विषय - सूची
सिएम अलर्ट: सामान्य प्रकार और सर्वोत्तम अभ्यास
जब साइबर अपराधी किसी नेटवर्क, डिवाइस या खाते तक पहुंच प्राप्त कर लेते हैं, तो क्षति नियंत्रण समय के विरुद्ध दौड़ बन जाता है। हालाँकि, औसत तकनीकी स्टैक बनाने वाले ऐप्स और खातों की संख्या हमलावर के व्यवहार को बहुत तेज़ सुई बना सकती है - जो एक एकड़ घास में दबी हुई है।
सुरक्षा घटनाओं की लगातार निगरानी और विश्लेषण करके, एसआईईएम तकनीक असामान्य पैटर्न या व्यवहार का पता लगा सकती है - और सुरक्षा कर्मियों को हमलावर के सटीक ठिकाने के बारे में सचेत कर सकती है। इन घटनाओं में अनधिकृत पहुंच प्रयास, असामान्य नेटवर्क ट्रैफ़िक या सिस्टम कमजोरियाँ जैसी गतिविधियाँ शामिल हैं। एक बार संभावित खतरे की पहचान हो जाने पर, सिएम प्रणाली सुरक्षा कर्मियों द्वारा समय पर जांच और प्रतिक्रिया के लिए अलर्ट या सूचनाएं उत्पन्न कर सकती है।
हालाँकि, यह सुनिश्चित करना कि आपका समाधान खतरे का पता लगाने के लिए उपयुक्त है - आपकी सुरक्षा टीम पर अंतहीन एसआईईएम अलर्ट जारी किए बिना - महत्वपूर्ण है। यह लेख एसआईईएम अलर्ट के अंदर और बाहर को कवर करेगा - वे किन हमलों की भविष्यवाणी करने और रोकने में मदद कर सकते हैं; और सफलता के लिए अपने सिएम को सर्वोत्तम तरीके से कैसे स्थापित करें।
सुरक्षा घटनाओं की लगातार निगरानी और विश्लेषण करके, एसआईईएम तकनीक असामान्य पैटर्न या व्यवहार का पता लगा सकती है - और सुरक्षा कर्मियों को हमलावर के सटीक ठिकाने के बारे में सचेत कर सकती है। इन घटनाओं में अनधिकृत पहुंच प्रयास, असामान्य नेटवर्क ट्रैफ़िक या सिस्टम कमजोरियाँ जैसी गतिविधियाँ शामिल हैं। एक बार संभावित खतरे की पहचान हो जाने पर, सिएम प्रणाली सुरक्षा कर्मियों द्वारा समय पर जांच और प्रतिक्रिया के लिए अलर्ट या सूचनाएं उत्पन्न कर सकती है।
हालाँकि, यह सुनिश्चित करना कि आपका समाधान खतरे का पता लगाने के लिए उपयुक्त है - आपकी सुरक्षा टीम पर अंतहीन एसआईईएम अलर्ट जारी किए बिना - महत्वपूर्ण है। यह लेख एसआईईएम अलर्ट के अंदर और बाहर को कवर करेगा - वे किन हमलों की भविष्यवाणी करने और रोकने में मदद कर सकते हैं; और सफलता के लिए अपने सिएम को सर्वोत्तम तरीके से कैसे स्थापित करें।
सिएम अलर्ट क्या है?
एसआईईएम अलर्ट ऐसी सूचनाएं हैं जो सुरक्षा पेशेवरों को संभावित सुरक्षा घटनाओं के बारे में सूचित करती हैं। ये अलर्ट फ़ाइल मेटाडेटा और उपयोगकर्ता व्यवहार का पता लगाने, सहसंबंध और एकत्रीकरण से बनाए गए हैं। गहराई से जानने के लिए सिएम क्या है, हमारे सीखने के संसाधन एक शानदार शुरुआत हैं। हालाँकि, अलर्ट प्रक्रिया पर ध्यान केंद्रित करते हुए, यहाँ चरण-दर-चरण बताया गया है
इवेंट जनरेशन
आपके ऑन-प्रिमाइसेस या क्लाउड टेनेंसी में लगभग हर फ़ाइल लॉग का निरंतर प्रवाह बना रही है। इन लॉग स्रोतों के साथ एकीकरण करके, एसआईईएम तकनीक आपके फ़ायरवॉल, घुसपैठ का पता लगाने वाले सिस्टम, एंटीवायरस समाधान, सर्वर और अन्य सुरक्षा उपकरणों का समर्थन करने वाली वास्तविक समय प्रक्रियाओं के बारे में जागरूकता पैदा करना शुरू कर देती है।
घटना संग्रह
सभी लॉग समान नहीं बनाए गए हैं - लेकिन यह स्थापित करने के लिए कि कौन सा लॉग बारीकी से देखने लायक है, एसआईईएम को पहले इन विभिन्न स्रोतों से घटनाओं की विस्तृत श्रृंखला एकत्र करनी होगी और उन्हें अपने विश्लेषण प्रणाली के भीतर केंद्रीकृत करना होगा।
मानकीकरण
विभिन्न स्रोतों से एकत्र किए गए इवेंट विभिन्न प्रारूपों और मानकों का उपयोग कर सकते हैं। जबकि त्रुटि घटनाएँ एक महत्वपूर्ण समस्या का संकेत देती हैं जैसे डेटा की हानि या कार्यक्षमता की हानि, चेतावनी घटनाएँ संभावित भविष्य की समस्या का संकेत दे सकती हैं। इसके साथ-साथ, फ़ाइल स्वरूपों और प्रकारों की विस्तृत श्रृंखला - सक्रिय निर्देशिका से लेकर ऑपरेटिंग सिस्टम तक - इन घटनाओं को एक सामान्य प्रारूप में मानकीकृत करने के लिए एसआईईएम के सामान्यीकरण फ़ंक्शन की मांग करती है।
घटना भंडारण
सामान्यीकृत घटनाओं को एक सुरक्षित और केंद्रीकृत डेटाबेस में संग्रहीत किया जाता है। यह ऐतिहासिक विश्लेषण, अनुपालन रिपोर्टिंग और फोरेंसिक जांच की अनुमति देता है।
खोज
जांच में संभावित सुरक्षा घटनाओं की पहचान करने के लिए घटनाओं का विश्लेषण करना शामिल है। सुरक्षा खतरों का संकेत देने वाली विसंगतियों या पैटर्न का पता लगाने के लिए एसआईईएम सिस्टम पूर्वनिर्धारित नियमों, हस्ताक्षरों और व्यवहार विश्लेषण का उपयोग करते हैं। नियमों में एकाधिक विफल लॉगिन प्रयास, असामान्य स्थानों से पहुंच, या ज्ञात मैलवेयर हस्ताक्षर जैसी स्थितियां शामिल हो सकती हैं।
सह - संबंध
सिएम प्रक्रिया में सहसंबंध एक महत्वपूर्ण कदम है। इसमें यह निर्धारित करने के लिए कई संबंधित घटनाओं का विश्लेषण करना शामिल है कि क्या वे सामूहिक रूप से किसी सुरक्षा घटना का प्रतिनिधित्व करते हैं। सहसंबंध जटिल हमले के पैटर्न की पहचान करने में मदद करता है जो अलग-अलग घटनाओं को अलग-अलग देखने पर किसी का ध्यान नहीं जा सकता है।
एकत्रीकरण
एकत्रीकरण में सुरक्षा घटना का एक समेकित दृश्य प्रदान करने के लिए संबंधित घटनाओं का संयोजन शामिल है। यह कदम सुरक्षा पेशेवरों को अलर्ट का अधिक संक्षिप्त और प्रबंधनीय सेट पेश करके अलर्ट की थकान को कम करने में मदद करता है।
यह प्रक्रिया एक चेतावनी उत्पन्न करने के साथ समाप्त होती है। एक बार संभावित सुरक्षा घटना का पता लगाने, सहसंबंध और एकत्रीकरण के माध्यम से पहचान हो जाने पर, एसआईईएम प्रणाली एक अलर्ट उत्पन्न करती है। अलर्ट में घटना के बारे में विवरण शामिल होते हैं, जैसे खतरे का प्रकार, प्रभावित सिस्टम और घटना की गंभीरता।
यह प्रक्रिया एक चेतावनी उत्पन्न करने के साथ समाप्त होती है। एक बार संभावित सुरक्षा घटना का पता लगाने, सहसंबंध और एकत्रीकरण के माध्यम से पहचान हो जाने पर, एसआईईएम प्रणाली एक अलर्ट उत्पन्न करती है। अलर्ट में घटना के बारे में विवरण शामिल होते हैं, जैसे खतरे का प्रकार, प्रभावित सिस्टम और घटना की गंभीरता।
सिएम में विभिन्न प्रकार के अलर्ट
डेटा के बड़े पैमाने पर स्क्रॉल करने के बजाय, एसआईईएम अलर्ट का उद्देश्य संभावित खतरों का एक केंद्रित और प्राथमिकता वाला दृश्य प्रदान करना है। सामान्य एसआईईएम अलर्ट उदाहरणों में शामिल हैं:
- असामान्य उपयोगकर्ता व्यवहार: जब कोई उपयोगकर्ता असामान्य गतिविधि प्रदर्शित करता है, जैसे एकाधिक असफल लॉगिन प्रयास, संसाधनों तक अनधिकृत पहुंच, या अनियमित डेटा स्थानांतरण, तो सुरक्षा अलर्ट ट्रिगर हो सकते हैं।
- निगरानी प्रणाली या अनुप्रयोग त्रुटियाँ: एसआईईएम सिस्टम सावधानीपूर्वक लॉग की जांच करते हैं, सिस्टम या एप्लिकेशन में महत्वपूर्ण त्रुटियों या विफलताओं पर तुरंत चेतावनी देते हैं, संभावित कमजोरियों या गलत कॉन्फ़िगरेशन का खुलासा करते हैं।
- डेटा ब्रीच: अनधिकृत पहुंच या संवेदनशील डेटा की घुसपैठ के जवाब में, अलर्ट उत्पन्न होते हैं, जो संगठनों को तुरंत प्रतिक्रिया करने और परिणामी प्रभाव को कम करने के लिए सशक्त बनाते हैं।
- अनुपालन उल्लंघन: एसआईईएम सिस्टम के भीतर कॉन्फ़िगर करने योग्य, निगरानी तंत्र नियामक उल्लंघन या आंतरिक नीतियों के उल्लंघन के मामलों में अलर्ट जारी करते हैं, स्थापित मानकों का पालन सुनिश्चित करते हैं।
जब इनमें से किसी एक विसंगति का पता चलता है, तो अलर्ट उत्पन्न होते हैं और त्वरित प्रतिक्रिया के लिए एक केंद्रीकृत नेटवर्क ऑपरेशन सेंटर, एसआरई, या विशिष्ट DevOps टीमों को भेज दिए जाते हैं। वहां से, घटना की गंभीरता अलर्ट फ़िल्टरिंग, डिडुप्लीकेशन और विश्लेषण से गुजर सकती है - जिनमें से प्रत्येक झूठी सकारात्मकता की संख्या को कम करने में मदद करता है। जबकि आईटी कर्मी परंपरागत रूप से मैन्युअल अलर्ट ट्राइएजिंग पर भरोसा करते हैं, जहां वे प्रत्येक मुद्दे की गंभीरता का आकलन करते हैं, अंतर्निहित सहसंबंध नियम अब एसआईईएम प्लेटफार्मों को अधिक से अधिक भार उठाने की अनुमति देते हैं।
अलर्ट ट्रिगर के प्रकार
विशिष्ट घटनाओं की पहचान करने के लिए पूर्वनिर्धारित स्थितियों पर भरोसा करते हुए, नियम-आधारित ट्रिगर्स को अक्सर एसआईईएम अलर्ट में नियोजित किया जाता है। सुरक्षा टीमें विभिन्न पहलुओं, जैसे ज्ञात हमले के पैटर्न, समझौते के संकेतक, या संदिग्ध गतिविधियों के आधार पर विभिन्न नियमों को स्थापित करने के लिए इन ट्रिगर्स का लाभ उठाती हैं। ये नियम फिल्टर के रूप में कार्य करते हैं, जब देखी गई घटनाएं निर्दिष्ट मानदंडों के साथ संरेखित होती हैं तो सिएम प्रणाली को अलर्ट उत्पन्न करने में सक्षम बनाती हैं।
इसी तरह एसआईईएम के लिए भी महत्वपूर्ण, थ्रेशोल्ड-आधारित ट्रिगर्स में घटनाओं या मेट्रिक्स के लिए विशिष्ट थ्रेशोल्ड या सीमाएं स्थापित करना शामिल है। जब ये थ्रेशोल्ड मान निर्धारित मापदंडों से अधिक या नीचे आते हैं, तो सिस्टम एक अलर्ट उत्पन्न करता है। इस प्रकार का ट्रिगर असामान्य व्यवहार या पैटर्न में विचलन का पता लगाने में मूल्यवान साबित होता है।
विसंगति का पता लगाना उन एसआईईएम अलर्ट उदाहरणों का एक और महत्वपूर्ण घटक है, जिसका लक्ष्य प्रत्याशित व्यवहार से विचलन की पहचान करना है। इस प्रक्रिया में नियमित गतिविधियों के लिए आधारभूत प्रोफाइल स्थापित करने के लिए ऐतिहासिक डेटा का विश्लेषण करना शामिल है। आने वाली घटनाओं की तुलना इन आधार रेखाओं से की जाती है, सिस्टम किसी भी उल्लेखनीय विचलन को संभावित विसंगतियों के रूप में चिह्नित करता है। विसंगति का पता लगाना पहले से अज्ञात या शून्य-दिन के हमलों का पता लगाने के साथ-साथ मायावी अंदरूनी खतरों या अनधिकृत गतिविधियों की पहचान करने में प्रभावी है।
इनमें से प्रत्येक ट्रिगर टिकटिंग की एक अनुकूली परत बनाने के लिए संयोजित होता है जो पहले से मौजूद टिकटिंग प्लेटफार्मों के साथ अच्छी तरह से फिट बैठता है। कुछ समाधान इससे भी आगे बढ़ते हैं, AIOps फ़िल्टरिंग, डीडुप्लिकेटिंग और विभिन्न प्रणालियों से अलर्ट को सामान्य करने के साथ, ढेर सारे अलर्ट में सहसंबंध पैटर्न की पहचान करने के लिए AI/ML का उपयोग करते हैं।
इसी तरह एसआईईएम के लिए भी महत्वपूर्ण, थ्रेशोल्ड-आधारित ट्रिगर्स में घटनाओं या मेट्रिक्स के लिए विशिष्ट थ्रेशोल्ड या सीमाएं स्थापित करना शामिल है। जब ये थ्रेशोल्ड मान निर्धारित मापदंडों से अधिक या नीचे आते हैं, तो सिस्टम एक अलर्ट उत्पन्न करता है। इस प्रकार का ट्रिगर असामान्य व्यवहार या पैटर्न में विचलन का पता लगाने में मूल्यवान साबित होता है।
विसंगति का पता लगाना उन एसआईईएम अलर्ट उदाहरणों का एक और महत्वपूर्ण घटक है, जिसका लक्ष्य प्रत्याशित व्यवहार से विचलन की पहचान करना है। इस प्रक्रिया में नियमित गतिविधियों के लिए आधारभूत प्रोफाइल स्थापित करने के लिए ऐतिहासिक डेटा का विश्लेषण करना शामिल है। आने वाली घटनाओं की तुलना इन आधार रेखाओं से की जाती है, सिस्टम किसी भी उल्लेखनीय विचलन को संभावित विसंगतियों के रूप में चिह्नित करता है। विसंगति का पता लगाना पहले से अज्ञात या शून्य-दिन के हमलों का पता लगाने के साथ-साथ मायावी अंदरूनी खतरों या अनधिकृत गतिविधियों की पहचान करने में प्रभावी है।
इनमें से प्रत्येक ट्रिगर टिकटिंग की एक अनुकूली परत बनाने के लिए संयोजित होता है जो पहले से मौजूद टिकटिंग प्लेटफार्मों के साथ अच्छी तरह से फिट बैठता है। कुछ समाधान इससे भी आगे बढ़ते हैं, AIOps फ़िल्टरिंग, डीडुप्लिकेटिंग और विभिन्न प्रणालियों से अलर्ट को सामान्य करने के साथ, ढेर सारे अलर्ट में सहसंबंध पैटर्न की पहचान करने के लिए AI/ML का उपयोग करते हैं।
सिएम अलर्ट के प्रबंधन के लिए सर्वोत्तम अभ्यास
नेटवर्क में बहुत गहराई तक जाने से पहले मैलवेयर को रोकने की उम्मीद में, एसआईईएम अलर्ट, ईवेंट और लॉग का एक बड़ा दायरा रखता है - लेकिन मोशन-सेंसर लाइट की तरह, कभी-कभी अलर्ट रिमोट एक्सेस ट्रोजन के बजाय चूहे को पकड़ लेता है।
अलर्ट की इस निरंतर बाढ़ का एक कारण पूर्व सुरक्षा समाधानों के बीच सामंजस्य की कमी है। जबकि आईपीएस, एनआईडीएस और एचआईडीएस क्रमशः नेटवर्क और एंडपॉइंट सुरक्षा प्रदान करते हैं, जारी किए गए अलर्ट की निम्न गुणवत्ता तेजी से बढ़ सकती है - विशेष रूप से जब एकीकृत सुरक्षा उपकरण एक साथ काम करने में विफल हो जाते हैं, और इसके बजाय हर अलर्ट को अतिउत्तेजित सुरक्षा टीम पर फेंक देते हैं।
एसआईईएम अलर्ट की सर्वोत्तम प्रथाएं इन सभी अलर्ट को समेकित और परिष्कृत करके सतर्क शोर पर एक मरहम प्रदान करती हैं - लेकिन क्रोनिक बर्नआउट में योगदान करने के बजाय इसे उद्देश्य के लिए फिट रखने के लिए सर्वोत्तम प्रथाएं आवश्यक हैं।
अलर्ट की इस निरंतर बाढ़ का एक कारण पूर्व सुरक्षा समाधानों के बीच सामंजस्य की कमी है। जबकि आईपीएस, एनआईडीएस और एचआईडीएस क्रमशः नेटवर्क और एंडपॉइंट सुरक्षा प्रदान करते हैं, जारी किए गए अलर्ट की निम्न गुणवत्ता तेजी से बढ़ सकती है - विशेष रूप से जब एकीकृत सुरक्षा उपकरण एक साथ काम करने में विफल हो जाते हैं, और इसके बजाय हर अलर्ट को अतिउत्तेजित सुरक्षा टीम पर फेंक देते हैं।
एसआईईएम अलर्ट की सर्वोत्तम प्रथाएं इन सभी अलर्ट को समेकित और परिष्कृत करके सतर्क शोर पर एक मरहम प्रदान करती हैं - लेकिन क्रोनिक बर्नआउट में योगदान करने के बजाय इसे उद्देश्य के लिए फिट रखने के लिए सर्वोत्तम प्रथाएं आवश्यक हैं।
अपने स्वयं के नियम निर्धारित करें
नियम सामान्य और दुर्भावनापूर्ण व्यवहार के बीच एक एसआईईएम की समझ को परिभाषित करते हैं। किसी एकल अलर्ट में एक या अधिक नियम हो सकते हैं, यह इस पर निर्भर करता है कि आप इसे कैसे परिभाषित करते हैं। हालांकि यह समय पर सुरक्षा घटनाओं को पकड़ने के लिए एक मजबूत आधार प्रदान करता है, बड़ी संख्या में अनुकूलित अलर्ट बनाने के बारे में सावधान रहना महत्वपूर्ण है। कार्यों के एक ही सेट के लिए एकाधिक अलर्ट सेट करना सुरक्षा अंतर्दृष्टि को धूमिल करने का एक निश्चित तरीका है।
नए अलर्ट जारी करने से पहले अपने अलर्ट जांचें
नए अलर्ट नियमों को लागू करने से पहले, यह निर्धारित करने के लिए मौजूदा अलर्ट की समीक्षा करना आवश्यक है कि क्या पहले से ही इसी उद्देश्य को पूरा करने वाला कोई अंतर्निहित अलर्ट मौजूद है। यदि कोई मौजूद नहीं है, तो इस चेतावनी का पता चलने से पहले और बाद में घटित होने वाली घटनाओं के अनुक्रम के बारे में जानकारी एकत्र करना अनिवार्य है।
क्या ध्वजांकित करना है इसका चयन करते समय सटीक रहें
अलर्ट बाढ़ मुख्य रूप से अलर्ट विवरण फ़ील्ड में अस्पष्टता या अस्पष्टता के कारण होती है। इसके साथ ही, गलत श्रेणी या गंभीरता का चयन करने से उच्च-प्राथमिकता वाले वर्कफ़्लो में अपेक्षाकृत सांसारिक मुद्दे सामने आ सकते हैं, जिससे आईटी टीमें काफी प्रभावित हो सकती हैं। विवरण यथासंभव सटीक होना चाहिए, जबकि श्रेणी को सुरक्षा टीम के वर्कफ़्लो और प्राथमिकताओं को सटीक रूप से प्रतिबिंबित करने की आवश्यकता है।
विनियमों को ध्यान में रखें
प्रत्येक संगठन को अपने साइबर सुरक्षा दायित्वों को पूरा करने के लिए विभिन्न स्थानीय, क्षेत्रीय और संघीय कानूनों का अनुपालन करने की आवश्यकता होती है। कस्टम अलर्ट नियम बनाते समय, ध्यान रखें कि विनियमन का प्रत्येक विशेष भाग क्या अपेक्षा कर रहा है।
सरल और समग्र दोनों नियमों पर भरोसा करें
बुनियादी एसआईईएम नियम एक विशिष्ट घटना प्रकार की पहचान करने और पूर्वनिर्धारित प्रतिक्रिया शुरू करने के लिए डिज़ाइन किए गए हैं। उदाहरण के लिए, यदि किसी ईमेल में संलग्न ज़िप फ़ाइल है तो एक साधारण नियम अलर्ट ट्रिगर कर सकता है। जबकि बुनियादी नियम फायदेमंद होते हैं, उन्नत समग्र नियम व्यवहार के अधिक जटिल पैटर्न की पहचान करने के लिए दो या दो से अधिक नियमों के संयोजन को सक्षम करते हैं। उदाहरण के लिए, यदि अलग-अलग उपयोगकर्ता नामों का उपयोग करके दस मिनट के भीतर एक ही आईपी पते से एक ही कंप्यूटर पर सात असफल प्रमाणीकरण प्रयास होते हैं, तो एक समग्र नियम एक अलर्ट ट्रिगर कर सकता है। इसके अतिरिक्त, यदि नेटवर्क के भीतर किसी भी कंप्यूटर पर एक सफल लॉगिन होता है और एक ही आईपी पते से उत्पन्न होता है, तो समग्र नियम एक अलर्ट भी ट्रिगर कर सकता है।
टेस्ट
एक बार जब आप अलर्ट तैयार कर लेते हैं, तो इसकी उचित कार्यक्षमता को सत्यापित करने के लिए कई परीक्षण चलाएं। कस्टम अलर्ट का कठोर परीक्षण आपको अपने सहसंबंध नियमों को परिष्कृत करने, इष्टतम प्रदर्शन और प्रभावशीलता सुनिश्चित करने में सक्षम बनाता है।
जबकि एसआईईएम सर्वोत्तम अभ्यास का एक महत्वपूर्ण हिस्सा है, सहसंबंध नियम स्मार्ट नहीं हैं - वे उन घटनाओं के इतिहास का आकलन नहीं करते हैं जिनका वे मूल्यांकन करते हैं। उदाहरण के लिए, उन्हें इसकी परवाह नहीं है कि कल किसी कंप्यूटर में वायरस था; इसमें रुचि केवल तभी होती है जब नियम निष्पादित होने पर सिस्टम संक्रमित हो जाता है। साथ ही, जब भी कोई सेट निष्पादित होता है तो सहसंबंध नियमों का मूल्यांकन किया जाता है - सिस्टम यह निर्धारित करने के लिए किसी अन्य डेटा पर विचार नहीं करता है कि सहसंबंध नियम का मूल्यांकन किया जाए या नहीं।
यही कारण है कि खतरे का पता लगाने के दो अन्य रूप महत्वपूर्ण हैं:
जबकि एसआईईएम सर्वोत्तम अभ्यास का एक महत्वपूर्ण हिस्सा है, सहसंबंध नियम स्मार्ट नहीं हैं - वे उन घटनाओं के इतिहास का आकलन नहीं करते हैं जिनका वे मूल्यांकन करते हैं। उदाहरण के लिए, उन्हें इसकी परवाह नहीं है कि कल किसी कंप्यूटर में वायरस था; इसमें रुचि केवल तभी होती है जब नियम निष्पादित होने पर सिस्टम संक्रमित हो जाता है। साथ ही, जब भी कोई सेट निष्पादित होता है तो सहसंबंध नियमों का मूल्यांकन किया जाता है - सिस्टम यह निर्धारित करने के लिए किसी अन्य डेटा पर विचार नहीं करता है कि सहसंबंध नियम का मूल्यांकन किया जाए या नहीं।
यही कारण है कि खतरे का पता लगाने के दो अन्य रूप महत्वपूर्ण हैं:
थ्रेसहोल्ड सेट और ट्यून करें
थ्रेशोल्ड-आधारित ट्रिगर में घटनाओं या मेट्रिक्स के लिए विशिष्ट सीमाएँ या सीमाएँ स्थापित करना शामिल है। जब ये थ्रेशोल्ड मान निर्धारित मापदंडों से अधिक या नीचे आते हैं, तो सिस्टम एक अलर्ट उत्पन्न करता है। इस प्रकार का ट्रिगर असामान्य व्यवहार या पैटर्न में विचलन का पता लगाने में मूल्यवान साबित होता है।
जबकि कुछ नियम समान रह सकते हैं, थ्रेसहोल्ड नियमित रूप से ट्यून करने के लिए सबसे महत्वपूर्ण अलर्ट फॉर्म में से कुछ हैं। उपयोगकर्ता आधार या कर्मचारियों में विस्तार जैसी सरल चीज़ से अनावश्यक अलर्ट की लहर पैदा हो सकती है।
जबकि कुछ नियम समान रह सकते हैं, थ्रेसहोल्ड नियमित रूप से ट्यून करने के लिए सबसे महत्वपूर्ण अलर्ट फॉर्म में से कुछ हैं। उपयोगकर्ता आधार या कर्मचारियों में विस्तार जैसी सरल चीज़ से अनावश्यक अलर्ट की लहर पैदा हो सकती है।
अपनी विसंगतियों को परिभाषित करें
निर्धारित नियमों के साथ-साथ, व्यवहार मॉडल किसी उपयोगकर्ता, ऐप या खाते को उनके मानक व्यवहार के आधार पर प्रोफाइल करते हैं। जब मॉडल असामान्य व्यवहार की पहचान करता है, तो यह मूल्यांकन करने के लिए नियम लागू करता है और फिर अलर्ट जारी करता है। व्यवहार प्रकारों के विभिन्न वर्गों के साथ मॉडल स्थापित करना सुनिश्चित करें - इससे उन्हें अलग-अलग अलर्ट प्रोफाइल तैयार करने की अनुमति मिलती है और उपचारात्मक कार्य में काफी तेजी आती है।
सहसंबंध नियमों के समान, एक एकल मॉडल मूल्यांकन आमतौर पर चेतावनी का संकेत नहीं देता है। इसके बजाय, सिस्टम लागू किए गए मॉडल के आधार पर प्रत्येक सत्र को अंक प्रदान करता है। जब किसी सत्र के लिए संचित अंक पूर्वनिर्धारित सीमा से अधिक हो जाते हैं, तो सिस्टम एक अलर्ट ट्रिगर करता है। प्रत्येक मॉडल के लिए इस जोखिम सहनशीलता को स्थापित करना और परिभाषित करना उत्पन्न अलर्ट की मात्रा को प्रबंधित और नियंत्रित करने में एक महत्वपूर्ण पहलू है।
सहसंबंध नियमों के समान, एक एकल मॉडल मूल्यांकन आमतौर पर चेतावनी का संकेत नहीं देता है। इसके बजाय, सिस्टम लागू किए गए मॉडल के आधार पर प्रत्येक सत्र को अंक प्रदान करता है। जब किसी सत्र के लिए संचित अंक पूर्वनिर्धारित सीमा से अधिक हो जाते हैं, तो सिस्टम एक अलर्ट ट्रिगर करता है। प्रत्येक मॉडल के लिए इस जोखिम सहनशीलता को स्थापित करना और परिभाषित करना उत्पन्न अलर्ट की मात्रा को प्रबंधित और नियंत्रित करने में एक महत्वपूर्ण पहलू है।
अगली पीढ़ी के सिएम अलर्ट
सिएम समाधान महंगे हैं और इन्हें तैनात करना और कॉन्फ़िगर करना मुश्किल हो सकता है। हालांकि
आपके एसआईईएम टूल की सफलता आपके वर्तमान तकनीकी स्टैक के साथ मजबूती से एकीकृत होने की क्षमता से परिभाषित होती है।
400 से अधिक एकीकरण आउट-ऑफ़-द-बॉक्स प्रदान करते हुए, स्टेलर साइबर का सिएम आपके दृष्टिकोण को प्रतिक्रियाशील से सक्रिय में बदल देता है। अपने सुरक्षाकर्मियों को अंदर जाने से रोकें
अंतहीन बेमेल अलर्ट, और अगली पीढ़ी की क्षमताओं वाले हमलावरों पर स्क्रिप्ट पलटें
जैसे कि स्वचालित खतरे का शिकार और एआई-संचालित विश्लेषण। अगली पीढ़ी के एसआईईएम अलर्ट अति-लचीले डेटा स्रोत लेते हैं और उन्हें स्केलेबल एनालिटिक्स में बदल देते हैं।
हमारे बारे में और जानें अगली पीढ़ी का सिएम प्लेटफार्म क्षमताओं और पर ध्यान केंद्रित करना शुरू करें
अलर्ट के बजाय घटनाएं।