Stellar Cyber ​​Open XDR - logo
paghahanap
Isara ang box para sa paghahanap na ito.
Stellar Cyber ​​Open XDR - logo
Stellar Cyber ​​Open XDR - logo

Talaan ng nilalaman

Ang Nangungunang 5 Mga Benepisyo ng Paggamit ng SIEM

Ang Security Information and Event Management (SIEM) ay kumakatawan sa isang mahalagang pagbabago sa ebolusyon ng cybersecurity, na tumutulong sa mga organisasyon sa preemptive na pag-detect, pagsusuri, at pagtugon sa mga banta sa seguridad bago gawin ng mga umaatake. Pinagsasama-sama ng mga system na ito ang data ng log ng kaganapan mula sa iba't ibang pinagmulan, na gumagamit ng real-time na pagsusuri upang mabawasan ang ingay at suportahan ang mga naka-on na security team.

Ang papel ng Artificial Intelligence (AI) sa loob ng SIEM ay nagiging prominente habang umuunlad ang mga modelo ng pag-aaral. Salamat sa katotohanang ang mga algorithm ang nagdidikta kung paano nababago ang data sa pag-log sa predictive analytics, ang mga pagsulong sa AI at machine learning ay nagbigay-daan para sa mas malaking pagpapabuti sa pamamahala ng kahinaan.

Sasaklawin ng artikulong ito kung bakit kailangan ng mga organisasyon ang isang solusyon sa SIEM sa unang lugar, at ano ang ilan sa mga benepisyo ng SIEM na maaari nilang asahan bilang resulta ng kakayahan ng solusyon na mangolekta at magsuri ng data ng log mula sa lahat ng mga digital na asset sa isang lugar.

Bakit Kailangan ng Mga Organisasyon ng SIEM Solution?

Ang mga cyberattack ay hindi na isang bihirang pangyayari: ang mga ito ay pang-araw-araw na kaganapan, at isang dumaraming bahagi sa internasyonal na salungatan. Dahil ang karaniwang organisasyon ay umaasa na ngayon sa daan-daang iba't ibang application - at libu-libong device, endpoint, at network - ang pagkakataon para sa mga umaatake na makalusot nang hindi napapansin ay nasa pinakamataas na lahat. Maging ang mga mabibigat na industriya gaya ng Google Chrome ay nahuhulog sa mga kahinaan – at na may mga zero-day tulad ng kamakailang CVE-2023-6345 na pinagsamantalahan sa ligaw – Ang pagpapanatiling malapit sa bawat aplikasyon ay hindi kailanman naging mas mahalaga. 

Ang mga oversight ay patuloy na nagiging ugat ng halos lahat ng matagumpay na cyberattack. Ang mga pinuno ng seguridad tulad ng organisasyon ng pamamahala ng password na Okta ay nahulog sa malalaking paglabag - kasunod ng kanilang paglabag noong Oktubre, mas maraming impormasyon ang nagpakita na ang mga aktor ng pagbabanta na-download ang mga pangalan at email address ng lahat ng user ng Okta customer support system.

Paano Nakakatulong ang SIEM sa Bust Security Oversights

SIEM (maaari kang matuto nang higit pa tungkol sa ano ang SIEM dito) ang mga system ay gumaganap ng isang mahalagang papel sa aktibong pag-detect ng mga banta sa seguridad na nagpapahintulot sa mga umaatake na makapasok. Sa pangkalahatan, ang 360-degree na visibility na ito ay nakakamit sa pamamagitan ng patuloy na pagsubaybay sa real-time na mga pagbabago sa IT infrastructure. Ang mga real-time na alertong ito ay nagbibigay-daan sa mga security analyst na tumukoy ng mga anomalya at agad na i-lock ang mga pinaghihinalaang kahinaan. Bilang karagdagan sa proactive na pagtuklas ng pagbabanta, ang SIEM ay makabuluhang nag-aambag sa kahusayan sa pagtugon sa insidente. Ito ay lubos na nagpapabilis sa pagkilala at paglutas ng mga kaganapan sa seguridad at mga insidente sa loob ng IT environment ng isang organisasyon. Pinahuhusay ng naka-streamline na pagtugon sa insidente ang pangkalahatang postura ng cybersecurity ng isang organisasyon.

Ang aplikasyon ng AI sa SIEM ay higit na nagbibigay ng bagong lalim sa visibility ng network. Sa pamamagitan ng mabilis na pagtuklas ng mga blind spot sa mga network at pagkuha ng mga log ng seguridad mula sa mga bagong tuklas na lugar na ito, lubos nilang pinalawak ang abot ng mga solusyon sa SIEM. Ang machine learning ay nagbibigay ng kapangyarihan sa SIEM na mahusay na maka-detect ng mga banta sa malawak na hanay ng mga application – ang mga karagdagang application ay nag-funnel ng impormasyong ito sa isang madaling gamitin na dashboard ng pag-uulat. Ang oras at pera na natipid nito ay nakakatulong upang mapagaan ang pasanin ng pagbabanta sa pangangaso sa mga security team. Nag-aalok ang mga tool ng SIEM ng isang sentralisadong pagtingin sa mga potensyal na banta, na nagpapakita sa mga security team ng komprehensibong pananaw sa aktibidad, alerto sa pagsubok, pagkilala sa banta, at ang pagsisimula ng mga tumutugon na aksyon o remediation. Ang sentralisadong diskarte na ito ay nagpapatunay na napakahalaga sa pag-navigate sa mga kumplikadong chain ng mga bahid ng software na kadalasang batayan ng pag-atake.

Nagbibigay ang SIEM ng pinahusay na transparency sa pagsubaybay sa mga user, application, at device, na nag-aalok ng mga komprehensibong insight sa mga security team. Sa ibaba, titingnan namin ang ilan sa pinakamahalagang benepisyo ng SIEM na maaaring asahan ng mga organisasyon.

5 Mga Benepisyo ng SIEM

Ang SIEM ay mas malaki kaysa sa kabuuan ng mga bahagi nito. Sa gitna ng pagpoposisyon ng seguridad nito ay ang kakayahang pag-uri-uriin ang libu-libong mga log at tukuyin ang mga dahilan ng pag-aalala.

#1. Advanced na Visibility

Ang SIEM ay may kakayahang mag-ugnay ng data na sumasaklaw sa buong pag-atake ng isang organisasyon, na sumasaklaw sa data ng user, endpoint, at network, pati na rin ang mga firewall log at antivirus na kaganapan. Ang kakayahang ito ay nag-aalok ng isang pinag-isa at komprehensibong view ng data - lahat sa pamamagitan ng isang solong pane ng salamin.

Sa generic na arkitektura, ito ay nakakamit sa pamamagitan ng pag-deploy ng isang ahente ng SIEM sa loob ng network ng iyong organisasyon. Kapag na-deploy at na-configure, hinihila nito ang alerto at data ng aktibidad ng network na ito sa isang sentralisadong platform ng analytics. Bagama't ang isang ahente ay isa sa mga mas tradisyunal na paraan ng pagkonekta ng isang app o network sa SIEM platform, ang mga bagong SIEM system ay may ilang mga paraan upang mangalap ng data ng kaganapan mula sa mga application na umaangkop sa uri at format ng data. Halimbawa, ang direktang pagkonekta sa application sa pamamagitan ng mga tawag sa API ay nagbibigay-daan sa SIEM na mag-query at magpadala ng data; ang pag-access ng mga log file sa Syslog na format ay nagbibigay-daan dito na direktang kumuha ng impormasyon mula sa application; at ang paggamit ng mga protocol ng streaming ng kaganapan tulad ng SNMP, Netflow, o IPFIX ay nagbibigay-daan sa real-time na paghahatid ng data sa SIEM system.

Ang pagkakaiba-iba sa mga pamamaraan ng pagkolekta ng log ay kinakailangan salamat sa napakaraming hanay ng mga uri ng log na kailangang subaybayan. Isaalang-alang ang 6 pangunahing uri ng log:

Mga Log ng Perimeter Device

Ang mga perimeter device ay may mahalagang papel sa pagsubaybay at pagkontrol sa trapiko sa network. Kabilang sa mga device na ito ang mga firewall, virtual private network (VPN), intrusion detection system (IDS), at intrusion prevention system (IPS). Ang mga log na nabuo ng mga perimeter device na ito ay naglalaman ng malaking data, na nagsisilbing isang pangunahing mapagkukunan para sa security intelligence sa loob ng network. Ang data ng log sa syslog na format ay nagpapatunay na mahalaga para sa mga IT administrator na nagsasagawa ng mga pag-audit sa seguridad, pag-troubleshoot ng mga isyu sa pagpapatakbo, at pagkakaroon ng mas malalim na mga insight sa trapikong dumadaloy papunta at mula sa corporate network.

Gayunpaman, ang data ng log ng Firewall ay malayo sa madaling pagbabasa. Kunin itong generic na halimbawa ng isang firewall log entry:

2021-07-06 11:35:26 PAYAGAN TCP 10.40.4.182 10.40.1.11 63064 135 0 – 0 0 0 – – – IPADALA

Ang ibinigay na log entry ay may kasamang timestamp ng kaganapan na sinusundan ng pagkilos na ginawa. Sa kasong ito, tinutukoy nito ang partikular na araw at oras kung kailan pinahintulutan ng firewall ang trapiko. Bukod pa rito, kasama sa log entry ang mga detalye tungkol sa protocol na ginagamit, kasama ang mga IP address at port number ng parehong pinagmulan at destinasyon. Ang pagsusuri ng data ng log ng ganitong uri ay magiging halos imposible para sa mga manu-manong pangkat ng seguridad - mabilis silang mapuno ng napakaraming bilang ng mga entry.

Mga Log ng Kaganapan sa Windows

Ang mga log ng kaganapan sa Windows ay nagsisilbing isang komprehensibong talaan ng lahat ng aktibidad na nagaganap sa isang Windows system. Bilang isa sa pinakasikat na OS sa merkado, ang Log ng Seguridad ng Windows ay may malaking kahalagahan sa halos bawat kaso ng paggamit, na nag-aalok ng mahalagang impormasyon tungkol sa mga pag-login ng user, mga nabigong pagtatangka sa pag-log in, mga sinimulang proseso, at higit pa.

Mga Log ng Endpoint

Ang mga endpoint ay isa sa mga pinaka-mahina na lugar ng anumang network. Habang nakikipag-ugnayan ang mga end-user sa mga panlabas na web page at pinagmumulan ng data, ang pagsubaybay nang mabuti tungkol sa mga pag-unlad ay makakapagpapanatili sa iyo ng mga bagong pag-atake sa phishing at malware. Ang pagsubaybay sa system ay nagbibigay ng mas malalim na pagtingin sa mga kaganapan tulad ng Paglikha ng Proseso, Mga Koneksyon sa Network, Mga Proseso na Tinapos, Paglikha ng File, at kahit na mga kahilingan sa DNS.

Mga Log ng Application

Ang mga organisasyon ay umaasa sa napakalawak na hanay ng mga application, kabilang ang mga database, web server application, at in-house na app, upang matupad ang mga partikular na function na mahalaga para sa kanilang mahusay na operasyon. Kinukuha ng mga log na ginawa ng iba't ibang application ang mga kahilingan at query ng user, na nagpapatunay na mahalaga para sa pag-detect ng hindi awtorisadong pag-access sa file o mga pagtatangka sa pagmamanipula ng data ng mga user. Bukod pa rito, ang mga log na ito ay nagsisilbing mahalagang tool para sa pag-troubleshoot ng mga isyu.

Mga Proxy Log

Katulad ng mga mismong endpoint, ang mga proxy server ay may mahalagang papel sa network ng isang organisasyon, na nag-aalok ng privacy, access control, at bandwidth conservation. Habang dumadaan ang lahat ng kahilingan at tugon sa web sa proxy server, ang mga log na nabuo ng mga proxy ay makakapagbigay ng mahahalagang insight sa mga istatistika ng paggamit at ang gawi sa pagba-browse ng mga endpoint na user.

Mga Log ng IoT

Sa mga IoT device na ngayon ay nasa pinakamataas na panganib ng pagmamanipula ng DDoS, mahalagang panatilihing sapat na nasubaybayan ang lahat ng iyong peripheral. Kasama sa mga log ng IoT ang mga detalye sa trapiko ng network at kahina-hinalang gawi na nagpapanatili sa kabuuan ng imbentaryo ng iyong device sa iyong view. Sa halos lahat ng uri ng log na kinokolekta ng isang solusyon sa SIEM, kailangan nitong simulan ang pagbuo ng view ng iyong pangkalahatang seguridad – at mabilis!

#2. Mahusay na Paghawak ng Log

Bagama't kahanga-hanga ang lalim ng data ng log na kasama sa SIEM, ang dami at iba't-ibang mga ito ay nagdulot ng malamig na pawis sa alinmang malapit na analyst ng seguridad. Ang natatanging bentahe ng SIEM ay nasa kakayahang mabilis na pagsamahin ang magkakaugnay na mga kaganapan sa seguridad sa mga priyoridad na alerto. Ang mga log mula sa mga nabanggit na mapagkukunan ay karaniwang nakadirekta sa isang sentralisadong solusyon sa pag-log, na pagkatapos ay nagsasagawa ng ugnayan at pagsusuri ng data. Ang mga mekanismo para sa paggawa nito ay maaaring magmukhang nakakatakot mula sa labas, ngunit ang pagsira nito ay nakakatulong upang ipakita ang mga panloob na gawain nito:

Nagpaparada

Kahit na sa loob ng hindi nakabalangkas na data ng log, maaaring lumabas ang mga nakikitang pattern. Ang isang parser ay gumaganap ng isang mahalagang papel sa pamamagitan ng pagkuha ng unstructured log data sa isang partikular na format at pagbabago nito sa nababasa, may kinalaman, at structured na data. Ang paggamit ng maraming parser na iniakma para sa iba't ibang system ay nagbibigay-daan sa mga solusyon sa SIEM na pangasiwaan ang magkakaibang hanay ng data ng log.

Pagpapatatag

Ang prosesong ito ay nangangailangan ng pagsasama-sama ng iba't ibang mga kaganapan na may magkakaibang data, pagliit ng dami ng data ng log sa pamamagitan ng pagsasama ng mga karaniwang katangian ng kaganapan tulad ng mga nakabahaging pangalan o mga halaga ng field, at pagbabago nito sa isang format na tugma sa iyong solusyon sa SIEM.

Categorization

Ang pag-aayos ng data at pagkakategorya nito batay sa iba't ibang pamantayan tulad ng mga kaganapan (hal., lokal na operasyon, remote na operasyon, mga kaganapang binuo ng system, o mga kaganapang nakabatay sa pagpapatunay) ay mahalaga upang matukoy ang isang istrukturang baseline.

Pagpapayaman ng log

Ang proseso ng pagpapahusay na ito ay nagsasama ng mga mahahalagang detalye tulad ng geolocation, email address, at ang operating system na ginamit sa raw log data, na nagpapayaman dito upang maging mas nauugnay at makabuluhan. Ang kakayahang pagsama-samahin at gawing normal ang data na ito ay nagbibigay-daan para sa mahusay at madaling paghahambing.

#3. Pagsusuri at Pagtuklas

Sa wakas, maaaring maganap ang kritikal na kalamangan ng SIEM. Ang tatlong pangunahing paraan ng pagsusuri ng log ay isang makina ng ugnayan, isang platform ng paniktik ng pagbabanta, at analytics ng pag-uugali ng gumagamit. Isang pangunahing bahagi sa bawat solusyon ng SIEM, kinikilala ng correlation engine ang mga banta at inaabisuhan ang mga analyst ng seguridad batay sa paunang-natukoy o nako-customize na mga panuntunan sa ugnayan. Maaaring i-configure ang mga panuntunang ito upang alertuhan ang mga analyst – halimbawa, kapag may nakitang abnormal na pagtaas sa bilang ng mga pagbabago sa extension ng file, o walong magkakasunod na pagkabigo sa pag-log in sa loob ng isang minuto. Posible ring mag-set up ng mga awtomatikong tugon na kasunod mula sa mga natuklasan ng correlation engine.

Habang patuloy na sinusubaybayan ng correlation engine ang mga log, gumagana ang Threat Intelligence Platform (TIP) upang matukoy at maprotektahan laban sa anumang kilalang banta sa seguridad ng isang organisasyon. Nagbibigay ang mga TIP ng mga feed ng pagbabanta, na naglalaman ng mahahalagang impormasyon gaya ng mga indicator ng kompromiso, mga detalye tungkol sa mga kilalang kakayahan ng attacker, at mga IP address ng pinagmulan at patutunguhan. Ang pagsasama ng mga feed ng pagbabanta sa solusyon sa pamamagitan ng isang API o koneksyon sa isang hiwalay na TIP na pinapagana ng iba't ibang mga feed ay higit na nagpapalakas sa mga kakayahan sa pagtuklas ng pagbabanta ng SIEM.

Panghuli, ang User at Entity Behavior Analytics (UEBA) ay gumagamit ng mga diskarte sa ML para makakita ng mga banta ng insider. Ito ay nakakamit sa pamamagitan ng patuloy na pagsubaybay at pagsusuri sa gawi ng bawat user. Kung sakaling magkaroon ng anumang paglihis mula sa pamantayan, itinatala ng UEBA ang anomalya, magtatalaga ng marka ng panganib, at inaalerto ang isang analyst ng seguridad. Ang proactive na diskarte na ito ay nagbibigay-daan sa mga analyst na masuri kung ito ay isang nakahiwalay na kaganapan o bahagi ng isang mas malaking pag-atake, na nagbibigay-daan sa naaangkop at napapanahong mga tugon.

#4. Aksyon

Ang ugnayan at pagsusuri ay may mahalagang papel sa pagtuklas ng banta at pag-alerto sa loob ng isang Security Information and Event Management (SIEM) system. Kapag ang isang SIEM ay naaangkop na na-configure at nakatutok upang iayon sa iyong kapaligiran, maaari itong magpakita ng mga tagapagpahiwatig ng kompromiso o mga potensyal na banta na maaaring magresulta sa isang paglabag. Bagama't ang ilang SIEM ay may kasamang paunang na-configure na mga panuntunan sa alerto, ang paghahanap ng pinakamainam na balanse sa pagitan ng mga maling positibo at maling negatibo ay mahalaga upang mabawasan ang ingay ng alerto, na matiyak na ang iyong koponan ay nagsasagawa ng napapanahong pagkilos para sa epektibong remediation. Gamit ang mga depensang ito, makakatulong sa iyo ang pagsusuri sa log ng SIEM na makita ang mga sumusunod na banta:
  • Panggagaya: Nakikita nito ang mga umaatake na gumagamit ng isang mapanlinlang na IP address, DNS server o address resolution protocol (ARP), upang makalusot sa isang network sa ilalim ng pagkukunwari ng isang pinagkakatiwalaang device. Mabilis na natutuklasan ng SIEM ang mga nanghihimasok sa pamamagitan ng pag-aalerto kapag ang dalawang IP address ay nagbabahagi ng parehong MAC address - isang siguradong tanda ng panghihimasok sa network. 
  • Pag-atake ng Denial of Service (DoS) o Distributed Denial of Service (DDoS).: Ang mga pag-atake ng DDoS ay nakikita ng mga umaatake na binabaha ang isang target na network ng mga kahilingan, upang gawin itong hindi naa-access para sa mga nilalayong user nito. Ang mga pag-atake na ito ay madalas na nagta-target ng DNS at mga web server, at ang dumaraming bilang ng mga IoT botnet ay nagbigay-daan sa mga umaatake na bumuo ng nakakagulat. 17-million-request-per-second attacks.
Sa kasaysayan, naging reaktibo ang pangunahing diskarte sa pagtatanggol laban sa mga pag-atake sa Distributed Denial of Service (DDoS). Bilang tugon sa isang pag-atake, ang mga organisasyon ay karaniwang humingi ng tulong mula sa isang kasosyo sa network ng paghahatid ng nilalaman upang mapagaan ang epekto ng pagdami ng trapiko sa kanilang mga site at server. Sa SIEM, gayunpaman, posibleng makakita ng mga palatandaan ng maagang babala gaya ng mga biglaang pagbabago sa IP address at gawi ng trapiko.Pagsinghot at Pag-eavesdrop: Hinaharang, sinusubaybayan at kinukuha ng mga attacker ang sensitibong data na dumadaloy sa pagitan ng isang server at isang kliyente gamit ang packet sniffer software. Para sa eavesdropping, nakikinig ang mga banta ng aktor sa data na dumadaloy sa pagitan ng mga network – katulad ng pag-sniff ng mga pag-atake, ang prosesong ito ay karaniwang passive at maaaring hindi kasama ang buong data packet.

#5. Suporta sa Pagsunod

Ang pagkakaroon ng mga tool ay mahalaga sa pag-iwas sa pag-atake: ngunit ang pagpapatunay na mayroon kang mga kakayahang ito nang maaga ay ang esensya ng pagsunod sa regulasyon.

Sa halip na manu-manong mag-compile ng data mula sa iba't ibang host sa loob ng IT network, ino-automate ng SIEM ang proseso, binabawasan ang oras na kinakailangan upang matugunan ang mga kinakailangan sa pagsunod at i-streamline ang proseso ng pag-audit. Bukod pa rito, maraming tool sa SIEM ang nilagyan ng mga built-in na kakayahan, na nagbibigay-daan sa mga organisasyon na magpatupad ng mga kontrol na naaayon sa mga partikular na pamantayan gaya ng ISO 27001.

Ang hanay ng mga bentahe ng SIEM ay nakahanda upang muling iayon ang iyong organisasyon sa mga cutting-edge na depensa. Gayunpaman, ang tradisyunal na SIEM ay hindi ganap na nakamit ang potensyal nito - ang kumplikadong mga kinakailangan sa pagsasaayos ay naglagay ng higit na pangangailangan sa mga lean team kaysa sa maaaring matupad.

Itinutulak ng Next-Gen SIEM ang Seguridad sa Bagong Taas

Ang mga pakinabang ng susunod na henerasyong SIEM ay nakasalalay sa pagkakaroon ng masayang daluyan sa pagitan ng pagkolekta ng sapat na data upang makakuha ka ng komprehensibong pagtingin sa network ngunit hindi nalulula sa dami ng impormasyon. Ang built-in na AI at advanced na analytics ng Stellar Cyber ​​ay nagbibigay ng isang tumutugon at ultra-transparent na pundasyon - at ang bukas na arkitektura nito ay higit pang nagbibigay-daan para sa pag-unlad sa tuktok ng platform. Na-customize at pinag-isa, makaranas ng cross-departmental na seguridad sa Stellar's Next Gen SIEM Platform.
Mag-scroll sa Tuktok