Vad är SIEM? En nybörjarhandbok

SIEM är nu en bransch på 2 miljarder dollar, men endast 21,9% av dessa företag får värde av sitt SIEM, enligt en ny undersökning.

SIEM-verktyg är ett viktigt del av ekosystemet för datasäkerhet: de sammanställer data från flera system och analyserar dessa data för att fånga onormalt beteende eller potentiella cyberattacker. SIEM-verktyg ger en central plats för att samla in händelser och varningar – men kan vara dyra, resurskrävande och kunder rapporterar att det ofta är svårt att lösa problem med SIEM-data.

Vad är SIEM?

Säkerhetsinformation och händelsehantering (SIEM) är en programvarulösning som samlar och analyserar aktivitet från många olika resurser över hela din IT-infrastruktur.

SIEM samlar in säkerhetsdata från nätverksenheter, servrar, domänkontrollanter och mer. SIEM lagrar, normaliserar, aggregerar och tillämpar analyser på den informationen för att upptäcka trender, upptäcka hot och göra det möjligt för organisationer att undersöka eventuella varningar.

Hur fungerar SIEM?

SIEM tillhandahåller två primära funktioner till ett Incident Response-team:

• • Rapportering och kriminalteknik om säkerhetsincidenter
  • Varningar baserade på analyser som matchar en viss regeluppsättning, vilket indikerar ett säkerhetsproblem

När det är core, SIEM är ett datauppsamlings-, sök- och rapporteringssystem. SIEM samlar enorma mängder data från hela din nätverksmiljö, konsoliderar och gör den data mänsklig. Med de data som är kategoriserade och lagt ut till hands kan du undersöka datasäkerhetsöverträdelser med så mycket detaljer som behövs.

Säkerhetsinformation och händelsehanteringsfunktioner

Gartner identifierar tre viktiga funktioner för SIEM (hotdetektering, utredning och tid att svara) – det finns andra funktioner och funktioner som du ofta ser på SIEM-marknaden, inklusive:

• • Grundläggande säkerhetsövervakning
  • Avancerad hotdetektering
  • Forensics & incidentrespons
  • Loggsamling
  • Normalisering
  • Meddelanden och varningar
  • Upptäckt av säkerhetsincidenter
  • Arbetsflöde för hotsvar

Top SIEM Tools

Dessa är några av de bästa spelarna i SIEM-utrymmet:

Splunk

Splunk är en fullständig lokal SIEM-lösning som Gartner betraktar som en ledare inom rymden. Splunk stöder säkerhetsövervakning och kan erbjuda avancerade hotdetekteringsfunktioner.

Varonis integreras med Splunk via Varonis DatAlert-appen för Splunk.

IBM QRadar

QRadar är en annan populär SIEM som du kan distribuera som hårdvaruapparat, en virtuell apparat, eller en mjukvaruapparat, beroende på din organisations behov och kapacitet.

QRadar kan integreras med Varonis för att lägga till avancerade hotdetekteringsfunktioner. Leta efter Varonis-appen för QRadar

LogRhythm

LogRhythm är ett bra SIEM för mindre organisationer. Du kan integrera LogRhythm med Varonis för att få hotdetektering och svarsfunktioner.

SIEM i företaget

Vissa kunder har funnit att de behöver behålla två separata SIEM-lösningar för att få mest möjliga värde för varje ändamål eftersom SIEM kan vara otroligt bullrigt och resurskrävande: de föredrar vanligtvis en för datasäkerhet och en för efterlevnad.

Utöver SIEMs primära användningsfall för loggning och logghantering, använder företag sin SIEM för andra syften. Ett alternativt användningsfall är att hjälpa till att visa efterlevnad av regler som HIPAA, PCI, SOX och GDPR.

SIEM-verktyg samlar också data som du kan använda för kapacitetshanteringsprojekt. Du kan spåra bandbredd och datatillväxt över tid för att planera för tillväxt- och budgeteringsändamål. I kapacitetsplaneringsvärlden är data nyckeln, och att förstå din nuvarande användning och trender över tiden gör att du kan hantera tillväxt och undvika stora investeringar som en reaktionär åtgärd kontra förebyggande.

Begränsningar av SIEM-applikationer som ett fullständigt datasäkerhetssystem

SIEM-applikationer ger begränsad kontextuell information om sina ursprungliga händelser, och SIEM är kända för sin blinda fläck på ostrukturerad data och e-post.Du kan till exempel se en ökning av nätverksaktiviteten från en IP-adress, men inte användaren som skapade den trafiken eller vilka filer som nås.

I det här fallet kan sammanhang vara allt.

Det som ser ut som en betydande överföring av data kan vara helt godartat och motiverat beteende, eller det kan vara stöld av petabytes av känslig och kritisk data. Brist på sammanhang i säkerhetsvarningar leder till ett ”pojke som grät varg” -paradigm: så småningom kommer din säkerhet att bli okänslig för att alarmklockorna släcks varje gång en händelse utlöses.

SIEM-applikationer kan inte klassificera data som känsliga eller icke-känsliga och kan därför inte skilja mellan sanktionerad filaktivitet från misstänkt aktivitet som kan skada kunddata, immateriell egendom eller företagssäkerhet.

I slutändan är SIEM-applikationer bara som kapacitet som de uppgifter de får. Utan ytterligare sammanhang på den informationen lämnas IT ofta efter falska larm eller på annat sätt obetydliga problem. Kontext är nyckeln i datasäkerhetsvärlden för att veta vilka strider man ska kämpa för.

Det största problemet vi hör från kunderna när de använder SIEM är att det är extremt svårt att diagnostisera och undersöka säkerhetshändelser. Volymen på lågnivådata och det höga antalet varningar orsakar en nål i en höstack -effekt: användare får en varning men saknar ofta tydligheten och sammanhanget för att agera omedelbart.

Hur Varonis Kompletterar SIEM

Det sammanhang som Varonis ger till SIEM kan vara skillnaden mellan en snipjakt eller att förhindra ett större datasäkerhetsöverträdelse.

Och det är där Varonis kommer in. Varonis ger ytterligare sammanhang till de data som en SIEM samlar in: gör det lättare att få mer värde ur en SIEM genom att bygga djupgående sammanhang, insikt och lägga till hotinformation i säkerhetsutredningar och försvar.

Varonis registrerar filhändelsedata från olika datalagrar – lokalt och i molnet – för att ge vem, vad, när och var för varje fil som nås i nätverket . Med Varonis Edge-övervakning kommer Varonis också att samla in DNS, VPN och webbproxyaktivitet. Du kommer att kunna korrelera nätverksaktiviteten med datalagringsaktiviteten för att måla en fullständig bild av en attack från infiltration genom filåtkomst till exfiltrering.

Varonis klassificerar ostrukturerade filer baserat på hundratals möjliga mönstermatchningar, inklusive PII, regeringsnummer, kreditkortsnummer, adresser med mera. Den klassificeringen kan utökas för att söka efter företagsspecifik immateriell egendom, upptäcka sårbar, känslig information och hjälpa till att uppfylla efterlevnaden av reglerad data. Varonis läser filer på plats utan att det påverkar slutanvändarna.

Varonis utför också analys av användarnas beteende (UBA) för att ge meningsfulla varningar baserat på lärda beteendemönster hos användare, tillsammans med avancerad dataanalys mot hotmodeller som inspekterar mönster för insiderhot (som exfiltrering, lateral rörelse, kontohöjning) och hot mot utomstående (som ransomware).

Integrationshöjdpunkter

Varonis integreras med SIEM-applikationer för att ge säkerhetsanalys med djup datakontext så att organisationer kan vara säkra på sin datasäkerhetsstrategi. Fördelarna inkluderar:

• • Utanför analyser
  • Integrerade Varonis-instrumentpaneler och varningar för strömlinjeformad utredning
  • Varna specifika undersökningssidor
  • Kritisk information markerad med en överblick, med användbar insikt och rikt sammanhang
  • Integrering i ditt SIEM-arbetsflöde

Hur man undersöker en attack med SIEM och Varonis

Denna kontextuppgifter som Varonis ger ger säkerhetsgrupper meningsfull analys och varningar om infrastrukturen, utan ytterligare overhead- eller signalbrus till SIEM. SOC-team kan undersöka snabbare genom att använda SIEM med Varonis och få inblick i de viktigaste tillgångarna de behöver för att skydda: ostrukturerad data och e-post. Med den extra synligheten som Varonis tillhandahåller får du en överblick över vad som händer i dina centrala datalagrar – både lokalt och i molnet. Du kan enkelt undersöka användare, hot och enheter – och till och med automatisera svar.

(Klicka för att zooma)

När du klickar på Varonis Alert Event i din SIEM tas du till Varonis Alert Dashboard för den varning du undersöker. Härifrån kan du se att den här varningen är relaterad till fyra andra varningar. Någon av dem är besvärlig, men eftersom de alla är anslutna är det en mycket tydligare och mer detaljerad bild av en cyberattack.

(Klicka för att zooma)

Denna varning säger att detta BackupService-konto laddade upp data till en extern e-postwebbplats.

(Klicka för att zooma)

Den här varningen berättar att BackupService-kontot har aldrig kommit åt internet tidigare, vilket gör det faktum att kontot laddade upp data till e-post mycket mer misstänkt.

Det är bara början på att undersöka cybersäkerhetsvarningar med Varonis och ditt SIEM. Varonis kan starta ett skript för att inaktivera användarkontot och stänga av attacken så snart den upptäcks – i vilket fall kanske den hackaren inte alls har kunnat nå lönefilerna!

Med det sammanhang du har till ditt förfogande kan du snabbt svara på – och hantera – de varningar du får i ditt SIEM.

Säkerhetsanalytiker tillbringar oräkneliga timmar på att få meningsfulla varningar från SIEM: finjustera användningsfall, byggregler och lägga till datakällor – Varonis ger ett försprång med out-of-the-box analysmodeller, intuitiva instrumentpaneler och intelligent varning.

OK, jag är redo att komma igång!

Om du redan använder ett SIEM är det enkelt att lägga till Varonis och få ut mer av din SIEM-investering. Om du vill starta din datasäkerhetsplan, börja med Varonis och lägg sedan till din SIEM.

När du har Varonis på plats kan du sedan lägga till ditt SIEM för dataggregation och ytterligare övervakning och varning . Varonis ger dig mer initial datasäkerhetstäckning, och genom att lägga till en SIEM kommer Varonis och ditt SIEM att bättre kunna korrelera och lagra data för analys och granskning.

Kolla in ett Cyberattack-webbinarium för att se hur Varonis ger sammanhang till dina SIEM-data.