SIEM กฎความสัมพันธ์: เพิ่มประสิทธิภาพการตรวจจับภัยคุกคามของคุณ
บันทึกแสดงถึงกิจกรรมแบบเรียลไทม์ในทุกมุมขององค์กรของคุณ บันทึกการตรวจสอบแต่ละรายการประกอบด้วยข้อมูลกิจกรรม พารามิเตอร์ ทรัพยากร และระยะเวลาของผู้ใช้ ทำให้บันทึกเหล่านี้เปรียบเสมือนแหล่งข้อมูลอันล้ำค่า การใช้บันทึกเหล่านี้เพื่อปกป้ององค์กรนั้นต้องการมากกว่าแค่ข้อมูลเท่านั้น บันทึกจำเป็นต้องถูกเชื่อมโยงเข้าด้วยกันและระบุว่าปลอดภัยหรือเป็นอันตราย ก่อนที่ผู้โจมตีจะสามารถนำข้อมูลมาใช้งานหรือขโมยข้อมูลได้ ซึ่งนี่คือจุดที่กฎการเชื่อมโยงมีความสำคัญ
ในด้านการวิเคราะห์ข้อมูล ความสัมพันธ์หมายถึงความเชื่อมโยงหรือการเชื่อมต่อระหว่างสององค์ประกอบ โดยการสร้างแผนที่ความสัมพันธ์ระหว่างข้อมูลบันทึกแต่ละส่วนและสร้าง... SIEM กฎความสัมพันธ์ของคุณ SIEM ระบบสามารถตรวจสอบข้อมูลแต่ละจุดได้อย่างสอดคล้องกันโดยสัมพันธ์กับข้อมูลอื่นๆ สุดท้าย ระบบจะระบุลำดับข้อมูลเหล่านี้ว่าเป็นข้อมูลที่ปลอดภัยหรืออาจเป็นอันตรายโดยการเพิ่มกฎเกณฑ์เพิ่มเติมลงบนข้อมูลนี้ การรับส่งข้อมูลที่ดีจะได้รับอนุญาต ในขณะที่การรับส่งข้อมูลที่ไม่ดีหรือน่าสงสัยจะถูกทำเครื่องหมายและบล็อก
รุ่นต่อไป SIEM
สเตลลาร์ ไซเบอร์ เน็กซ์เจเนอเรชั่น SIEMในฐานะที่เป็นองค์ประกอบสำคัญภายใน Stellar Cyber Open XDR แพลตฟอร์ม...
สัมผัสประสบการณ์การรักษาความปลอดภัยที่ขับเคลื่อนด้วย AI ในการดำเนินการ!
ค้นพบ AI อันล้ำสมัยของ Stellar Cyber เพื่อการตรวจจับและตอบสนองภัยคุกคามในทันที กำหนดเวลาการสาธิตของคุณวันนี้!
สรุป ความน่าเชื่อถือของ Olymp Trade? SIEM กฎความสัมพันธ์ใช้งานได้จริง
ขั้นตอนที่ 1: การรวมบันทึก
ระบบจะรวบรวมและส่งต่อบันทึกข้อมูลจากทุกระบบของคุณไปยัง... SIEMสิ่งนี้เป็นไปได้ด้วยเซ็นเซอร์และเอเจนต์ ซึ่งเป็นซอฟต์แวร์ขนาดเล็กที่ติดตั้งบนอุปกรณ์ปลายทาง เครือข่าย และเซิร์ฟเวอร์ ทำหน้าที่ตรวจสอบแพ็กเก็ตข้อมูลที่ส่งผ่านเครือข่ายและการทำงานบนอุปกรณ์ต่างๆ อย่างเงียบๆ ในขั้นตอนนี้ SIEM เครื่องมือนี้จะเริ่มต้นกระบวนการดึงข้อมูลบันทึกเหล่านี้เข้าสู่เครื่องมือวิเคราะห์ส่วนกลาง
ขั้นตอนที่ 2: การทำให้ข้อมูลเป็นมาตรฐาน
แม้ว่าบันทึกเหตุการณ์จะครอบคลุมทุกแง่มุมของโครงสร้างพื้นฐานของคุณ แต่ก็ยังประกอบไปด้วยแอปพลิเคชัน เซิร์ฟเวอร์ และฮาร์ดแวร์ที่แตกต่างกันอย่างมาก โดยแต่ละอย่างมีรูปแบบเฉพาะสำหรับการแสดงรายการบันทึกเหตุการณ์ บันทึกเหตุการณ์จากแหล่งต่างๆ อาจมีฟิลด์ข้อมูลและโครงสร้างข้อมูลที่แตกต่างกันอย่างมาก ขั้นตอนที่สองคือ SIEM การหาความสัมพันธ์คือการปรับค่าเหล่านี้ให้เป็นมาตรฐาน ซึ่งทำได้โดยการแยกวิเคราะห์บันทึกข้อมูลต่างๆ ให้เป็นรูปแบบที่สอดคล้องกันและได้มาตรฐาน
ยิ่งการปรับมาตรฐานข้อมูลบันทึกนี้มีประสิทธิภาพมากเท่าไร การทำงานก็จะยิ่งเร็วขึ้นเท่านั้น SIEM สามารถเริ่มต้นวิเคราะห์และประยุกต์ใช้เทคนิคการตรวจจับภัยคุกคามได้
ขั้นตอนที่ 3: การเชื่อมโยงข้อมูล
เมื่อระบบได้นำข้อมูลบันทึกทั้งหมดเข้ามาแล้ว กลไกการวิเคราะห์ความสัมพันธ์จึงสามารถตรวจสอบได้ว่าข้อมูลเหล่านั้นสอดคล้องกับรูปแบบทั่วไปอย่างไรบ้าง SIEM เครื่องมือทั่วไปสามารถระบุได้เพียงสตริงแต่ละรายการเท่านั้น แต่เครื่องมือขั้นสูงกว่าอย่างเช่นของ Stellar จะเพิ่มชั้นความสัมพันธ์ที่สองซึ่งพิจารณาคุณลักษณะอื่นๆ เช่น พารามิเตอร์คำขอและการตอบสนอง ซึ่งช่วยเสริมสร้างความสัมพันธ์ระหว่างพฤติกรรมและเอนทิตีที่เกี่ยวข้องให้แน่นแฟ้นยิ่งขึ้น
นี่เป็นระดับสูงพอสมควร ดังนั้นมาพิจารณาความสัมพันธ์ของข้อมูลในบริบทของการโจมตีจริงกัน: ลองพิจารณาความพยายามของผู้โจมตีในการเข้าถึงองค์กรโดยใช้ brute force ผ่านผู้ให้บริการ Identity and Access Management (IAM) พฤติกรรมที่เกี่ยวข้องอาจรวมถึงการพยายามเข้าสู่ระบบอย่างต่อเนื่องเพื่อขอสิทธิ์เข้าถึง (การดำเนินการ A) จากนั้นจึงเข้าสู่ระบบสำเร็จ (การดำเนินการ B) จากนั้นพวกเขาอาจดำเนินการเข้าถึงคอนโซลผู้ดูแลระบบและสร้างผู้ใช้ใหม่ที่มีสิทธิ์ที่สูงขึ้น หรือเริ่มการสแกนพอร์ตหลายรายการเพื่อสำรวจจุดอ่อนและทรัพยากรที่ละเอียดอ่อน เรียกการดำเนินการนี้ว่า C
การเชื่อมโยงตามกฎช่วยให้สามารถจัดเรียงเทคนิค กลยุทธ์ และขั้นตอน (TTP) แต่ละอย่างลงในลำดับได้ การเชื่อมโยงตามลำดับเหล่านี้สามารถกระตุ้นการดำเนินการตามกฎ ซึ่งจะส่งต่อไปยังนักวิเคราะห์ผ่านการแจ้งเตือน วิธีการเชื่อมโยงคุณลักษณะเหล่านี้เป็นตัวกำหนดความสามารถในการระบุตัวตนของระบบ SIEM เครื่องมือ
ความสัมพันธ์ตามกฎเกณฑ์กับพฤติกรรม
การกระทำที่เกี่ยวข้องกับการโจมตีที่เราเพิ่งกล่าวถึงนั้นสามารถค้นพบได้สองวิธี วิธีแรกคือผ่านกฎที่ระบุอย่างชัดเจนว่า 'หากการดำเนินการ A ตามด้วย B แล้วตามด้วย C ให้ส่งการแจ้งเตือน' วิธีนี้ได้ผลดีมากหากนักวิเคราะห์ทราบถึงความเป็นไปได้ของการโจมตีนี้ล่วงหน้า และมีแนวคิดคร่าวๆ ว่าผู้โจมตีอาจใช้ TTP อย่างไร
อย่างไรก็ตาม นี่ไม่ใช่แนวทางเดียว: การโจมตีแบบเดาสุ่มนั้นยังสามารถตรวจพบได้ด้วยกฎทั่วไปที่ว่า 'หากชุดการกระทำใด ๆ เบี่ยงเบนไปจากพฤติกรรมการตรวจสอบสิทธิ์ตามปกติของผู้ใช้ปลายทาง ให้แจ้งเตือน' กฎนี้อาศัย... SIEM การมีความเข้าใจเชิงประวัติศาสตร์เกี่ยวกับพฤติกรรมของผู้ใช้ปลายทางโดยทั่วไป สามารถทำได้แล้วในปัจจุบันด้วยการประมวลผลบันทึกข้อมูลส่วนกลางเหล่านั้นผ่านอัลกอริธึมการเรียนรู้ของเครื่อง ด้วยวิธีนี้ จึงสามารถสร้างรูปแบบพฤติกรรมของผู้ใช้ อุปกรณ์ และปริมาณการใช้งานในแต่ละวันได้อย่างง่ายดาย และสามารถใช้ความสัมพันธ์เชิงพฤติกรรมเป็นพื้นฐานสำหรับการวิเคราะห์ต่อไปได้ SIEM กฎเกณฑ์ต่างๆ การเชื่อมโยงพฤติกรรมมักถูกนำมาใช้เพื่อสร้าง 'คะแนนความเสี่ยง' ซึ่งนักวิเคราะห์จะกำหนดเกณฑ์ที่ยอมรับได้
เนื่องจากเรามีวิธีการระบุภัยคุกคามที่หลากหลายมากขึ้นเป็นสองเท่า จึงเป็นเรื่องสำคัญอย่างยิ่งที่จะต้องติดตามสถานการณ์อย่างต่อเนื่อง SIEM กฎเกณฑ์ที่กระชับและมีประสิทธิภาพสูง – เราจะมาพูดคุยถึงวิธีที่ดีที่สุดในการบรรลุเป้าหมายนี้ในหัวข้อถัดไป
ประโยชน์ของการ SIEM กฎความสัมพันธ์สำหรับการตรวจจับภัยคุกคาม
การตรวจจับภัยคุกคามตามลายเซ็น
การโจมตีส่วนใหญ่ไม่ได้มีความพิเศษอะไรมากนัก: ผู้โจมตีฉวยโอกาสคัดลอกโค้ดที่เป็นอันตรายนั้นพบเห็นได้บ่อยจนได้รับฉายาว่า 'script kiddies' นี่คือเหตุผลที่การโจมตีส่วนใหญ่... SIEM การป้องกันช่องโหว่การโจมตีทำได้โดยการตรวจจับตามลายเซ็น
ฐานข้อมูลลายเซ็นมัลแวร์กำลังขยายตัวอย่างต่อเนื่อง หนึ่งในฐานข้อมูลที่รู้จักกันดีที่สุดคือฐานข้อมูล M&TRE ATTACK ซึ่งระบุวิธีการโจมตีเฉพาะที่ผู้โจมตีใช้ และด้วยเหตุนี้จึงเป็นฐานข้อมูลแบบโอเพนซอร์สสำหรับผู้เชี่ยวชาญด้านความปลอดภัย SIEM กฎเกณฑ์เหล่านี้อาศัยการกำหนดรูปแบบของพฤติกรรมที่เป็นอันตรายที่ทราบกันดีอยู่แล้ว
อย่างไรก็ตาม ยิ่งแพร่หลายมากเท่าไหร่ ก็ยิ่งดีเท่านั้น SIEM กฎข้อนี้ก็คือ ยิ่งผู้โจมตีพยายามหลีกเลี่ยงกฎนั้นมากเท่าไหร่ ก็ยิ่งจะทำให้กฎการเชื่อมโยงข้อมูลกลายเป็นเกมการแข่งขันระหว่างผู้โจมตีและนักวิเคราะห์ความปลอดภัยมากขึ้นเท่านั้น และหากทีมรักษาความปลอดภัยเริ่มสร้างกฎมากเกินไป พวกเขาก็เสี่ยงที่จะถูกข้อมูลท่วมท้นไปด้วยปัญหา SIEM บวกเท็จ
Stellar Cyber ขจัดปัญหาเดิมๆ ที่เคยพบในวิธีการที่ใช้การหาความสัมพันธ์เพียงอย่างเดียว SIEMโดยการเพิ่มการวิเคราะห์ ML อีกชั้นหนึ่ง นักวิเคราะห์สามารถครอบคลุมประเด็นต่างๆ ให้ได้มากที่สุดเท่าที่จะเป็นไปได้ด้วยกฎความสัมพันธ์ จากนั้นการวิเคราะห์ชั้นที่สองจะประเมินบริบทที่กว้างขึ้นของแต่ละการแจ้งเตือนเพื่อพิจารณาความถูกต้อง
กฎที่กรอกไว้ล่วงหน้าสำหรับภัยคุกคามในโลกแห่งความเป็นจริง
กฎการเชื่อมโยงถูกสร้างขึ้นเพื่อระบุภัยคุกคามทั่วไปที่แฮกเกอร์ใช้ซ้ำแล้วซ้ำเล่าเพื่อพยายามเข้าถึงทรัพยากร อย่างไรก็ตาม ทีมไอทีขององค์กรหนึ่งๆ อาจไม่มีความเข้าใจที่ทันสมัยที่สุดเกี่ยวกับ TTP ในโลกแห่งความเป็นจริง ท้ายที่สุดแล้ว ข่าวกรองด้านภัยคุกคามต้องการการรวบรวม การประมวลผล และการใช้ข้อมูลเกี่ยวกับผู้กระทำที่เป็นอันตราย เทคนิค และตัวบ่งชี้การประนีประนอมอย่างต่อเนื่อง
นี่คือเหตุผลที่กฎการเชื่อมโยงที่จัดเตรียมไว้ล่วงหน้าจึงมีประโยชน์มาก: แนวทางที่จัดเตรียมไว้ล่วงหน้าเหล่านี้ถูกสร้างขึ้นจากมุมมองภาพรวมของอุตสาหกรรมของคุณและพื้นที่ภัยคุกคามที่กว้างขึ้น การเปลี่ยนแปลงพฤติกรรมแต่ละอย่างสามารถติดป้ายกำกับและเชื่อมโยงกับประเภทการแจ้งเตือนได้ ดังนั้นจึงลดลักษณะที่เกิดขึ้นเป็นระยะๆ ของการแจ้งเตือนบันทึกให้กลายเป็นภาพรวมที่กระชับยิ่งขึ้น
การปฏิบัติตามข้อมูลและการเข้าถึง
องค์กรในแทบทุกอุตสาหกรรมต้องแสดงให้เห็นว่าพวกเขาปฏิบัติตามกฎหมาย กฎ และข้อบังคับบางประการ ซึ่งกฎหมายเหล่านี้เปลี่ยนแปลงไปขึ้นอยู่กับอุตสาหกรรมที่คุณดำเนินการอยู่ สาขาต่างๆ ในยุโรปจำเป็นต้องจับตาดู GDPR ในขณะที่ธุรกิจที่เน้นการชำระเงินต้องปฏิบัติตาม PCI DSS
GDPR เป็นหนึ่งในกฎระเบียบที่เข้มงวดและครอบคลุมมากที่สุด โดยเรียกร้องให้มีการรักษาความปลอดภัยของข้อมูลในกระบวนการทางเทคนิคขององค์กร เนื่องจาก SIEM เนื่องจากระบบบันทึกข้อมูลครอบคลุมทรัพย์สินและบัญชีผู้ใช้ทั้งหมดขององค์กร จึงมีความเหมาะสมเป็นอย่างยิ่งที่จะบรรลุเป้าหมายนี้
นี่คือประโยชน์ที่แท้จริงของกฎการเชื่อมโยง: ความสามารถในการใช้งานอย่างครอบคลุม การส่งสัญญาณเตือนทุกครั้งที่พบชุดบันทึกข้อมูลที่ผิดปกติ จะช่วยให้นักวิเคราะห์ได้รับคำเตือนล่วงหน้าเกี่ยวกับปัญหาการปฏิบัติตามข้อกำหนดที่อาจเกิดขึ้น ความสามารถในการกำหนดกฎของคุณเองยังช่วยให้สามารถเขียนข้อกำหนดด้านการปฏิบัติตามกฎระเบียบลงในโครงสร้างความปลอดภัยของคุณได้ตั้งแต่เริ่มต้น หาก PCI DSS กำหนดให้คุณต้องอัปเดตซอฟต์แวร์ป้องกันมัลแวร์บนอุปกรณ์ปลายทางทั้งหมด ให้ดำเนินการตามกฎการเชื่อมโยงของคุณเอง SIEM กฎที่แจ้งเตือนคุณเมื่อโปรแกรมป้องกันมัลแวร์ไม่ได้อัปเดต (ขั้นสูงกว่า) SIEM เครื่องมือเหล่านี้ช่วยให้คุณสามารถทำให้กระบวนการทั้งหมดนี้เป็นไปโดยอัตโนมัติ พร้อมทั้งเก็บหลักฐานการกระทำต่างๆ ไว้ได้ ความเร็วที่เพิ่มขึ้นจากเครื่องมือเหล่านี้ SIEMสิ่งนี้มีความสำคัญอย่างยิ่งในบริบทของกฎระเบียบต่างๆ เช่น GDPR ซึ่งให้เวลาเพียง 72 ชั่วโมงในการแจ้งและแก้ไขเหตุการณ์ด้านความปลอดภัย
การตรวจจับการโจมตีหลายขั้นตอนและภัยคุกคามต่อเนื่องขั้นสูง (APT)
กฎการเชื่อมโยงแต่ละข้อนั้นค่อนข้างง่าย แต่ความละเอียดของบันทึกช่วยให้สามารถระบุและบรรเทาปัญหาได้ชัดเจนยิ่งขึ้น นี่คือจุดที่กฎแบบผสมสามารถระบุภัยคุกคามขั้นสูงได้อย่างดีเยี่ยม กฎเหล่านี้จะนำกฎหลายข้อมาซ้อนกันเพื่อเจาะจงพฤติกรรมเฉพาะภายในบริบทเฉพาะ ตัวอย่างเช่น หากความพยายามเข้าสู่ระบบ X ครั้งในเวิร์กสเตชันเดียวกัน (และที่อยู่ IP เดียวกัน) ล้มเหลวภายใน X นาทีและใช้ชื่อผู้ใช้ที่แตกต่างกัน และหากการเข้าสู่ระบบสำเร็จเกิดขึ้นบนคอมพิวเตอร์เครื่องใดก็ได้ภายในเครือข่ายและมาจากที่อยู่ IP เดียวกัน การแจ้งเตือนนี้จะทริกเกอร์
กฎเกณฑ์แบบผสมอาจมีความสำคัญต่อการตัดจุดเข้าใช้งาน APT นั่นคือเมื่อผู้บุกรุกได้รับสิทธิ์ในการเข้าถึงเครือข่ายขององค์กรในเบื้องต้น พบจุดเข้าถึงที่ปลอดภัย จากนั้นไม่ดำเนินการใดๆ กับจุดนั้น แม้ว่าภัยคุกคามอาจดูเหมือนไม่ร้ายแรง แต่มีแนวโน้มว่าพวกเขากำลังรอเวลาที่เหมาะสม หรืออาจซื้อช่องโหว่นี้ก็ได้ เมื่อผู้บุกรุกเลือกที่จะผ่านไฟร์วอลล์และขโมยข้อมูลหรือใช้มัลแวร์ เนื่องจากถือว่าบัญชีหรือการกระทำของพวกเขาปลอดภัย
กฎความสัมพันธ์แบบง่าย ๆ โดยทั่วไปไม่น่าเชื่อถือในการค้นหา APT หากนักวิเคราะห์ไม่ทราบถึง TTP ที่อาจเกิดขึ้น ก็ไม่น่าจะเป็นไปได้ที่จะค้นพบภัยคุกคามนั้นได้
ดังนั้นแนวทางที่เชื่อถือได้มากที่สุดคือก้าวข้ามกฎเกณฑ์แบบผสมไปอีกขั้นหนึ่ง: โมเดลพฤติกรรมสมัยใหม่ช่วยให้สามารถดึงการดำเนินการในอดีตมาใช้ในกลไกการวิเคราะห์ได้ การวิเคราะห์การรับส่งข้อมูลในเครือข่ายขาเข้าและขาออกอย่างต่อเนื่องจะช่วยให้สามารถระบุการเบี่ยงเบนใดๆ จากการดำเนินการที่ผู้ใช้คาดหวังไว้ว่ามีความเสี่ยง
แนวปฏิบัติที่ดีที่สุดสำหรับการก่อสร้าง SIEM กฎความสัมพันธ์
จัดลำดับความสำคัญกรณีการใช้งาน
เมื่อเริ่มปรับตัวครั้งแรก SIEM เพื่อธุรกิจของคุณ SIEM แนวปฏิบัติที่ดีที่สุดกำหนดให้คุณต้องมีความเข้าใจอย่างชัดเจนเกี่ยวกับกรณีการใช้งานที่เฉพาะเจาะจงของคุณ SIEM จะช่วยแก้ปัญหาได้ โดยจัดลำดับความสำคัญตามกรณีการใช้งานเหล่านี้ จำเป็นต้องปรับแต่งให้เหมาะสม และประเมินกฎสำเร็จรูปว่าเหมาะสมกับองค์กรของคุณมากน้อยเพียงใด จากนั้น คุณสามารถเริ่มแก้ไขหรือเพิ่มเติมกฎความสัมพันธ์ในแต่ละส่วนที่แคบลงได้
หากคุณไม่ทราบว่าเทคนิคการโจมตีเฉพาะใดที่อาจนำมาใช้กับคุณได้ ให้ตรวจสอบ MITER ATT&CK or โซ่สังหารไซเบอร์ของล็อกฮีดทั้งคู่ทำงานอย่างหนักในการจัดทำรายการแนวทางและช่องโหว่เฉพาะของผู้โจมตีอย่างละเอียดเป็นพิเศษ
ใช้ประโยชน์จากไฟร์วอลล์ของคุณ
-
- A “เซิร์ฟเวอร์ชื่อปลอม” กฎควรตรวจสอบอุปกรณ์ใดๆ ที่พยายามเข้าถึงแอปพลิเคชัน DNS ด้วยปลายทางอื่นนอกเหนือจากเซิร์ฟเวอร์ DNS ภายในองค์กร อุปกรณ์ภายในควรได้รับการกำหนดค่าให้ใช้เฉพาะเซิร์ฟเวอร์ DNS ภายในองค์กร ซึ่งจะเข้าถึงอินเทอร์เน็ตตามความจำเป็นเพื่อระบุโดเมนที่ไม่รู้จัก
- A “เซิร์ฟเวอร์พร็อกซีปลอม” กฎควรสังเกตไฟร์วอลล์รอบนอกสำหรับการรับส่งข้อมูลใดๆ จากซับเน็ต LAN ที่มุ่งหน้าสู่อินเทอร์เน็ตบนพอร์ต TCP 80/443 หรือสำหรับการท่องเว็บและแอปพลิเคชัน SSL โดยหลักการแล้ว ควรอนุญาตเฉพาะการรับส่งข้อมูลจากเซิร์ฟเวอร์พร็อกซีที่กำหนดเท่านั้น IP แหล่งอื่นๆ ที่พยายามเชื่อมต่อประเภทนี้อาจบ่งชี้ถึงความพยายามในการหลบเลี่ยงความปลอดภัย ไม่ว่าจะเป็นโดยผู้ใช้หรือมัลแวร์
- A “การจราจรของ BOTNET” กฎนี้สามารถระบุซอฟต์แวร์คำสั่งและการควบคุม (C2) รุ่นเก่าที่ใช้ Internet Relay Chat (IRC) เพื่อการจัดการ แม้ว่า IRC จะไม่ใช่สิ่งที่เป็นอันตรายโดยเนื้อแท้ แต่การมีอยู่ของ IRC ในเครือข่ายองค์กรมักน่าสงสัย กฎนี้ควรส่งการแจ้งเตือนหากโฮสต์ต้นทางหรือปลายทางกำลังใช้ IRC แม้ว่าคอมพิวเตอร์สำหรับการดูแลระบบเครือข่ายบางเครื่องอาจต้องมีการยกเว้น
ลดจำนวนพอร์ตที่เปิดอยู่
ตามค่าเริ่มต้น เซ็นเซอร์ที่คอยฟังที่พอร์ต 514 จะวิเคราะห์บันทึกขาเข้า ซึ่งจะช่วยระบุอุปกรณ์ต้นทางได้ การระบุพอร์ตที่ตรงเป้าหมายมากขึ้นสำหรับประเภทบันทึกของคุณแทนที่จะใช้พอร์ต 514 มีข้อดีหลายประการ โดยจะช่วยเร่งการรวบรวมข้อมูลและการแยกวิเคราะห์บันทึก ซึ่งช่วยปรับปรุงประสิทธิภาพของเซ็นเซอร์ เนื่องจากเซ็นเซอร์สามารถระบุอุปกรณ์ต้นทางได้ทันที สุดท้ายแต่ไม่ท้ายสุด การใช้พอร์ตที่ถูกต้องเป็นฐานของกฎความสัมพันธ์เป็นสิ่งสำคัญอย่างยิ่งในการรักษาข้อมูลบันทึก
ให้เลือกพอร์ตที่เหมาะสมแทนขึ้นอยู่กับรูปแบบ:
- Common Event Format (CEF), Log Event Extended Format (LEEF) หรือ JSON: สำหรับประเภทบันทึกเหล่านี้ ให้ส่งต่อข้อมูลไปยังพอร์ตที่กำหนดสำหรับมาตรฐานนั้น
- บันทึกรูปแบบ Syslog มาตรฐาน: ใช้พอร์ตที่กำหนดไว้สำหรับผู้จำหน่ายเฉพาะ
- สำหรับรูปแบบเฉพาะเช่น Syslog รวมกับนิพจน์ทั่วไป คู่คีย์-ค่า หรือ CSV ให้ใช้พอร์ตเฉพาะของผู้จำหน่าย
การล่าภัยคุกคาม
การนำการค้นหาภัยคุกคามเชิงรุกมาใช้ร่วมกับการกำหนดค่าที่เหมาะสม SIEM ระบบนี้ช่วยเพิ่มขีดความสามารถในการตรวจจับภัยคุกคามได้อย่างมาก และเพิ่มพลังการวิเคราะห์จากการวิเคราะห์บันทึกข้อมูลอัตโนมัติอย่างมีนัยสำคัญ แม้ว่าระบบจะได้รับการปรับแต่งอย่างเหมาะสมแล้วก็ตาม SIEM สามารถตรวจสอบและแจ้งเตือนภัยคุกคามที่รู้จักหลายประเภทได้อย่างมีประสิทธิภาพ การเพิ่มระบบค้นหาภัยคุกคามอัตโนมัติช่วยให้สามารถตรวจจับการโจมตีที่ซับซ้อน เปลี่ยนแปลง หรือซ่อนเร้น ซึ่งอาจหลีกเลี่ยงกฎการเชื่อมโยงมาตรฐานได้
การล่าภัยคุกคาม SIEM เช่นเดียวกับที่ Stellar Cyber จำลองศักยภาพการโจมตีในโลกแห่งความเป็นจริงของสัญญาณเตือนหรือความผิดปกติหลังจากที่ถูกสร้างขึ้น กระบวนการตรวจสอบความถูกต้องอย่างต่อเนื่องนี้ช่วยให้มั่นใจได้ว่ากฎการเชื่อมโยงมีความแม่นยำ ปรับเปลี่ยนได้ และมีประสิทธิภาพต่อวิธีการโจมตีที่เกิดขึ้นใหม่ นอกจากนี้ยังส่งผลต่อวิธีการจัดลำดับความสำคัญของสัญญาณเตือน และเป็นพื้นฐานสำหรับนักวิเคราะห์ในการค้นหาภัยคุกคามด้วยตนเอง นักวิเคราะห์สามารถค้นหาผ่านบันทึกแซนด์บ็อกซ์มัลแวร์เพื่อระบุการโจมตีที่พยายามกระทำ ทำให้พวกเขามีมุมมองที่รอบด้านมากขึ้นเกี่ยวกับการโจมตีที่ใช้กับพวกเขา
บูรณาการเพื่อการตอบสนองอย่างรวดเร็ว
การบูรณาการ a SIEM การผสานรวมเข้ากับเทคโนโลยีโดยรวมจะช่วยเพิ่มความสามารถในการตรวจจับ วิเคราะห์ และตอบสนองต่อภัยคุกคามได้อย่างมีประสิทธิภาพ ซึ่งอาจรวมถึงการเชื่อมโยง... SIEM ด้วยเครื่องมือต่างๆ เช่น ระบบตรวจจับและตอบสนองภัยคุกคามปลายทาง (EDR), แพลตฟอร์มข่าวกรองภัยคุกคาม, ระบบตอบสนองต่อเหตุการณ์ และโซลูชันการจัดการ การทำงานอัตโนมัติ และการตอบสนองด้านความปลอดภัย (SOAR) ยิ่งไปกว่านั้น การบูรณาการกับเครื่องมือรักษาความปลอดภัยยังปูทางไปสู่การตอบสนองต่อภัยคุกคามแบบอัตโนมัติ ซึ่งเป็นเป้าหมายหลักของ Stellar Cyber
ก้าวข้ามกฎพื้นฐานด้วยเคสของ Stellar Cyber
Stellar Cyber ใช้แนวทางหลายโหมดในการสร้างกฎ: นำเสนอชุดกฎความสัมพันธ์ที่ซ้อนกันและการวิเคราะห์พฤติกรรมที่ขับเคลื่อนด้วย ML ทำให้ใช้ประโยชน์จากบันทึกทั้งหมดที่สร้างขึ้นทั่วทั้งองค์กรของคุณได้อย่างเต็มที่ การแจ้งเตือนจะถูกสร้างขึ้นเมื่อข้อมูลบันทึกเรียกใช้กฎแต่ละข้อ แต่ Stellar จะเชื่อมโยงสิ่งเหล่านี้เป็นกรณีรวม โดยแต่ละกรณีแสดงถึงชุดของการแจ้งเตือนที่อาจเชื่อมโยงกันภายในโครงสร้างข้อมูลเดียว จากนั้น นักวิเคราะห์จะได้รับชุดคู่มือและตัวเลือกการแก้ไขที่ออกแบบมาเพื่อลด MTTR ให้เหลือน้อยที่สุด
การตรวจสอบการแจ้งเตือนแบบไขว้ของ Stellar Cyber ช่วยให้สามารถวิเคราะห์ข้อมูลได้อย่างละเอียดมากขึ้น ทำให้ผู้วิเคราะห์สามารถระบุได้ว่าพวกเขากำลังจัดการกับการโจมตีจริง พฤติกรรมเสี่ยงสูง หรือเหตุการณ์ที่เกิดขึ้นโดยบังเอิญ ดูวิธีตั้งค่าการตอบสนองอัตโนมัติและบล็อกการรับส่งข้อมูลที่เป็นอันตรายได้ทันที พร้อมสาธิตวันนี้
