Matapos gumugol ng malaking oras sa SIEM industriya, nakakita ako ng mga pattern at ebolusyon na tumutukoy sa tanawin. Isa sa mga pinakakapansin-pansing pagbabago ay ang paglipat mula sa tradisyonal, monolitikong SIEM mga pag-deploy sa mas flexible at scalable na mga solusyon na nagbibigay-daan sa mga organisasyon na umangkop at lumago nang walang makabuluhang pagbabago.
Ang Ebolusyon ng SIEM Imbakan
Sa kasaysayan, SIEM Ang mga solusyon tulad ng ArcSight ay nangangailangan ng isang nakalaang Oracle Database upang gumana. Naaalala ko ang mga araw na ang isang malaking SUN server na nagpapatakbo ng Oracle ay nakatuon lamang sa pag-iimbak ng mga log at mga kaganapan sa seguridad. Ang vertical scaling na ito ang tanging paraan upang pamahalaan ang tumataas na mga load ng data. Gayunpaman, habang lumalaki ang dami ng data, nakita ng merkado ang pagdating ng mga solusyon sa pamamahala ng log na ginawa para sa layunin na nagbibigay-daan sa horizontal scaling.
Ang Splunk, Loglogic at ArcSight Logger ay kabilang sa mga nangunguna, na lumikha ng mga unang data lake layer para sa imbakan. Ang mga solusyong ito ay sentralisadong imbakan ng data, na nagpapahintulot SIEM mga plataporma upang tumuon sa ugnayan at analytics sa halip na sa mga komplikasyon ng pamamahala ng datos.
Pumasok sa Panahon ng Multi-Data Platform SIEM
Mabilis na lumipas ang 15 taon, at nasa panahon na tayo ngayon ng multi-data platform SIEMKinikilala ng mga solusyong ito ang puwersa ng grabidad ng datos—isang metaporikal na konsepto kung saan ang datos ay umaakit ng iba pang datos at mga aplikasyon patungo sa sarili nito, katulad ng kung paano ang isang napakalaking bagay sa kalawakan ay umaakit sa iba gamit ang grabidad nito.
Moderno SIEM Yakap ng mga solusyon ang konsepto ng data gravity upang maiwasan ang pagiging kumplikado at gastos ng mga proseso ng rip-and-replace. Sa halip, nag-aalok sila ng isang mahalagang proposisyon ng halaga: walang putol na pagdaragdag ng isang analytics layer sa mga umiiral na data lake. Tinitiyak ng pamamaraang ito ang pinakamainam na pagganap, nabawasang gastos sa pag-iimbak/pagpapanatili, at pinasimpleng pamamahala ng data sa pamamagitan ng pagpapanatili ng data at mga aplikasyon na malapit sa kanilang pinagmulan.
Dalhin ang Iyong Sariling Data Lake (BYODL)
Ang kamakailang anunsyo ng Stellar Cyber tungkol sa suportang “Bring Your Own Data Lake” (BYODL) ay nagmamarka ng isang mahalagang hakbang sa ebolusyong ito. Ang mga organisasyong nag-standardize ng kanilang imbakan ng data sa mga platform tulad ng Splunk, Snowflake, Elastic, o AWS ay maaari na ngayong maayos na maisama ang AI-driven ng Stellar Cyber. Open XDR plataporma gamit ang mga data storage na ito nang walang rip-and-replace. Ang pamamaraan ng Stellar Cyber sa pagsasamantala sa umiiral na data lake ay nagbibigay-diin sa kahalagahan ng na-optimize na data ingestion, data pre-processing, tulad ng normalization at enrichment bago ganap na magamit ang data para sa automated threat detection sa pamamagitan ng machine learning o contextualized alert investigation. Narito kung bakit ang structured approach na ito ay nag-aalok ng malinaw na bentahe kumpara sa mga tradisyonal na pamamaraan:
Na-optimize na Ingest at Turnkey Integration
Ang decoupled deployment ng Stellar Cyber ay nagsisimula sa na-optimize na pagkolekta at pag-filter ng data. Tinitiyak nito na ang data na may kaugnayan sa seguridad at mataas na kalidad lamang ang pumapasok sa system, na binabawasan ang ingay at pinapahusay ang ratio ng signal-to-noise. Ang mga agarang benepisyo ay kinabibilangan ng:
- Pinahusay na Pagganap: Sa pamamagitan ng pag-filter ng walang kaugnayang data sa maagang bahagi ng proseso, ang system ay maaaring gumana nang mas mahusay, na binabawasan ang pagkarga sa mga proseso sa ibaba ng agos.
- Pinahusay na Kalidad ng Data: Ang pagtiyak na malinis at may-katuturang data lamang ang natutunaw ay binabawasan ang mga pagkakataon ng mga maling positibo at pinapahusay ang katumpakan ng analytics.
Normalisasyon at Pagpapayaman
Kapag nakolekta na ang data, ginagawang normal at pinapayaman ito ng Stellar Cyber, nagdaragdag ng mahalagang konteksto gaya ng threat intelligence, geolocation, impormasyon ng user, at mga detalye ng kahinaan. Ang hakbang na ito ay mahalaga para sa ilang kadahilanan:
- Nakakonteksto na Data: Ang pinayamang data ay nagbibigay ng mas mayamang konteksto para sa mga kaganapang panseguridad, na ginagawang mas madaling iugnay at pag-aralan ang mga potensyal na banta.
- Streamline na Pagsusuri: Nagbibigay-daan ang normalized na data para sa pare-pareho at tumpak na pag-query, na nagbibigay-daan sa mga security analyst na magsagawa ng mas epektibong mga pagsisiyasat. Nagbibigay-daan din ito sa parehong machine-learning algorithm na mailapat sa maraming data source na may iba't ibang orihinal na format.
Pagtuklas at Analytics
Pinapakinabangan ng diskarte ng Stellar Cyber ang paggamit ng malinis at pinayaman na data para sa mga tool sa pag-detect at analytics. Ang pagsasamang ito ay nag-aalok ng:
- Out-of-the-Box na Analytics: Ang mga tool sa analytics na handa nang gamitin na pinapagana ng machine learning ay maaaring mabilis na mabawi at masuri ang structured data, na nagbibigay-daan para sa mabilis na pagtuklas at pagtugon sa pagbabanta.
- Pinababang Kumplikado: Sa pamamagitan ng pagkakaroon ng standardized na format ng data, nagiging diretso ang pagsasama sa pagitan ng data lake at analytical tool, na binabawasan ang pangangailangan para sa mga custom na pagsasama at ad-hoc na solusyon.
Flexible na Pamamahala ng Data para sa Kahusayan sa Gastos
Ang flexible na diskarte sa pamamahala ng data ng Stellar Cyber ay nagbibigay-daan sa mga organisasyon na magpasya kung magpapadala lamang ng mga alerto o lahat ng na-normalize at pinagyayamang kaganapan sa isang third-party na data lake. Ang kakayahang umangkop na ito ay mahalaga para sa pag-optimize ng pagkonsumo ng mga third-party na data lake, lalo na ang mga may mataas na gastos tulad ng Splunk. Kabilang sa mga pangunahing benepisyo ang:
- Kahusayan sa Gastos: Sa pamamagitan ng piling pag-iimbak lamang ng mataas na kalidad at kapaki-pakinabang na data, ang mga organisasyon ay maaaring makabuluhang bawasan ang mga hindi kinakailangang gastos sa pag-iimbak ng data. Tinitiyak nito na ang mga pamumuhunan sa imbakan ay na-optimize, na iniiwasan ang mga gastos na nauugnay sa pagpapanatili ng napakaraming hindi nauugnay na data.
- Pinahusay na Kalidad ng Data: Ang pag-iimbak lamang ng normal at pinayaman na data ay nagsisiguro na ang data lake ay naglalaman ng mataas na integridad, mahalagang impormasyon. Pinapabuti nito ang kahusayan ng pag-query at pagkuha ng data, na ginagawang mas madali ang pagkuha ng mga makabuluhang insight at pagpapahusay ng pangkalahatang mga kakayahan sa analytics ng data.
Pinahusay na Mga Custom na Application
Nakikinabang din ang structured at enriched na data sa data lake sa mga custom na application na maaaring mangailangan ng access sa data ng seguridad. Kabilang sa mga pangunahing bentahe ang:
- Na-optimize na Pangangaso ng Banta: Pinapasimple ng mataas na kalidad, standardized na data na may konteksto ang proseso ng pag-query at pagkuha ng nauugnay na impormasyon.
- Mas mahusay na Pag-uulat: Ang pagtiyak na ang mga custom na application tulad ng pag-uulat ay tumatanggap ng malinis at pinayamang data na nagpapahusay sa kanilang pagganap at katumpakan, na humahantong sa mas mahusay na pangkalahatang mga resulta ng seguridad.
Paghahambing sa mga Tradisyunal na Pamamaraan
Sa kabaligtaran, ang tradisyonal na hybrid SIEM Ang mga pag-deploy ay kadalasang nahaharap sa mga makabuluhang hamon:
- Pagsasama ng Ad-Hoc: Ang pagsasama ng raw data sa mga tool sa pag-detect at analytics ay kadalasang nangangailangan ng mga custom, ad-hoc na solusyon, pagtaas ng pagiging kumplikado at overhead ng pagpapatakbo.
- Mga Espesyal na Pagtuklas: Kung walang na-normalize at pinayaman na data, nagiging mas mahirap ang paggawa ng mga epektibong panuntunan sa pag-detect at analytics sa pamamagitan ng machine learning, na nangangailangan ng mga espesyalisado at pasadyang solusyon.
- Mga Isyu sa Raw Data: Ang direktang pagsasama ng mga raw data lakes sa mga tool sa pag-detect ay maaaring humantong sa mga inefficiencies at mga kamalian, dahil kulang ang data ng kinakailangang konteksto at normalisasyon.
Konklusyon
Ang istrukturadong pamamaraan ng Stellar Cyber sa BYODL nito ng pagproseso at pagsusuri ng datos bago ang pagkonsumo at pag-iimbak ay nag-aalok ng malinaw na mga bentahe sa mga tuntunin ng pagganap, katumpakan, at kahusayan sa pagpapatakbo. Gamit ang Stellar Cyber, maaaring mapahusay nang malaki ng mga organisasyon ang kanilang seguridad at gawing mas maayos ang kanilang... SIEM mga operasyon na may pinagsama-samang imbakan ng datos sa pamamagitan ng pagtiyak na ang datos ay malinis, na-normalize, at pinayaman bago ito iimbak at/o pagkatapos ng pagtukoy at pagsusuri sa pamamagitan ng machine learning. Binabawasan ng pamamaraang ito ang pagiging kumplikado at gastos at pinapakinabangan ang halagang nakukuha mula sa datos ng seguridad, na nagbibigay ng matibay na pundasyon para sa epektibong pagtukoy at pagtugon sa banta.
Maaaring maging game-changer ang paggamit ng naturang structured na diskarte para sa mga organisasyong naghahanap upang i-optimize ang kanilang mga operasyon sa seguridad at gamitin ang buong potensyal ng kanilang mga data lake.
Hot Takes:
- Ang Clean Data ay Hari: Ang kalidad ng iyong SIEMAng mga output ng data ay direktang proporsyonal sa kalidad ng data na kinokonsumo nito. Ang pagtiyak na malinis at mayaman ang iyong data lake bago ito makarating sa iyong mga detection at analytics tool ay mahalaga para sa tumpak na pagtukoy ng banta at mahusay na operasyon.
- Binabawasan ng Seamless Integration ang pagiging kumplikado: Tinitiyak ng isang structured na diskarte na nag-normalize ng data ang tuluy-tuloy na pagsasama sa pagitan ng iyong data lake at mga analytical na tool. Binabawasan nito ang pangangailangan para sa mga custom, ad-hoc na solusyon, at pinapadali ang mga operasyon.
- Scalability nang walang pananakit ng ulo: Ang paggamit ng nakabalangkas na datos sa isang pinagsama-samang pamamaraan ng data lake ay nagbibigay-daan sa pahalang na pag-scale nang walang kasalimuotan at gastos na nauugnay sa mga tradisyonal na pamamaraan ng rip-and-replace. Tinitiyak nito ang iyong SIEM maaaring lumago ang solusyon kasabay ng mga pangangailangan ng iyong organisasyon.
Pagsasara ng saloobin
Handa nang itaas ang iyong seguridad gamit ang isang nababaluktot na SIEM solusyon? Narito ang aming pangkat ng mga eksperto upang tulungan kang mag-navigate sa mga opsyon at iangkop ang isang diskarte sa pag-deploy na gagana para sa iyo. Makipag-ugnayan sa amin ngayon o mag-iskedyul ng isang personalized na konsultasyon at gawin nating matatag, madaling umangkop, at handa ang iyong seguridad para sa anumang bagay.
Para matuto pa tungkol sa Bring Your Own Data Lake, basahin ang kasamang blog or makipag-ugnayan sa Stellar Cyber para mag-set up ng personal na konsultasyon sa mga eksperto sa platform.
