SIEM सहसंबंध नियम: खतरे का पता लगाने की क्षमता को बढ़ाना
लॉग आपके उद्यम के हर एक कोने की वास्तविक समय की गतिविधियों का प्रतिनिधित्व करते हैं। प्रत्येक ऑडिट लॉग में उपयोगकर्ता की गतिविधि, पैरामीटर, संसाधन और समय की जानकारी होती है, जो उन्हें डेटा की एक वास्तविक सोने की खान बनाती है। उद्यमों की सुरक्षा के लिए इनका उपयोग करने के लिए केवल डेटा से अधिक की आवश्यकता होती है: लॉग को एक साथ जोड़ने और सुरक्षित या दुर्भावनापूर्ण के रूप में पहचानने की आवश्यकता होती है - यह सब हमलावर द्वारा पेलोड तैनात करने या डेटा चुराने में सक्षम होने से पहले होता है। यहीं पर सहसंबंध नियम चमकते हैं।
एनालिटिक्स में, सहसंबंध दो तत्वों के बीच किसी भी संबंध या जुड़ाव को दर्शाता है - प्रत्येक लॉग डेटा के बीच संबंध को मैप करके और बनाकर SIEM सहसंबंध नियम, आपके SIEM यह प्रत्येक डेटापॉइंट की परस्पर निगरानी करने में सक्षम है। अंततः, इस डेटा पर नियम जोड़कर इन अनुक्रमों को सुरक्षित या संभावित रूप से दुर्भावनापूर्ण के रूप में पहचाना जाता है। अच्छे ट्रैफ़िक को अनुमति दी जाती है, जबकि खराब या संदिग्ध ट्रैफ़िक को चिह्नित करके ब्लॉक कर दिया जाता है।
अगली पीढ़ी SIEM
स्टेलर साइबर नेक्स्ट-जेनरेशन SIEMस्टेलर साइबर के भीतर एक महत्वपूर्ण घटक के रूप में Open XDR प्लैटफ़ॉर्म...
कार्रवाई में AI-संचालित सुरक्षा का अनुभव करें!
खतरे का तुरंत पता लगाने और प्रतिक्रिया के लिए स्टेलर साइबर के अत्याधुनिक AI की खोज करें। आज ही अपना डेमो शेड्यूल करें!
कैसे SIEM सहसंबंध नियम काम करते हैं
चरण 1: लॉग केंद्रीकरण
आपके सभी सिस्टमों के लॉग एकत्र किए जाते हैं और अग्रेषित किए जाते हैं। SIEMयह सेंसर और एजेंटों द्वारा संभव हो पाता है - ये छोटे सॉफ्टवेयर होते हैं जो एंडपॉइंट डिवाइस, नेटवर्क और सर्वर पर इंस्टॉल किए जाते हैं और नेटवर्क पर स्थानांतरित हो रहे डेटा पैकेट और डिवाइस पर चल रही गतिविधियों की निष्क्रिय रूप से निगरानी करते हैं। इस चरण में, SIEM यह टूल इन लॉग्स को एक केंद्रीय विश्लेषण इंजन में लाने की प्रक्रिया शुरू करता है।
चरण 2: डेटा सामान्यीकरण
हालांकि लॉग आपके बुनियादी ढांचे के हर पहलू को कवर करते हैं – फिर भी यह बहुत अलग-अलग एप्लिकेशन, सर्वर और हार्डवेयर से बना है, जिनमें से प्रत्येक में लॉग प्रविष्टियों को सूचीबद्ध करने का अपना अनूठा प्रारूप होता है। विभिन्न स्रोतों से प्राप्त इवेंट लॉग में सूचना फ़ील्ड और डेटा संरचनाएं बहुत भिन्न हो सकती हैं। दूसरा चरण... SIEM सहसंबंध इन सभी को सामान्यीकृत करता है, जो विभिन्न लॉग को एक सुसंगत, मानकीकृत प्रारूप में पार्स करके काम करता है।
इस लॉग डेटा का सामान्यीकरण जितना अधिक कुशल होगा, प्रक्रिया उतनी ही तेज़ होगी। SIEM खतरे का पता लगाने की तकनीकों का विश्लेषण और अनुप्रयोग शुरू किया जा सकता है।
चरण 3: डेटा सहसंबंध
सभी लॉग डेटा प्राप्त हो जाने के बाद, सहसंबंध इंजन यह देख सकता है कि यह सामान्य पैटर्न के अनुरूप कैसे है। SIEM उपकरण केवल व्यक्तिगत रूप से अलग-अलग स्ट्रिंग की पहचान करने में सक्षम होते हैं, लेकिन स्टेलर जैसे उन्नत उपकरण सहसंबंध की एक दूसरी परत जोड़ते हैं जो अन्य विशेषताओं – जैसे अनुरोध और प्रतिक्रिया पैरामीटर – को देखती है। इससे व्यवहार और संबंधित इकाई के बीच संबंध को मजबूत करने में मदद मिलती है।
यह काफी उच्च-स्तर है, इसलिए आइए वास्तविक हमले के संदर्भ में डेटा सहसंबंध पर विचार करें: किसी हमलावर द्वारा अपने पहचान और पहुँच प्रबंधन (IAM) प्रदाता के माध्यम से किसी उद्यम तक बलपूर्वक पहुँच प्राप्त करने के प्रयासों पर विचार करें। इसमें शामिल व्यवहारों में पहुँच प्राप्त करने के लिए निरंतर लॉगिन प्रयासों का अभियान शामिल हो सकता है (कार्रवाई A), जिसके बाद एक सफल लॉगिन (कार्रवाई B) होता है। इसके बाद, वे एडमिन कंसोल तक पहुँचने के लिए आगे बढ़ सकते हैं और उन्नत विशेषाधिकारों के साथ एक नया उपयोगकर्ता बना सकते हैं - या कमज़ोर क्षेत्रों और संवेदनशील संसाधनों की खोज करने के लिए पोर्ट स्कैन की एक श्रृंखला शुरू कर सकते हैं। आइए इसे क्रिया C कहते हैं।
नियम-आधारित सहसंबंध प्रत्येक तकनीक, रणनीति और प्रक्रिया (टीटीपी) को एक क्रम में रखने की अनुमति देता है: ये अनुक्रमिक सहसंबंध फिर एक नियम क्रिया को ट्रिगर कर सकते हैं, जिसे एक अलर्ट के माध्यम से विश्लेषक को भेजा जाता है। इन विशेषताओं को जिस तरह से जोड़ा जाता है, वही किसी पहचान क्षमता को परिभाषित करता है। SIEM उपकरण.
नियम आधारित बनाम व्यवहारिक सहसंबंध
हमने अभी जिस हमले की चर्चा की है, उसमें शामिल कार्रवाइयों को दो तरीकों से खोजा जा सकता है: पहला तरीका है एक नियम के ज़रिए जो स्पष्ट रूप से बताता है कि 'अगर कार्रवाई A के बाद B और फिर C होती है, तो अलर्ट ट्रिगर करें'। यह बहुत अच्छी तरह से काम करता है अगर विश्लेषकों को इस हमले की संभावना के बारे में पहले से पता हो, और उन्हें इस बात का मोटा अंदाज़ा हो कि हमलावर क्या TTP अपना सकता है।
हालांकि, यह एकमात्र तरीका नहीं है: ब्रूट फोर्स हमले का पता एक अधिक सामान्य नियम से भी लगाया जा सकता है, जिसके अनुसार 'यदि कार्यों का एक समूह अंतिम उपयोगकर्ता के सामान्य प्रमाणीकरण व्यवहार से विचलित होता है, तो एक अलर्ट ट्रिगर करें'। यह नियम इस पर निर्भर करता है SIEM किसी अंतिम उपयोगकर्ता के सामान्य व्यवहार की ऐतिहासिक समझ होना अब संभव है, क्योंकि केंद्रीकृत लॉग को मशीन लर्निंग एल्गोरिदम के माध्यम से चलाया जा रहा है। इससे उपयोगकर्ता, डिवाइस और ट्रैफ़िक व्यवहार के दैनिक पैटर्न को स्थापित करना बहुत आसान हो जाता है - और इसलिए व्यवहार संबंधी सहसंबंध को आधार के रूप में उपयोग किया जा सकता है। SIEM नियमों के अनुसार, व्यवहारिक सहसंबंध का उपयोग अक्सर 'जोखिम स्कोर' उत्पन्न करने के लिए किया जाता है, जिसके लिए विश्लेषक एक स्वीकार्य सीमा निर्धारित करते हैं।
चूंकि हमने खतरों की पहचान करने के लिए अपनाए जा सकने वाले विभिन्न तरीकों की संख्या दोगुनी कर दी है, इसलिए अपने सिस्टम को सक्रिय रूप से सुरक्षित रखना पहले से कहीं अधिक महत्वपूर्ण है। SIEM नियमों को सुव्यवस्थित और उच्च-कार्यक्षमता वाला बनाना - हम नीचे इस लक्ष्य को प्राप्त करने के सर्वोत्तम तरीकों पर चर्चा करेंगे।
के लाभ SIEM खतरे का पता लगाने के लिए सहसंबंध नियम
हस्ताक्षर-आधारित खतरे का पता लगाना
अधिकांश हमले विशेष रूप से अनूठे नहीं होते: अवसरवादी हमलावरों द्वारा दुर्भावनापूर्ण कोड को कॉपी-पेस्ट करना इतना आम है कि उन्हें 'स्क्रिप्ट किडीज़' का उपनाम मिल गया है। यही कारण है कि अधिकांश हमले SIEM आक्रमण सतह से सुरक्षा हस्ताक्षर-आधारित पहचान के माध्यम से की जाती है।
मालवेयर सिग्नेचर साइटों के भंडार लगातार बढ़ रहे हैं: इनमें से एक सबसे प्रसिद्ध M&TRE ATTACK डेटाबेस है। यह हमलावरों द्वारा अपनाए जा रहे विशिष्ट तरीकों की पहचान करता है, और इस प्रकार सुरक्षा विशेषज्ञों को एक ओपन सोर्स डेटाबेस प्रदान करता है। SIEM नियम। ये नियम समूह ज्ञात दुर्भावनापूर्ण व्यवहार के पैटर्न को परिभाषित करने पर आधारित हैं।
हालाँकि, जितना अधिक व्यापक होगा SIEM नियम यह है कि हमलावर इसे टालने पर जितना अधिक ध्यान केंद्रित करेंगे, उतना ही बेहतर होगा। इससे सहसंबंध नियम हमलावर और सुरक्षा विश्लेषक के बीच एक निरंतर दौड़ में फंस जाते हैं। और, यदि सुरक्षा टीम बहुत अधिक नियम बनाने लगती है, तो उन्हें नियमों के बोझ तले दब जाने का खतरा रहता है। SIEM झूठी सकारात्मक।
स्टेलर साइबर विशुद्ध सहसंबंध-आधारित पद्धति द्वारा सामना की जाने वाली पुरानी कठिनाइयों को दूर करता है। SIEMमशीन लर्निंग विश्लेषण की एक और परत जोड़कर, विश्लेषक सहसंबंध नियमों के माध्यम से यथासंभव अधिक से अधिक पहलुओं को कवर कर सकते हैं, और फिर विश्लेषण की दूसरी परत प्रत्येक अलर्ट के व्यापक संदर्भ का आकलन करके उसकी वैधता निर्धारित करती है।
वास्तविक दुनिया के खतरों के लिए पहले से तैयार नियम
सहसंबंध नियम आम खतरों की पहचान करने के उद्देश्य से बनाए गए हैं जिनका उपयोग हैकर संसाधनों तक पहुँच बनाने के लिए बार-बार करते हैं। हालाँकि, किसी एकल उद्यम की IT टीम के पास वास्तविक दुनिया के TTP की सबसे अद्यतित समझ नहीं हो सकती है। आखिरकार, खतरे की खुफिया जानकारी दुर्भावनापूर्ण अभिनेताओं, तकनीकों और समझौता के संकेतकों के बारे में डेटा के निरंतर संग्रह, प्रसंस्करण और अनुप्रयोग की मांग करती है।
यही कारण है कि प्री-पैकेज्ड सहसंबंध नियम इतने लाभकारी हैं: ये प्रीपॉप्युलेटेड दृष्टिकोण आपके उद्योग और व्यापक खतरे के क्षेत्र के मैक्रो व्यू से बनाए गए हैं। प्रत्येक व्यवहार भिन्नता को लेबल किया जा सकता है और उसके अलर्ट प्रकार से संबद्ध किया जा सकता है, इसलिए लॉग अलर्ट की छिटपुट प्रकृति को कम करके एक अधिक सुव्यवस्थित संपूर्ण बनाया जा सकता है।
डेटा और एक्सेस अनुपालन
लगभग हर उद्योग में संगठनों को यह प्रदर्शित करना होता है कि वे कुछ कानूनों, नियमों और विनियमों का पालन करते हैं - और ये उस उद्योग के आधार पर बदलते हैं जिसमें आप सक्रिय हैं। यूरोपीय शाखाओं को GDPR पर नज़र रखने की ज़रूरत है, जबकि किसी भी भुगतान-उन्मुख व्यवसाय को PCI DSS के अनुरूप होना चाहिए।
GDPR सबसे सख्त और व्यापक नियमों में से एक है, जो किसी संगठन की तकनीकी प्रक्रियाओं में डेटा सुरक्षा की मांग करता है। SIEM लॉग किसी संगठन की संपूर्ण संपत्तियों और उपयोगकर्ता खातों का हिसाब रखते हैं, इसलिए यह इस लक्ष्य को प्राप्त करने के लिए विशिष्ट रूप से अच्छी स्थिति में है।
सहसंबंध नियमों का यह एक वास्तविक लाभ है: उनकी सार्वभौमिक प्रयोज्यता। असामान्य लॉग का पता चलने पर अलर्ट भेजकर, यह विश्लेषकों को संभावित अनुपालन समस्याओं के बारे में अग्रिम चेतावनी देता है। अपने स्वयं के नियम बनाने की क्षमता से अनुपालन नियमों को आपकी सुरक्षा संरचना में शुरू से ही शामिल किया जा सकता है। यदि PCI DSS के लिए आपको सभी एंडपॉइंट एंटी-मैलवेयर को अद्यतन रखना आवश्यक है, तो एक SIEM यह नियम आपको तब सचेत करता है जब किसी मैलवेयर रोधी समाधान को अपडेट नहीं किया गया हो। अधिक उन्नत SIEM ये उपकरण आपको इस पूरी प्रक्रिया को स्वचालित करने की सुविधा देते हैं, साथ ही इसके कार्यों का फोरेंसिक रिकॉर्ड भी रखते हैं। इससे मिलने वाली गति SIEMयह विशेष रूप से GDPR जैसे नियमों के संदर्भ में महत्वपूर्ण है, जो सुरक्षा घटनाओं की जानकारी देने और उनका समाधान करने के लिए 72 घंटे की छोटी अवधि प्रदान करता है।
बहु-स्तरीय हमले और उन्नत सतत खतरों (APTs) का पता लगाना
व्यक्तिगत सहसंबंध नियम काफी सरल हैं, लेकिन लॉग की सरासर बारीकियां कहीं अधिक स्पष्ट समाधान और शमन की अनुमति देती हैं। यह वह जगह है जहाँ समग्र नियम अधिक उन्नत खतरों की पहचान करने में उत्कृष्ट हो सकते हैं: ये एक विशिष्ट संदर्भ के भीतर एक विशिष्ट व्यवहार पर ध्यान केंद्रित करने के लिए कई नियमों को एक साथ जोड़ते हैं। उदाहरण के लिए, यदि एक ही वर्कस्टेशन (और एक ही आईपी पते) पर एक्स लॉगिन प्रयास एक्स मिनट के भीतर विफल हो जाते हैं और अलग-अलग उपयोगकर्ता नामों का उपयोग करते हैं - और यदि नेटवर्क के भीतर किसी भी कंप्यूटर पर एक सफल लॉगिन होता है और समान आईपी पते से आता है - तो यह एक अलर्ट ट्रिगर करेगा।
APT प्रवेश बिंदुओं को काटने के लिए समग्र नियम महत्वपूर्ण हो सकते हैं। यही वह समय होता है जब कोई घुसपैठिया किसी संगठन के नेटवर्क तक प्रारंभिक पहुँच प्राप्त करता है, पहुँच का एक सुरक्षित बिंदु पाता है, और फिर उसके साथ कुछ नहीं करता। जबकि खतरा निष्क्रिय लग सकता है, वे संभवतः एक उपयुक्त समय की प्रतीक्षा कर रहे हैं - या चल रहे शोषण के लिए एक खरीदार की भी। जब वे चुनते हैं, तो घुसपैठिया फ़ायरवॉल को पार कर सकता है और डेटा चुरा सकता है या मैलवेयर तैनात कर सकता है, क्योंकि उनके खाते या कार्यों को सुरक्षित माना जाता है।
सरल सहसंबंध नियम पारंपरिक रूप से APTs की खोज करने में अविश्वसनीय रहे हैं; यदि विश्लेषकों को संभावित TTP के बारे में जानकारी नहीं है, तो वे खतरे की खोज करने में असमर्थ हैं।
इसलिए, सबसे विश्वसनीय दृष्टिकोण समग्र नियमों से एक कदम आगे है: आधुनिक व्यवहार मॉडल विश्लेषण इंजन में पिछले कार्यों को शामिल करने की अनुमति देते हैं। आने वाले और बाहर जाने वाले नेटवर्क ट्रैफ़िक का चल रहा विश्लेषण उपयोगकर्ता की अपेक्षित क्रियाओं से किसी भी विचलन को जोखिमपूर्ण के रूप में चिह्नित करने की अनुमति देता है।
भवन निर्माण के लिए सर्वोत्तम पद्धतियाँ SIEM सहसंबंध नियम
उपयोग के मामलों को प्राथमिकता दें
जब पहली बार किसी चीज़ को अनुकूलित किया जाता है SIEM आपके उद्यम के लिए, SIEM सर्वोत्तम प्रथाओं के अनुसार, आपको अपने व्यवसाय के सटीक उपयोग के मामलों की स्पष्ट जानकारी होनी चाहिए। SIEM समस्या का समाधान किया जाएगा। प्राथमिकता के क्रम में, इन उपयोग मामलों पर ध्यान केंद्रित करने की आवश्यकता है, और पूर्व-निर्मित नियमों का मूल्यांकन इस आधार पर किया जाना चाहिए कि वे आपके अपने उद्यम के लिए कितने उपयुक्त हैं। इसके बाद, आप सहसंबंध नियमों के प्रत्येक संकीर्ण खंड को संपादित करना या उसमें जोड़ना शुरू कर सकते हैं।
यदि आप नहीं जानते कि आपके विरुद्ध कौन सी विशिष्ट आक्रमण तकनीकें अपनाई जा सकती हैं, तो देखें MITER ATT और CK or लॉकहीड की साइबर किल चेनदोनों ही हमलावरों के विशिष्ट तरीकों और शोषणों को असाधारण गहराई से सूचीबद्ध करने के लिए बहुत बड़ा काम करते हैं।
अपने फ़ायरवॉल का उपयोग करें
-
- A “दुष्ट नाम सर्वर” नियम को आंतरिक कॉर्पोरेट DNS सर्वर के अलावा किसी अन्य गंतव्य के साथ DNS एप्लिकेशन तक पहुँचने का प्रयास करने वाले किसी भी डिवाइस की निगरानी करनी चाहिए। आंतरिक उपकरणों को केवल कॉर्पोरेट DNS सर्वर का उपयोग करने के लिए कॉन्फ़िगर किया जाना चाहिए, जो तब अज्ञात डोमेन को हल करने के लिए आवश्यकतानुसार इंटरनेट तक पहुँचते हैं।
- A “दुष्ट प्रॉक्सी सर्वर” नियम को LAN सबनेट से TCP पोर्ट 80/443 पर इंटरनेट की ओर जाने वाले या वेब ब्राउज़िंग और SSL अनुप्रयोगों के लिए परिधि फ़ायरवॉल का पालन करना चाहिए। आदर्श रूप से, केवल निर्दिष्ट प्रॉक्सी सर्वर से ट्रैफ़िक की अनुमति दी जानी चाहिए; इस प्रकार के कनेक्शन का प्रयास करने वाला कोई अन्य स्रोत IP सुरक्षा को बायपास करने का प्रयास हो सकता है, चाहे वह उपयोगकर्ता द्वारा हो या मैलवेयर द्वारा।
- A “बॉटनेट ट्रैफ़िक” नियम पुराने कमांड और कंट्रोल (C2) सॉफ़्टवेयर की पहचान कर सकता है जो प्रबंधन के लिए इंटरनेट रिले चैट (IRC) का उपयोग करता है। जबकि IRC स्वाभाविक रूप से दुर्भावनापूर्ण नहीं है, कॉर्पोरेट नेटवर्क में इसकी उपस्थिति अक्सर संदिग्ध होती है। यदि कोई स्रोत या गंतव्य होस्ट IRC का उपयोग कर रहा है, तो इस नियम को अलर्ट ट्रिगर करना चाहिए, हालांकि कुछ नेटवर्क प्रशासन कंप्यूटरों को बहिष्करण की आवश्यकता हो सकती है।
खुले पोर्ट को न्यूनतम करें
डिफ़ॉल्ट रूप से, पोर्ट 514 पर सुनने वाले सेंसर आने वाले लॉग का विश्लेषण करते हैं; इससे स्रोत डिवाइस की पहचान करने में मदद मिलती है। पोर्ट 514 का उपयोग करने के बजाय अपने लॉग प्रकार के लिए अधिक लक्षित पोर्ट निर्दिष्ट करने से कई लाभ मिलते हैं। यह डेटा अंतर्ग्रहण और लॉग पार्सिंग को गति देता है, सेंसर प्रदर्शन में सुधार करता है क्योंकि सेंसर तुरंत स्रोत डिवाइस की पहचान कर सकता है। अंतिम लेकिन कम से कम नहीं, लॉग जानकारी को संरक्षित करने के लिए सही पोर्ट से सहसंबंध नियम को आधार बनाना बहुत महत्वपूर्ण है।
इसके बजाय, उनके प्रारूप के आधार पर उपयुक्त पोर्ट का चयन करें:
- कॉमन इवेंट फॉर्मेट (CEF), लॉग इवेंट एक्सटेंडेड फॉर्मेट (LEEF), या JSON: इन लॉग प्रकारों के लिए, उस मानक के लिए निर्दिष्ट पोर्ट पर डेटा अग्रेषित करें।
- मानक Syslog प्रारूप लॉग: विशिष्ट विक्रेता के लिए निर्दिष्ट पोर्ट का उपयोग करें।
- विशेष प्रारूपों जैसे कि Syslog को नियमित अभिव्यक्तियों, कुंजी-मूल्य युग्मों या CSV के साथ संयोजित करने के लिए, विक्रेता-विशिष्ट पोर्ट का उपयोग करें।
ख़तरे की तलाश
एक सुव्यवस्थित प्रणाली के साथ सक्रिय खतरे की पहचान को लागू करना SIEM यह सिस्टम खतरे का पता लगाने की अपनी क्षमताओं को काफी हद तक बढ़ाता है, जिससे स्वचालित लॉग विश्लेषण की विश्लेषणात्मक शक्ति को काफी मजबूती मिलती है। जबकि एक ठीक से ट्यून किया गया सिस्टम SIEM यह कई ज्ञात खतरों की प्रभावी ढंग से निगरानी और चेतावनी दे सकता है, स्वचालित खतरे की पहचान करने की क्षमता को जोड़ने से परिष्कृत, विकसित या गुप्त हमलों का पता लगाना संभव हो जाता है जो मानक सहसंबंध नियमों को दरकिनार कर सकते हैं।
खतरे की खोज SIEM स्टेलर साइबर अलर्ट या विसंगति उत्पन्न होने के बाद उसकी वास्तविक दुनिया में संभावित हमले का अनुकरण करता है: यह निरंतर सत्यापन प्रक्रिया सुनिश्चित करने में मदद करती है कि सहसंबंध नियम सटीक, अनुकूलनीय और उभरते हमले के तरीकों के विरुद्ध प्रभावी हों। यह अलर्ट की प्राथमिकता तय करने में भी सहायक होता है और विश्लेषकों को मैन्युअल रूप से खतरे की पहचान करने का आधार प्रदान करता है। विश्लेषक मैलवेयर सैंडबॉक्स रिकॉर्ड में खोज करके संभावित हमलों की पहचान कर सकते हैं, जिससे उन्हें अपने विरुद्ध किए गए हमले के बारे में अधिक जानकारी मिलती है।
त्वरित प्रतिक्रिया के लिए एकीकृत करें
एक को एकीकृत करना SIEM व्यापक तकनीकी ढांचे के भीतर यह प्रभावी रूप से खतरों का पता लगाने, उनका विश्लेषण करने और उन पर प्रतिक्रिया करने की क्षमता को बढ़ाता है। इसमें लिंक करना शामिल हो सकता है। SIEM एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (ईडीआर), थ्रेट इंटेलिजेंस प्लेटफॉर्म, इंसिडेंट रिस्पॉन्स सिस्टम और सिक्योरिटी ऑर्केस्ट्रेशन, ऑटोमेशन एंड रिस्पॉन्स (एसओएआर) जैसे टूल्स के साथ। इससे भी बेहतर, सुरक्षा टूल्स के साथ एकीकरण स्वचालित खतरे की प्रतिक्रियाओं का मार्ग प्रशस्त करता है - जो स्टेलर साइबर का एक मार्गदर्शक लक्ष्य है।
स्टेलर साइबर के मामलों के साथ बुनियादी नियमों से आगे बढ़ें
स्टेलर साइबर नियम निर्माण के लिए एक बहु-मोडल दृष्टिकोण अपनाता है: सहसंबंध नियमों और एमएल-संचालित व्यवहार विश्लेषण का एक स्टैक्ड डेक पेश करते हुए, यह आपके उद्यम में उत्पन्न सभी लॉग का पूरा उपयोग करता है। अलर्ट तब बनाए जाते हैं जब लॉग डेटा अलग-अलग नियमों को ट्रिगर करता है, लेकिन स्टेलर इन्हें एकीकृत मामलों में सहसंबंधित करता है, जिनमें से प्रत्येक एक एकल डेटा संरचना के भीतर संभावित रूप से जुड़े अलर्ट के संग्रह का प्रतिनिधित्व करता है। वहां से, विश्लेषकों को MTTR को कम करने के लिए डिज़ाइन किए गए प्लेबुक और उपचार विकल्पों का एक सूट दिया जाता है।
स्टेलर साइबर के अलर्ट का क्रॉस-वेरिफिकेशन गहन संदर्भ प्रदान करता है, जिससे विश्लेषकों को यह निर्धारित करने में मदद मिलती है कि वे वास्तविक हमले, उच्च जोखिम वाले व्यवहार या केवल संयोगवश घटनाओं से निपट रहे हैं। देखें कि स्वचालित प्रतिक्रियाएँ कैसे सेट करें और दुर्भावनापूर्ण ट्रैफ़िक को तुरंत ब्लॉक करें आज एक डेमो के साथ.
