كثير MSSP's تستخدم SIEMs وغيرها من حلول إدارة / تجميع / تحليل السجل من أجل رؤية الأمن السيبراني ، ولكن هل تحليل السجل كافٍ؟ نسمع المزيد والمزيد عن حلول الأمان الشاملة مثل XDR منصات التي تدعي أنها تغطي سطح الهجوم بالكامل ، خاصة وأن الهجوم الأخير على خط الأنابيب عزز الطبيعة المركبة للهجمات الإلكترونية المعقدة متعددة المراحل اليوم. واعترف المهاجمون بأنهم لم يتوقعوا أن يؤدي هجومهم إلى إغلاق خط الأنابيب ، لكن النتيجة كانت مدمرة. دعنا نلقي نظرة سريعة على ما نحصل عليه من السجلات ، وما لا نحصل عليه من السجلات.
السجلات بطبيعتها هي نظرة إلى الماضي. إنها تتيح لنا رؤية نشاط خوادم الملفات والتطبيقات وأنظمة إدارة المستخدم مثل Active Directory وخوادم البريد الإلكتروني والأدوات الأخرى. عندما يتم ربط السجلات وتحليلها بشكل صحيح ، يمكننا معرفة وقت حدوث الحالات الشاذة في هذه الأنظمة.
لكن ماذا عن هجمات يوم الصفر؟ إذا لم تكن هناك سمعة لملف رانسوم وير ، فكيف تكتشفه؟ الجواب هو أنه لا يمكنك ذلك حتى ينتشر في بيئتك لدرجة أنه يمكن ملاحظته من خلال تنبيهات متعددة بعد أن أصاب جزءًا كبيرًا من بيئتك.
إذن ، كيف نكتسب هذه الرؤية الأكبر؟ أولاً، بدلاً من مجرد استيعاب السجلات الخام، نحتاج إلى دراسة كيفية استخراج بيانات التعريف الأمنية من هذه السجلات من مصادر متعددة. ثانياً، نحتاج إلى فحص هذه البيانات عبر مصادر متعددة لمعلومات التهديدات. إذا لم يُعثر على أي تطابق مع الملف في معلومات التهديدات، فيجب أن تكون هناك طريقة آلية لمشاركة هذا الملف مع بيئة اختبار معزولة. بمجرد أن تصنفه بيئة الاختبار المعزولة، يجب تضمين هذه السمعة في الحدث. لهذا السبب تكمن فكرة XDR دمج هذه الخطوات معًا في لوحة قيادة واحدة أصبح موضوعًا ساخنًا - ليس من السهل رؤية الهجمات المعقدة باستخدام الأدوات والفرق المنعزلة.
في نهاية المطاف، ستؤدي هذه الأتمتة إلى تبسيط سير العمل بشكل كبير لـ SOC سيتمكن المحللون من التركيز على الأحداث المترابطة بدلاً من انتظار تراكم عدد كبير من التنبيهات قبل أن تلفت انتباههم. سيؤدي ذلك إلى تقليل متوسط وقت الكشف عن الأخطاء بشكل ملحوظ. وبفضل المعلومات الصحيحة، يمكنهم أيضاً التصرف بسرعة، مما يقلل من... MTTR.
السجلات لها مكانها في الأمن السيبراني من منظور الامتثال. ولكن إذا كنت تعتمد على السجلات وحدها للتحليل والمعالجة ، فستفقد فرصة كبيرة للاستفادة من الأتمتة والرؤية عبر الأدوات والاكتشافات لتحسين وضعك الأمني وتقليل احتمالية وقوع هجوم قد يؤثر بشكل كبير على عمليات عملك.
يمكنك أن ترى كيف تستفيد شركات خدمات الأمن المدارة (MSSPs) من منصة "Open" الخاصة بشركة Stellar Cyber. XDR لتحقيق إيرادات ذات هامش ربح مرتفع اضغط هناأو تواصل معي مباشرة عبر البريد الإلكتروني brian@stellarcyber.ai.
