Talaan ng nilalaman
Ano ang SIEM? Kahulugan, Mga Bahagi at Kakayahan
Ang mga cyberthreats ay pumasok sa isang bagong edad ng paglikha at pag-deploy. Nauudyok man ng internasyonal na salungatan o kita sa pananalapi, ang kakayahan ng mga grupo na pakialaman ang mga kritikal na bahagi ng imprastraktura ay hindi kailanman naging mas malaki. Ang mga panlabas na pang-ekonomiyang panggigipit at internasyonal na tensyon ay hindi lamang ang mga salik na nagpapataas ng panganib sa cyberattack: ang dami ng mga konektadong device at software nang madali. lumampas sa apat na numero para sa mga naitatag na negosyo.
Nilalayon ng Security Information and Event Management (SIEM) na gamitin ang dami ng data na nabuo ng napakalaking tech stack at i-on ang mga talahanayan sa mga umaatake. Sasaklawin ng artikulong ito ang kahulugan ng SIEM, kasama ng mga praktikal na aplikasyon ng SIEM na ginagawang magkakaugnay, sensitibo sa konteksto ang magkakaibang stack.
Paano Gumagana ang SIEM?
Sa kaibuturan nito, pinagsasama ng SIEM ang pamamahala ng impormasyon sa seguridad (SIM) at pamamahala ng kaganapan sa seguridad (SEM) sa isang pinag-isang sistema. Pinagsasama-sama nito, naghahanap, at nag-uulat ng data mula sa buong network na kapaligiran, na ginagawang madaling maunawaan ang napakaraming impormasyon para sa pagsusuri ng tao. Ang pinagsama-samang data na ito ay nagbibigay-daan para sa mga detalyadong pagsisiyasat at pagsubaybay sa mga paglabag sa seguridad ng data. Sa esensya, ang teknolohiya ng SIEM ay gumaganap bilang isang holistic na sistema ng pamamahala ng seguridad, patuloy na sinusubaybayan at tumutugon sa mga potensyal na banta sa real time.
6 Pangunahing Bahagi at Kakayahan ng SIEM
#1. Pamamahala ng Log
- Ahente: Naka-embed sa mga server ng target na pinagmulan, ang mga ahente ng software ng SIEM ay nagpapatakbo bilang mga hiwalay na serbisyo, na nagpapadala ng mga nilalaman ng log sa solusyon ng SIEM.
- Mga Koneksyon sa API: Kinokolekta ang mga log sa pamamagitan ng mga endpoint ng API, gamit ang mga key ng API. Ang paraang ito ay madalas na ginagamit para sa mga third-party at cloud application.
- Mga Pagsasama ng Application: Matatagpuan sa panig ng SIEM, pinangangasiwaan ng mga pagsasamang ito ang data sa magkakaibang mga format at gumagamit ng mga partikular na protocol mula sa mga source system. Kinukuha nila ang mga nauugnay na field at gumagawa ng mga visualization na iniakma para sa mga partikular na kaso ng paggamit. Nag-aalok din ang maraming integration ng mga pre-built na visualization para sa iba't ibang mga sitwasyon.
- Mga Webhook : Ginagamit ang paraang ito upang ipasa ang data mula sa solusyon ng SIEM patungo sa isa pang platform, na na-trigger ng isang panuntunan. Halimbawa, ang isang pagsasama sa Slack ay maaaring magpadala ng mga alerto sa isang itinalagang channel, na nag-aabiso sa isang pangkat ng isang isyu na nangangailangan ng pagsisiyasat.
- Custom-Written Scripts: Ang mga inhinyero ay maaaring magsagawa ng mga naka-iskedyul, na-customize na mga script upang mangolekta ng data mula sa mga source system. Ang mga script na ito ay nag-format ng data ng log at ipinadala ito sa software ng SIEM bilang bahagi ng proseso ng pagsasama.
Bilang karagdagan, tinitiyak ng mga tool ng SIEM ang pag-iimbak at pagpapanatili ng data ng log sa isang sentralisadong repositoryo para sa mga pinalawig na panahon. Ang kakayahang ito ay nagpapatunay na napakahalaga para sa mga forensic na pagsisiyasat, pagsusuri sa kasaysayan, at pagsunod sa pagsunod, na nagsisilbing isang mahalagang mapagkukunan para sa pagpapanatili ng isang masusing talaan ng mga kaganapan sa paglipas ng panahon.
#2. Threat Intelligence at Detection
Sa larangan ng pangangaso ng pagbabanta, ang data ay ang linchpin para sa tagumpay. Kung walang malinaw na pagtingin sa mga aktibidad ng system, ang epektibong tugon ay nagiging hindi matamo. Ang desisyon kung aling mga system ang kukuha ng data ay kadalasang nakasalalay sa analytical na saklaw - kung saan ang SIEM ay nag-aalok ng isa sa pinakamalawak na saklaw na magagamit.
#3. Mga Notification at Alerto
Ang mga alerto sa SIEM ay inuri batay sa kanilang kalubhaan at kahalagahan.
Ang ilan sa mga pinakakaraniwang pag-trigger ng alerto ay:
- Maramihang Nabigong Pagsubok sa Pag-login: Na-trigger ng maraming hindi matagumpay na pagsubok sa pag-log in mula sa iisang pinagmulan, ang alertong ito ay mahalaga para sa pag-detect ng mga potensyal na malupit na pag-atake o hindi awtorisadong mga pagtatangka sa pag-access.
- Mga Lockout ng Account: Ang paghantong ng mga nabigong pagtatangka sa pag-log in, ang isang account na naka-lock ay nagpapahiwatig ng isang potensyal na banta sa seguridad. Nakakatulong ang alertong ito na matukoy ang mga nakompromisong kredensyal o hindi awtorisadong mga pagtatangka sa pag-access.
- Kahina-hinalang Gawi ng User: Itinaas kapag ang mga pagkilos ng user ay lumihis mula sa kanilang karaniwang mga pattern, tulad ng pag-access sa mga hindi pangkaraniwang mapagkukunan o pagbabago ng mga pahintulot, ang alertong ito ay mahalaga para sa pagtukoy ng mga banta ng tagaloob o mga nakompromisong account.
- Malware o Virus Detection: Maaaring matukoy ng mga alerto ng SIEM ang kilalang malware o mga virus sa pamamagitan ng pagsubaybay sa kahina-hinalang gawi o mga lagda ng file, na nagbibigay-daan sa napapanahong pag-iwas at pagliit ng potensyal na pinsala.
- Hindi Pangkaraniwang Trapiko sa Network:Na-trigger ng hindi normal na dami o pattern ng aktibidad ng network, tulad ng biglaang pagtaas ng mga paglilipat ng data o koneksyon sa mga naka-blacklist na IP address, ang alertong ito ay nagpapahiwatig ng mga potensyal na pag-atake o hindi awtorisadong pag-exfiltrate ng data.
- Pagkawala o Pag-leakage ng Data: Nabuo kapag ang sensitibong data ay inilipat sa labas ng organisasyon o na-access ng isang hindi awtorisadong user, ang alertong ito ay mahalaga para sa pagprotekta sa intelektwal na ari-arian at pagtiyak ng pagsunod sa mga regulasyon sa proteksyon ng data.
- Downtime ng System o Serbisyo: Itinaas sa panahon ng mga pagkagambala sa mga kritikal na sistema o serbisyo, ang alertong ito ay mahalaga para sa agarang kaalaman, pagsisiyasat, at pagpapagaan upang mabawasan ang mga epekto sa mga operasyon ng negosyo.
- Pagtuklas ng panghihimasok: Maaaring matukoy ng mga alerto ng SIEM ang mga potensyal na pagtatangka ng panghihimasok, tulad ng hindi awtorisadong pag-access o pagsasamantala sa mga pagtatangka laban sa mga mahihinang sistema, na gumaganap ng mahalagang papel sa pagpigil sa hindi awtorisadong pag-access at pag-iingat ng sensitibong impormasyon.
#4. Intelligent Incident Identification
Madalas ikompromiso ng mga SIEM ang kanilang bilis at katapatan dahil sa matinding pagtatangka na maging kumpleto sa saklaw ng tampok.
Sa pangunahin, ang mga panuntunang ito – na itinakda ng Security Operations Center (SOC) ng isang organisasyon – ay nagdudulot ng dalawahang hamon. Kung napakakaunting mga panuntunan ang natukoy, ang panganib na matanaw ang mga banta sa seguridad ay tumataas. Sa kabilang banda, ang pagtukoy ng labis na mga panuntunan ay humahantong sa pag-akyat sa mga maling positibo. Ang kasaganaan ng mga alerto na ito ay nagpipilit sa mga analyst ng seguridad sa isang pag-aagawan upang siyasatin ang maraming mga alerto, na ang karamihan ay nagpapatunay na hindi mahalaga. Ang nagreresultang pag-agos ng mga maling positibo ay hindi lamang kumukonsumo ng mahalagang oras ng kawani ngunit pinapataas din ang posibilidad na matanaw ang isang lehitimong banta sa gitna ng ingay.
Para sa pinakamainam na benepisyo sa seguridad ng IT, dapat lumipat ang mga panuntunan mula sa kasalukuyang static na pamantayan patungo sa mga adaptive na kundisyon na awtomatikong bumubuo at nag-a-update. Ang mga adaptive na panuntunang ito ay dapat na patuloy na mag-evolve sa pamamagitan ng pagsasama ng pinakabagong impormasyon sa mga kaganapan sa seguridad, threat intelligence, konteksto ng negosyo, at mga pagbabago sa IT environment. Bukod dito, kinakailangan ang isang mas malalim na antas ng mga panuntunan, na nilagyan ng kakayahang magsuri ng pagkakasunod-sunod ng mga kaganapan sa paraang katulad ng mga analyst ng tao.
Maliksi at razor-sharp, ang mga dynamic na automation system na ito ay mabilis na nakikilala ang mas maraming banta, pinapaliit ang mga maling positibo, at binabago ang kasalukuyang dalawahang hamon ng mga panuntunan sa isang napakaepektibong tool. Pinahuhusay ng pagbabagong ito ang kanilang kapasidad na pangalagaan ang parehong mga SMB at negosyo mula sa magkakaibang banta sa seguridad.
#5. Pagsusuri ng Forensic
Gayunpaman, ang koponan ay nangangailangan ng oras upang maging bihasa sa mga bagong tool at i-configure ang mga ito nang epektibo, na tinitiyak na ang organisasyon ay nakahanda nang husto upang ipagtanggol laban sa mga banta sa cybersecurity at mga potensyal na pag-atake. Ang paunang yugto ay nagsasangkot ng patuloy na pagsubaybay, na nangangailangan ng isang solusyon na may kakayahang subaybayan ang maraming data ng log na nabuo sa buong network. Isipin ang isang komprehensibong 360-degree na pananaw na katulad ng isang circular guard sentry station.
Ang kasunod na hakbang ay nagsasangkot ng paglikha ng mga query sa paghahanap na sumusuporta sa iyong mga analyst. Sa pagsusuri ng mga programang panseguridad, dalawang pangunahing sukatan ang madalas na isinasaalang-alang: Mean Time to Detect (MTTD), pagsukat sa oras na kinakailangan upang matukoy ang isang insidente sa seguridad, at Mean Time to Respond (MTTR), na kumakatawan sa oras na kinakailangan upang ayusin ang insidente pagkatapos pagtuklas. Bagama't umunlad ang mga teknolohiya sa pag-detect sa nakalipas na dekada, na nagreresulta sa isang makabuluhang pagbaba sa MTTD, nananatiling mataas ang Mean Time to Respond (MTTR). Upang matugunan ito, ang pagpapalaki ng data mula sa iba't ibang mga sistema na may mayaman na konteksto sa kasaysayan at forensic ay napakahalaga. Sa pamamagitan ng paglikha ng isang solong sentralisadong timeline ng mga kaganapan, pagsasama ng ebidensya mula sa maraming mapagkukunan, at pagsasama sa SIEM, ang timeline na ito ay maaaring ma-convert sa mga log at ma-upload sa AWS S3 bucket na pinili, na nagpapadali sa isang mas mahusay na pagtugon sa mga insidente ng seguridad.
#6. Pag-uulat, Pag-audit at Mga Dashboard
Paano Inihahambing ang SIEM sa Iba Pang Mga Tool
Pokus | Pag-andar | Gamitin ang Kaso | |
---|---|---|---|
SIEM | Pangunahing nakasentro sa pagtatasa ng data ng log at kaganapan para sa pagtukoy at pagsunod sa pagbabanta. | Pinagsasama-sama, iniuugnay, at sinusuri ang data upang makabuo ng mga alerto at ulat. | Tamang-tama para sa pagsubaybay at pagtugon sa mga insidente ng seguridad batay sa mga paunang natukoy na panuntunan. |
KAYA | Orkestrasyon at automation ng mga proseso ng seguridad. | Pinagsasama-sama ang mga tool, ino-automate ang mga pagkilos sa pagtugon, at pina-streamline ang mga daloy ng trabaho sa pagtugon sa insidente. | Pinapahusay ang kahusayan sa pamamagitan ng pag-automate ng mga paulit-ulit na gawain, pagtugon sa insidente, at koordinasyon ng daloy ng trabaho. |
XDR | Lumalawak nang higit sa tradisyonal na mga kakayahan ng SIEM, na nagsasama ng data mula sa iba't ibang tool sa seguridad. | Nagbibigay ng advanced na pagtuklas ng pagbabanta, pagsisiyasat, at pagtugon sa maraming mga layer ng seguridad. | Nag-aalok ng mas komprehensibo at pinagsama-samang diskarte sa pagtuklas at pagtugon ng banta. |
Si EDR | Nakatuon sa pagsubaybay at pagtugon sa mga banta sa antas ng endpoint. | Sinusubaybayan ang mga aktibidad sa endpoint, nakakakita at tumutugon sa mga banta, at nagbibigay ng visibility ng endpoint. | Mahalaga para sa pagtukoy at pagpapagaan ng mga banta na nagta-target ng mga indibidwal na device. |
SOC | Bilang entity ng organisasyon na nangangasiwa sa mga operasyon ng cybersecurity, nakatuon ang pansin nito sa pagprotekta sa mga customer at pagpapanatiling mahusay sa mga proseso ng seguridad. | Binubuo ang mga tao, proseso, at teknolohiya para sa patuloy na pagsubaybay, pagtuklas, pagtugon, at pagpapagaan. | Ang sentralisadong hub na namamahala sa mga pagpapatakbo ng seguridad, kadalasang gumagamit ng mga tool tulad ng SIEM, EDR, at XDR. |
Paano (Hindi) Ipapatupad ang SIEM
- Pagmamasid sa Saklaw: Ang pagpapabaya na isaalang-alang ang saklaw ng iyong kumpanya at ang kinakailangang pag-ingestion ng data ay maaaring maging sanhi ng system na gumanap ng tatlong beses sa nilalayong workload, na humahantong sa mga inefficiencies at resource strain.
- Kakulangan ng Feedback: Ang limitado o walang feedback sa panahon ng mga pagsubok at pagpapatupad ay nag-aalis sa sistema ng konteksto ng pagbabanta, na nagreresulta sa pagtaas ng bilang ng mga maling positibo at pinapahina ang katumpakan ng pagtuklas ng banta.
- "Itakda ito at Kalimutan ito": Ang pag-adopt ng passive na "set it and forget it" na istilo ng pagsasaayos ay humahadlang sa paglago ng SIEM at sa kakayahan nitong magsama ng bagong data. Nililimitahan ng diskarteng ito ang potensyal ng system mula sa simula at nagiging hindi ito epektibo habang lumalawak ang negosyo.
- Pagbubukod ng mga Stakeholder:Ang pagkabigong isali ang mga stakeholder at empleyado sa proseso ng roll-out ay naglalantad sa system sa mga error ng empleyado at mahihirap na kasanayan sa cybersecurity. Ang pangangasiwa na ito ay maaaring makompromiso ang pangkalahatang pagiging epektibo ng SIEM.
- Bumuo ng plano na kumukuha ng iyong kasalukuyang stack ng seguridad, mga kinakailangan sa pagsunod, at mga inaasahan.
- Tukuyin ang mahahalagang impormasyon at data source sa loob ng network ng iyong organisasyon.
- Tiyaking mayroon kang isang eksperto sa SIEM sa iyong koponan upang manguna sa proseso ng pagsasaayos.
- Turuan ang mga kawani at lahat ng gumagamit ng network sa pinakamahuhusay na kagawian para sa bagong system.
- Tukuyin ang mga uri ng data na pinakamahalagang protektahan sa loob ng iyong organisasyon.
- Piliin ang mga uri ng data na gusto mong kolektahin ng iyong system, na tandaan na hindi palaging mas mahusay ang mas maraming data.
- Mag-iskedyul ng oras para sa pagsubok na tumakbo bago ang huling pagpapatupad.
Ang Next-Gen SIEM Solution ng Stellar Cyber
Ang Next-Generation SIEM ng Stellar Cyber ay isang mahalagang bahagi ng Stellar Cyber suite, na masusing ginawa upang bigyang kapangyarihan ang mga lean security team, na nagbibigay-daan sa kanila na ituon ang kanilang mga pagsisikap sa paghahatid ng mga tumpak na hakbang sa seguridad na mahalaga para sa negosyo. Ang komprehensibong solusyon na ito ay nag-o-optimize ng kahusayan, na tinitiyak na kahit na ang mga resource-light team ay maaaring gumana nang malaki.
Walang kahirap-hirap na isinasama ang data mula sa iba't ibang mga kontrol sa seguridad, mga IT system, at mga tool sa pagiging produktibo, ang Stellar Cyber ay walang putol na isinasama sa mga pre-built na konektor, na inaalis ang pangangailangan para sa interbensyon ng tao. Awtomatikong ginagawang normal at pinapayaman ng platform ang data mula sa anumang pinagmulan, na isinasama ang mahalagang konteksto tulad ng threat intelligence, mga detalye ng user, impormasyon ng asset, at lokasyon ng GEO. Nagbibigay-daan ito sa Stellar Cyber na mapadali ang komprehensibo at nasusukat na pagsusuri ng data. Ang resulta ay walang kapantay na insight sa landscape ng banta bukas.
Upang matuto nang higit pa, maaari kang magbasa tungkol sa aming Mga kakayahan sa platform ng Next Gen SIEM.