كثير MSSP's تستخدم سيم وغيرها من حلول إدارة / تجميع / تحليل السجل من أجل رؤية الأمن السيبراني ، ولكن هل تحليل السجل كافٍ؟ نسمع المزيد والمزيد عن حلول الأمان الشاملة مثل منصات XDR التي تدعي أنها تغطي سطح الهجوم بالكامل ، خاصة وأن الهجوم الأخير على خط الأنابيب عزز الطبيعة المركبة للهجمات الإلكترونية المعقدة متعددة المراحل اليوم. واعترف المهاجمون بأنهم لم يتوقعوا أن يؤدي هجومهم إلى إغلاق خط الأنابيب ، لكن النتيجة كانت مدمرة. دعنا نلقي نظرة سريعة على ما نحصل عليه من السجلات ، وما لا نحصل عليه من السجلات.
السجلات بطبيعتها هي نظرة إلى الماضي. إنها تتيح لنا رؤية نشاط خوادم الملفات والتطبيقات وأنظمة إدارة المستخدم مثل Active Directory وخوادم البريد الإلكتروني والأدوات الأخرى. عندما يتم ربط السجلات وتحليلها بشكل صحيح ، يمكننا معرفة وقت حدوث الحالات الشاذة في هذه الأنظمة.
لكن ماذا عن هجمات يوم الصفر؟ إذا لم تكن هناك سمعة لملف رانسوم وير ، فكيف تكتشفه؟ الجواب هو أنه لا يمكنك ذلك حتى ينتشر في بيئتك لدرجة أنه يمكن ملاحظته من خلال تنبيهات متعددة بعد أن أصاب جزءًا كبيرًا من بيئتك.
إذن ، كيف نكتسب هذه الرؤية الأكبر؟ أولاً ، بدلاً من مجرد استيعاب السجلات الأولية ، نحتاج إلى التفكير في كيفية سحب البيانات الوصفية للأمان من تلك السجلات من مصادر متعددة. بعد ذلك ، نحتاج إلى تشغيل تلك البيانات بعد عدة موجزات استخباراتية عن التهديدات. إذا لم يتم العثور على الملف من معلومات التهديد ، فيجب أن تكون هناك طريقة آلية لمشاركة هذا الملف مع وضع الحماية. بمجرد تصنيفها في وضع الحماية ، يجب تضمين هذه السمعة في الحدث. هذا هو السبب في أن فكرة XDR تجمع هذه الخطوات معًا في ملف لوحة قيادة واحدة أصبح موضوعًا ساخنًا - ليس من السهل رؤية الهجمات المعقدة باستخدام الأدوات والفرق المنعزلة.
في النهاية ، ستعمل هذه الأتمتة على تبسيط سير العمل بشكل كبير لمحلل SOC. يمكنهم التركيز على الأحداث المرتبطة بدلاً من انتظار المواقف لتوليد عدد كبير من التنبيهات قبل أن تجذب انتباههم. سيؤدي هذا إلى تقليل MTTD بشكل كبير. مسلحين بالمعلومات الصحيحة يمكنهم أيضًا التصرف بسرعة ، والحد من MTTR.
السجلات لها مكانها في الأمن السيبراني من منظور الامتثال. ولكن إذا كنت تعتمد على السجلات وحدها للتحليل والمعالجة ، فستفقد فرصة كبيرة للاستفادة من الأتمتة والرؤية عبر الأدوات والاكتشافات لتحسين وضعك الأمني وتقليل احتمالية وقوع هجوم قد يؤثر بشكل كبير على عمليات عملك.
يمكنك أن ترى كيف يستفيد MSSPs من XDR "Open" من Stellar Cyber لتحقيق إيرادات عالية الهامش هناأو تواصل معي مباشرة عبر البريد الإلكتروني brian@stellarcyber.ai.
