เนื่องจากใช้เวลาอยู่ในนั้นมาเป็นเวลานานพอสมควร SIEM ในอุตสาหกรรมนี้ ผมได้เห็นรูปแบบและการเปลี่ยนแปลงที่กำหนดภูมิทัศน์ หนึ่งในความเปลี่ยนแปลงที่โดดเด่นที่สุดคือการเปลี่ยนจากรูปแบบดั้งเดิมและผูกขาดไปสู่รูปแบบใหม่ SIEM การปรับใช้ไปสู่โซลูชันที่มีความยืดหยุ่นและปรับขนาดได้มากขึ้น ซึ่งช่วยให้องค์กรสามารถปรับตัวและเติบโตได้โดยไม่ต้องเปลี่ยนแปลงครั้งใหญ่
วิวัฒนาการของ SIEM พื้นที่จัดเก็บ
ประวัติศาสตร์ SIEM โซลูชันอย่าง ArcSight จำเป็นต้องใช้ฐานข้อมูล Oracle โดยเฉพาะในการทำงาน ผมจำได้ว่าในสมัยก่อน เซิร์ฟเวอร์ SUN ขนาดใหญ่ที่ใช้ Oracle นั้นถูกใช้เพื่อจัดเก็บบันทึกและเหตุการณ์ด้านความปลอดภัยโดยเฉพาะ การขยายขนาดในแนวดิ่งเช่นนี้เป็นวิธีเดียวที่จะจัดการกับปริมาณข้อมูลที่เพิ่มขึ้นได้ อย่างไรก็ตาม เมื่อปริมาณข้อมูลเพิ่มขึ้น ตลาดก็ได้เห็นการเกิดขึ้นของโซลูชันการจัดการบันทึกที่สร้างขึ้นมาโดยเฉพาะ ซึ่งช่วยให้สามารถขยายขนาดในแนวนอนได้
Splunk, Loglogic และ ArcSight Logger เป็นหนึ่งในผู้บุกเบิกที่สร้างเลเยอร์ดาต้าเลคสำหรับการจัดเก็บข้อมูลเป็นครั้งแรก โซลูชันเหล่านี้รวมศูนย์การจัดเก็บข้อมูล ทำให้สามารถ... SIEM แพลตฟอร์มเหล่านี้จะเน้นไปที่การหาความสัมพันธ์และการวิเคราะห์ข้อมูลมากกว่าความซับซ้อนของการจัดการข้อมูล
ก้าวเข้าสู่ยุคของแพลตฟอร์มข้อมูลหลากหลายรูปแบบ SIEM
ย้อนกลับไปเมื่อ 15 ปีที่แล้ว ปัจจุบันเราอยู่ในยุคของแพลตฟอร์มข้อมูลหลากหลายรูปแบบ SIEMโซลูชันเหล่านี้ตระหนักถึงแรงดึงดูดของข้อมูล ซึ่งเป็นแนวคิดเชิงเปรียบเทียบที่ข้อมูลดึงดูดข้อมูลและแอปพลิเคชันอื่นๆ เข้าหาตัวมันเอง คล้ายกับวัตถุขนาดใหญ่ในอวกาศที่ดึงดูดวัตถุอื่นๆ ด้วยแรงโน้มถ่วงของมัน
ทันสมัย SIEM โซลูชันเหล่านี้ใช้แนวคิดเรื่องแรงดึงดูดของข้อมูล (Data Gravity) เพื่อหลีกเลี่ยงความซับซ้อนและค่าใช้จ่ายของกระบวนการรื้อและแทนที่ (rip-and-replace) แต่เสนอคุณค่าที่สำคัญคือ การเพิ่มเลเยอร์การวิเคราะห์ลงในดาต้าเลคที่มีอยู่ได้อย่างราบรื่น แนวทางนี้ช่วยให้มั่นใจได้ถึงประสิทธิภาพสูงสุด ลดต้นทุนการจัดเก็บ/เก็บรักษา และทำให้การจัดการข้อมูลง่ายขึ้น โดยการเก็บข้อมูลและแอปพลิเคชันไว้ใกล้กับแหล่งที่มา
นำ Data Lake ของคุณเอง (BYODL)
การประกาศล่าสุดของ Stellar Cyber เกี่ยวกับการรองรับ “Bring Your Own Data Lake” (BYODL) ถือเป็นก้าวสำคัญในวิวัฒนาการนี้ องค์กรที่ได้กำหนดมาตรฐานการจัดเก็บข้อมูลบนแพลตฟอร์มต่างๆ เช่น Splunk, Snowflake, Elastic หรือ AWS สามารถผสานรวมโซลูชันที่ขับเคลื่อนด้วย AI ของ Stellar Cyber ได้อย่างราบรื่น Open XDR แพลตฟอร์มที่มีพื้นที่จัดเก็บข้อมูลเหล่านี้โดยไม่ต้องรื้อและสร้างใหม่ทั้งหมด แนวทางของ Stellar Cyber ในการใช้ประโยชน์จาก Data Lake ที่มีอยู่เน้นความสำคัญของการนำเข้าข้อมูลที่เหมาะสมที่สุด การประมวลผลข้อมูลเบื้องต้น เช่น การทำให้เป็นมาตรฐานและการเพิ่มคุณค่า ก่อนที่จะนำข้อมูลไปใช้ประโยชน์อย่างเต็มที่สำหรับการตรวจจับภัยคุกคามอัตโนมัติผ่านการเรียนรู้ของเครื่องหรือการตรวจสอบการแจ้งเตือนตามบริบท นี่คือเหตุผลว่าทำไมแนวทางที่มีโครงสร้างนี้จึงมีข้อได้เปรียบที่ชัดเจนกว่าวิธีการแบบดั้งเดิม:
เพิ่มประสิทธิภาพการนำเข้าและบูรณาการแบบครบวงจร
การใช้งานแบบแยกส่วนของ Stellar Cyber เริ่มต้นด้วยการรวบรวมและการกรองข้อมูลที่ปรับให้เหมาะสม สิ่งนี้ทำให้มั่นใจได้ว่าเฉพาะข้อมูลที่เกี่ยวข้องกับความปลอดภัยและมีคุณภาพสูงเท่านั้นที่จะเข้าสู่ระบบ ช่วยลดสัญญาณรบกวนและเพิ่มอัตราส่วนสัญญาณต่อสัญญาณรบกวน สิทธิประโยชน์ทันที ได้แก่:
- ประสิทธิภาพที่ดีขึ้น: ด้วยการกรองข้อมูลที่ไม่เกี่ยวข้องออกไปตั้งแต่เนิ่นๆ ในกระบวนการ ระบบสามารถทำงานได้อย่างมีประสิทธิภาพมากขึ้น โดยช่วยลดภาระในกระบวนการดาวน์สตรีม
- ปรับปรุงคุณภาพข้อมูล: การตรวจสอบให้แน่ใจว่าเฉพาะข้อมูลที่สะอาดและเกี่ยวข้องเท่านั้นที่จะถูกนำเข้าจะช่วยลดโอกาสของผลบวกลวงและปรับปรุงความแม่นยำของการวิเคราะห์
การทำให้เป็นมาตรฐานและการเพิ่มคุณค่า
เมื่อรวบรวมข้อมูลแล้ว Stellar Cyber จะทำให้ข้อมูลเป็นมาตรฐานและเพิ่มคุณค่า โดยเพิ่มบริบทที่มีคุณค่า เช่น ข้อมูลภัยคุกคาม ตำแหน่งทางภูมิศาสตร์ ข้อมูลผู้ใช้ และรายละเอียดช่องโหว่ ขั้นตอนนี้จำเป็นด้วยเหตุผลหลายประการ:
- ข้อมูลตามบริบท: ข้อมูลที่ได้รับการปรับปรุงให้บริบทที่สมบูรณ์ยิ่งขึ้นสำหรับเหตุการณ์ด้านความปลอดภัย ทำให้ง่ายต่อการเชื่อมโยงและวิเคราะห์ภัยคุกคามที่อาจเกิดขึ้น
- การวิเคราะห์ที่คล่องตัว: ข้อมูลที่เป็นมาตรฐานช่วยให้สามารถสืบค้นได้อย่างสม่ำเสมอและแม่นยำ ช่วยให้นักวิเคราะห์ความปลอดภัยดำเนินการตรวจสอบได้อย่างมีประสิทธิภาพมากขึ้น นอกจากนี้ยังช่วยให้สามารถนำอัลกอริธึมแมชชีนเลิร์นนิงแบบเดียวกันไปใช้กับแหล่งข้อมูลจำนวนมากที่มีรูปแบบดั้งเดิมที่แตกต่างกันได้
การตรวจจับและการวิเคราะห์
แนวทางของ Stellar Cyber ช่วยเพิ่มการใช้ข้อมูลที่สะอาดและสมบูรณ์สูงสุดสำหรับเครื่องมือตรวจจับและวิเคราะห์ การบูรณาการนี้นำเสนอ:
- การวิเคราะห์นอกกรอบ: เครื่องมือวิเคราะห์ที่พร้อมใช้งานซึ่งขับเคลื่อนโดยการเรียนรู้ของเครื่องสามารถดึงและวิเคราะห์ข้อมูลที่มีโครงสร้างได้อย่างรวดเร็ว ทำให้สามารถตรวจจับและตอบสนองภัยคุกคามได้อย่างรวดเร็ว
- ลดความซับซ้อน: การมีรูปแบบข้อมูลที่เป็นมาตรฐาน การผสานรวมระหว่าง Data Lake และเครื่องมือวิเคราะห์จะตรงไปตรงมา ช่วยลดความจำเป็นในการผสานรวมแบบกำหนดเองและโซลูชันเฉพาะกิจ
การจัดการข้อมูลที่ยืดหยุ่นเพื่อความคุ้มค่า
แนวทางการจัดการข้อมูลที่ยืดหยุ่นของ Stellar Cyber ช่วยให้องค์กรต่างๆ สามารถตัดสินใจว่าจะส่งเฉพาะการแจ้งเตือนหรือเหตุการณ์ที่ได้รับการทำให้เป็นมาตรฐานและสมบูรณ์ทั้งหมดไปยัง Data Lake ของบุคคลที่สาม ความยืดหยุ่นนี้เป็นสิ่งจำเป็นสำหรับการเพิ่มประสิทธิภาพการใช้ Data Lake ของบริษัทอื่น โดยเฉพาะอย่างยิ่งที่มีค่าใช้จ่ายสูง เช่น Splunk ประโยชน์ที่สำคัญ ได้แก่ :
- ประสิทธิภาพต้นทุน: ด้วยการเลือกสรรเฉพาะข้อมูลคุณภาพสูงและมีประโยชน์ องค์กรต่างๆ จึงสามารถลดต้นทุนการจัดเก็บข้อมูลที่ไม่จำเป็นได้อย่างมาก สิ่งนี้ทำให้มั่นใจได้ว่าการลงทุนด้านพื้นที่จัดเก็บข้อมูลได้รับการปรับให้เหมาะสม หลีกเลี่ยงค่าใช้จ่ายที่เกี่ยวข้องกับการรักษาข้อมูลที่ไม่เกี่ยวข้องจำนวนมหาศาล
- ปรับปรุงคุณภาพข้อมูล: การจัดเก็บเฉพาะข้อมูลที่ได้รับการทำให้เป็นมาตรฐานและสมบูรณ์แล้วจะทำให้แน่ใจได้ว่า Data Lake ประกอบด้วยข้อมูลที่มีค่าและมีความสมบูรณ์ในระดับสูง สิ่งนี้ช่วยปรับปรุงประสิทธิภาพของการสืบค้นและการดึงข้อมูล ทำให้ง่ายต่อการดึงข้อมูลเชิงลึกที่มีความหมายและเพิ่มขีดความสามารถในการวิเคราะห์ข้อมูลโดยรวม
แอปพลิเคชันแบบกำหนดเองที่ได้รับการปรับปรุง
ข้อมูลที่มีโครงสร้างและสมบูรณ์ใน Data Lake ยังเป็นประโยชน์ต่อแอปพลิเคชันแบบกำหนดเองที่อาจต้องมีการเข้าถึงข้อมูลความปลอดภัย ข้อดีที่สำคัญ ได้แก่ :
- เพิ่มประสิทธิภาพการล่าภัยคุกคาม: ข้อมูลที่ได้มาตรฐานและคุณภาพสูงพร้อมบริบทช่วยลดความยุ่งยากในการสืบค้นและเรียกข้อมูลที่เกี่ยวข้อง
- การรายงานที่ดีขึ้น: การตรวจสอบให้แน่ใจว่าแอปพลิเคชันที่กำหนดเอง เช่น การรายงาน ได้รับข้อมูลที่สะอาดและสมบูรณ์ ช่วยปรับปรุงประสิทธิภาพและความแม่นยำ นำไปสู่ผลลัพธ์ด้านความปลอดภัยโดยรวมที่ดีขึ้น
เปรียบเทียบกับวิธีการดั้งเดิม
ในทางตรงกันข้าม ระบบไฮบริดแบบดั้งเดิม SIEM การปฏิบัติงานภาคสนามมักเผชิญกับความท้าทายอย่างมาก:
- บูรณาการเฉพาะกิจ: การบูรณาการข้อมูลดิบเข้ากับเครื่องมือตรวจจับและวิเคราะห์มักต้องใช้โซลูชันเฉพาะกิจที่กำหนดเอง ซึ่งเพิ่มความซับซ้อนและค่าใช้จ่ายในการดำเนินงาน
- การตรวจจับแบบพิเศษ: หากไม่มีข้อมูลที่เป็นมาตรฐานและสมบูรณ์ การสร้างกฎการตรวจจับและการวิเคราะห์ที่มีประสิทธิภาพผ่านการเรียนรู้ของเครื่องจะกลายเป็นเรื่องท้าทายมากขึ้น โดยต้องใช้โซลูชันเฉพาะทางที่ออกแบบตามความต้องการ
- ปัญหาข้อมูลดิบ: การบูรณาการ Data Lake ดิบเข้ากับเครื่องมือตรวจจับโดยตรงอาจทำให้เกิดความไร้ประสิทธิภาพและความไม่ถูกต้อง เนื่องจากข้อมูลขาดบริบทและการทำให้เป็นมาตรฐานที่จำเป็น
สรุป
แนวทางที่เป็นระบบของ Stellar Cyber ในการประมวลผลและวิเคราะห์ข้อมูลก่อนนำไปใช้และจัดเก็บในรูปแบบ BYODL (Build-Operate-Only Learning) ให้ข้อได้เปรียบที่ชัดเจนในด้านประสิทธิภาพ ความแม่นยำ และประสิทธิภาพการดำเนินงาน ด้วย Stellar Cyber องค์กรต่างๆ สามารถยกระดับความปลอดภัยและปรับปรุงกระบวนการทำงานให้มีประสิทธิภาพยิ่งขึ้นได้อย่างมีนัยสำคัญ SIEM การดำเนินงานด้วยการจัดเก็บข้อมูลแบบรวมศูนย์ โดยการทำให้มั่นใจว่าข้อมูลสะอาด เป็นมาตรฐาน และสมบูรณ์ก่อนที่จะจัดเก็บ และ/หรือหลังจากการตรวจจับและการวิเคราะห์ผ่านการเรียนรู้ของเครื่อง วิธีนี้ช่วยลดความซับซ้อนและต้นทุน และเพิ่มมูลค่าสูงสุดจากข้อมูลด้านความปลอดภัย สร้างรากฐานที่แข็งแกร่งสำหรับการตรวจจับและตอบสนองต่อภัยคุกคามอย่างมีประสิทธิภาพ
การนำแนวทางที่มีโครงสร้างมาใช้ดังกล่าวอาจเป็นตัวเปลี่ยนเกมสำหรับองค์กรที่ต้องการเพิ่มประสิทธิภาพการดำเนินงานด้านความปลอดภัย และใช้ประโยชน์จากศักยภาพของ Data Lake อย่างเต็มประสิทธิภาพ
ประเด็นร้อน:
- ข้อมูลที่สะอาดเป็นสิ่งสำคัญ: คุณภาพของคุณ SIEMประสิทธิภาพของผลลัพธ์จะแปรผันโดยตรงกับคุณภาพของข้อมูลที่รับเข้ามา การทำให้มั่นใจว่า Data Lake ของคุณสะอาดและมีข้อมูลครบถ้วนก่อนที่จะส่งไปยังเครื่องมือตรวจจับและวิเคราะห์นั้นมีความสำคัญอย่างยิ่งต่อการตรวจจับภัยคุกคามที่แม่นยำและการดำเนินงานที่มีประสิทธิภาพ
- การบูรณาการอย่างราบรื่นช่วยลดความซับซ้อน: วิธีการที่มีโครงสร้างที่ทำให้ข้อมูลเป็นมาตรฐานช่วยให้มั่นใจได้ถึงการผสานรวมที่ราบรื่นระหว่าง Data Lake ของคุณและเครื่องมือวิเคราะห์ ซึ่งช่วยลดความจำเป็นในการใช้โซลูชันเฉพาะกิจแบบกำหนดเอง และปรับปรุงการดำเนินงาน
- ความสามารถในการปรับขนาดโดยไม่ต้องปวดหัว: การใช้ประโยชน์จากข้อมูลที่มีโครงสร้างในรูปแบบดาต้าเลคแบบรวมศูนย์ ช่วยให้สามารถขยายขนาดในแนวนอนได้โดยไม่ต้องเผชิญกับความซับซ้อนและค่าใช้จ่ายที่เกี่ยวข้องกับวิธีการรื้อและแทนที่แบบดั้งเดิม ซึ่งจะช่วยให้มั่นใจได้ว่าระบบของคุณ SIEM โซลูชันนี้สามารถพัฒนาไปพร้อมกับความต้องการขององค์กรของคุณได้
คิดปิด
พร้อมยกระดับความปลอดภัยของคุณด้วยความยืดหยุ่นแล้วหรือยัง? SIEM ต้องการทางออกใช่ไหม? ทีมผู้เชี่ยวชาญของเราพร้อมให้ความช่วยเหลือคุณในการสำรวจตัวเลือกต่างๆ และปรับแต่งกลยุทธ์การใช้งานให้เหมาะสมกับคุณ ติดต่อเราวันนี้หรือนัดหมายการปรึกษาหารือแบบส่วนตัว เพื่อให้ระบบรักษาความปลอดภัยของคุณมีความยืดหยุ่น ปรับตัวได้ และพร้อมรับมือกับทุกสถานการณ์
หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ Bring Your Own Data Lake โปรดอ่าน บล็อกสหาย or ติดต่อสเตลลาร์ไซเบอร์ เพื่อนัดหมายคำปรึกษาส่วนตัวกับผู้เชี่ยวชาญบนแพลตฟอร์ม
