monitorizare de securitate de bază
- Detecție avansată a amenințărilor
- Criminalistică & răspuns la incident
- Colectare jurnal
- Normalizare
- Notificări și alerte
- Detectarea incidentelor de securitate
- Fluxul de lucru pentru răspunsul la amenințare
>
Instrumentele SIEM de top
Aceștia sunt câțiva dintre jucătorii de top din spațiul SIEM:
Splunk
Splunk este o soluție SIEM completă prematură pe care Gartner o consideră lider în spațiu. Splunk acceptă monitorizarea securității și poate oferi capabilități avansate de detectare a amenințărilor.
Varonis se integrează cu Splunk prin intermediul aplicației Varonis DatAlert pentru Splunk.
IBM QRadar
QRadar este un alt SIEM popular pe care îl puteți implementa ca un dispozitiv hardware, un dispozitiv virtual, sau un dispozitiv software, în funcție de nevoile și capacitatea organizației dvs.
QRadar se poate integra cu Varonis pentru a adăuga capabilități avansate de detectare a amenințărilor. Căutați aplicația Varonis pentru QRadar
LogRhythm
LogRhythm este un SIEM bun pentru organizațiile mai mici. Puteți integra LogRhythm cu Varonis pentru a obține capacități de detectare și răspuns de amenințări.
SIEM în Enterprise
Unii clienți au descoperit că trebuie să mențină două soluții SIEM separate pentru a obține cea mai mare valoare pentru fiecare scop, deoarece SIEM poate fi incredibil de zgomotos și intensiv în resurse: de obicei, preferă unul pentru securitatea datelor și unul pentru conformitate. scopuri. Un caz de utilizare alternativ este de a ajuta la demonstrarea conformității pentru reglementări precum HIPAA, PCI, SOX și GDPR.
Instrumentele SIEM agregă, de asemenea, date pe care le puteți utiliza pentru proiecte de gestionare a capacității. Puteți urmări lățimea de bandă și creșterea datelor în timp pentru a vă planifica în scopuri de creștere și bugetare. În lumea planificării capacității, datele sunt esențiale, iar înțelegerea utilizării și tendințelor dvs. curente în timp vă permite să gestionați creșterea și să evitați cheltuielile de capital mari ca măsură reacțională față de prevenire.
Limitările aplicațiilor SIEM ca un ecosistem complet de securitate a datelor
Aplicațiile SIEM oferă informații contextuale limitate despre evenimentele lor native, iar SIEM-urile sunt cunoscute pentru punctul lor mort pe date și e-mailuri nestructurate.De exemplu, este posibil să observați o creștere a activității de rețea de la o adresă IP, dar nu de către utilizatorul care a creat acel trafic sau ce fișiere au fost accesate.
În acest caz, contextul poate fi totul.
Ceea ce pare un transfer semnificativ de date ar putea fi un comportament complet benign și justificat sau ar putea fi un furt de petabyți de date sensibile și critice. Lipsa contextului în alertele de securitate duce la o paradigmă „băiat care a plâns de lup”: în cele din urmă, securitatea dvs. va fi desensibilizată pentru a declanșa clopotele de alarmă de fiecare dată când se declanșează un eveniment.
Aplicațiile SIEM nu pot clasificați datele ca fiind sensibile sau nesensibile și, prin urmare, nu pot distinge între activitatea fișierului sancționat de activitatea suspectă care poate dăuna datelor clienților, proprietății intelectuale sau securității companiei.
În cele din urmă, aplicațiile SIEM sunt doar ca capabile ca datele pe care le primesc. Fără un context suplimentar cu privire la aceste date, IT este adesea lăsat să urmărească alarme false sau alte probleme nesemnificative. Contextul este esențial în lumea securității datelor pentru a ști ce lupte să lupți.
Cea mai mare problemă pe care o auzim de la clienți atunci când utilizează SIEM este că este extrem de dificil de diagnosticat și de cercetat evenimentele de securitate. Volumul de date de nivel scăzut și numărul mare de alerte determină efectul „ac în fân”: utilizatorii primesc o alertă, dar de multe ori nu au claritatea și contextul pentru a acționa imediat asupra acelei alerte.
Cum Varonis Completează SIEM
Contextul pe care Varonis îl aduce la SIEM poate fi diferența dintre o vânătoare de șmecheri sau prevenirea unei încălcări majore a securității datelor.
Și acolo vine Varonis. Varonis oferă un context suplimentar la datele colectate de un SIEM: facilitarea obținerii unei valorificări mai mari a unui SIEM prin construirea unui context aprofundat, a unei perspective și prin adăugarea de informații despre amenințări în investigațiile și apărările de securitate.
Varonis captează date despre evenimentele de fișiere din diferite magazine de date – locale și în cloud – pentru a da cine, ce, când și unde din fiecare fișier accesat în rețea . Cu monitorizarea Varonis Edge, Varonis va colecta, de asemenea, DNS, VPN și activitate proxy web. Veți putea corela activitatea de rețea cu activitatea de stocare a datelor pentru a face o imagine completă a unui atac de la infiltrare prin accesul la exfiltrare a fișierelor.
Varonis clasifică fișierele nestructurate pe baza a sute de posibile potriviri de tipare, inclusiv PII, numere de identificare guvernamentale, numere de card de credit, adrese și multe altele. Această clasificare poate fi extinsă pentru a căuta proprietatea intelectuală specifică companiei, pentru a descoperi informații vulnerabile și sensibile și pentru a ajuta la respectarea conformității cu datele reglementate. Varonis citește fișierele în loc fără niciun impact asupra utilizatorilor finali.
Varonis efectuează, de asemenea, analize ale comportamentului utilizatorilor (UBA) pentru a furniza alerte semnificative bazate pe tiparele de comportament învățate ale utilizatorilor, împreună cu analiza avansată a datelor împotriva modelelor de amenințare care inspectează tipare pentru amenințările din interior (cum ar fi exfiltrarea, mișcarea laterală, creșterea contului) și amenințările din exterior (cum ar fi ransomware).
Aspecte esențiale ale integrării
Varonis se integrează cu aplicațiile SIEM pentru a oferi analize de securitate contextul datelor, astfel încât organizațiile să poată avea încredere în strategia lor de securitate a datelor. Beneficiile includ:
-
- Analize în afara casetei
- Tablouri de bord Varonis integrate și alerte pentru investigații simplificate
- Pagini de investigații specifice alerte
- Informații critice evidențiate dintr-o privire, cu informații utile și context bogat
- Integrare în fluxul de lucru SIEM
Cum să investighezi un atac cu SIEM și Varonis
Aceste date contextuale pe care le aduce Varonis oferă echipelor de securitate analize și alerte semnificative cu privire la infrastructură, fără zgomotul suplimentar sau semnalul semnalului către SIEM. Echipele SOC pot investiga mai rapid folosind SIEM cu Varonis și obținând informații despre cele mai critice active pe care trebuie să le protejeze: date nestructurate și e-mail. Cu vizibilitatea suplimentară oferită de Varonis, veți obține o privire de ansamblu asupra a ceea ce se întâmplă în magazinele dvs. de date de bază – atât la nivel local, cât și în cloud. Puteți investiga cu ușurință utilizatorii, amenințările și dispozitivele – și chiar să automatizați răspunsurile.
(Faceți clic pentru a mări)
Când faceți clic pe evenimentul de alertă Varonis din SIEM, sunteți condus la tabloul de bord alertă Varonis pentru alerta pe care o investigați. De aici, puteți vedea că această alertă este legată de alte patru alerte. Oricare dintre ele este supărătoare, dar, deoarece toate sunt conectate, este o imagine mult mai clară și bine prezentată a unui atac cibernetic.
(Faceți clic pentru a mări)
Această alertă ne spune că acest cont BackupService a încărcat date într-un site de e-mail extern.
(Faceți clic pentru a mări)
Această alertă ne spune că contul BackupService nu a mai accesat niciodată internetul, ceea ce face ca contul să încarce date pentru e-mail mult mai suspect.
Acesta este doar începutul investigării alertelor de securitate cibernetică cu Varonis și SIEM. Varonis poate lansa un script pentru a dezactiva contul de utilizator și pentru a opri atacul imediat ce este detectat – caz în care este posibil ca hackerul să nu fi reușit deloc să ajungă la fișierele de salarizare!
contextul pe care îl aveți la dispoziție, puteți răspunde rapid – și gestiona – alertele pe care le primiți în SIEM.
Analiștii de securitate petrec nenumărate ore pentru a primi alerte semnificative de la SIEM: reglarea fină a cazurilor de utilizare, elaborarea regulilor și adăugarea de surse de date – Varonis oferă un început important cu modele de analiză out-of-the-box, tablouri de bord intuitive și alerte inteligente.
OK, sunt gata să încep!
Dacă folosiți deja un SIEM, este simplu să adăugați Varonis și să profitați mai mult de investiția dvs. SIEM. Dacă doriți să începeți planul de securitate a datelor, începeți cu Varonis și apoi adăugați SIEM-ul dvs.
Odată ce ați instalat Varonis, puteți adăuga SIEM-ul dvs. pentru agregarea datelor și monitorizare și alertare suplimentare . Varonis vă oferă mai multă acoperire inițială de securitate a datelor, iar adăugarea unui SIEM va face ca Varonis și SIEM să fie mai capabili să coreleze și să stocheze date pentru analiză și audit.
Consultați un webinar live Cyberattack pentru a vedea cum Varonis aduce context la datele dvs. SIEM.