Stellar Cyber ​​Open XDR - logo
paghahanap
Isara ang box para sa paghahanap na ito.
Stellar Cyber ​​Open XDR - logo
Stellar Cyber ​​Open XDR - logo

Talaan ng nilalaman

Mga Alerto ng SIEM: Mga Karaniwang Uri at Pinakamahuhusay na Kasanayan

Kapag nakakuha ng access ang mga cybercriminal sa isang network, device, o account, nagiging karera laban sa oras ang pagkontrol sa pinsala. Gayunpaman, ang bilang ng mga app at account na bumubuo sa average na tech stack ay maaaring gumawa ng pag-uugali ng attacker na isang napakatalim na karayom ​​- nakabaon sa mga ektarya ng dayami.

Sa pamamagitan ng patuloy na pagsubaybay at pagsusuri sa mga kaganapang panseguridad, ang teknolohiya ng SIEM ay maaaring makakita ng mga abnormal na pattern o gawi habang nangyayari ang mga ito – at alertuhan ang mga tauhan ng seguridad sa eksaktong kinaroroonan ng umaatake. Kasama sa mga kaganapang ito ang mga aktibidad tulad ng hindi awtorisadong mga pagtatangka sa pag-access, hindi pangkaraniwang trapiko sa network, o mga kahinaan ng system. Kapag natukoy na ang isang potensyal na banta, ang sistema ng SIEM ay makakabuo ng mga alerto o abiso upang i-prompt ang napapanahong pagsisiyasat at pagtugon ng mga tauhan ng seguridad.

Gayunpaman, ang pagtiyak na ang iyong solusyon ay akma para sa pagtuklas ng pagbabanta – nang hindi naglalabas ng walang katapusang mga alerto ng SIEM sa iyong pangkat ng seguridad – ay kritikal. Sasaklawin ng artikulong ito ang mga pasikot-sikot ng mga alerto sa SIEM – anong mga pag-atake ang matutulungan nilang mahulaan at maiwasan; at kung paano pinakamahusay na itakda ang iyong SIEM para sa tagumpay.

Ano ang SIEM Alert?

Ang mga alerto sa SIEM ay mga abiso na nagpapaalam sa mga propesyonal sa seguridad tungkol sa mga potensyal na insidente sa seguridad. Ang mga alertong ito ay binuo mula sa pagtuklas, ugnayan, at pagsasama-sama ng metadata ng file at gawi ng user. Para sa mas malalim na pagsisid sa ano ang SIEM, ang aming mga mapagkukunan sa pag-aaral ay isang kamangha-manghang simula. Ang pagtuon sa proseso ng alerto, gayunpaman, narito ang isang hakbang-hakbang

Pagbuo ng Kaganapan

Halos bawat file sa loob ng iyong on-premise o cloud tenancy ay lumilikha ng patuloy na daloy ng mga log. Sa pamamagitan ng pagsasama sa mga log source na ito, nagsisimula ang teknolohiya ng SIEM na bumuo ng kamalayan sa mga real-time na proseso na sumusuporta sa iyong mga firewall, intrusion detection system, antivirus solution, server, at iba pang security device.

Koleksyon ng Kaganapan

Hindi lahat ng log ay ginawang pantay-pantay – ngunit para matukoy kung alin ang nararapat na tingnang mabuti, dapat munang kolektahin ng SIEM ang malawak na bahagi ng mga kaganapan mula sa iba't ibang mapagkukunang ito at isentro ang mga ito sa loob ng sistema ng pagsusuri nito.

Normalisasyon

Ang mga kaganapang nakolekta mula sa iba't ibang mga mapagkukunan ay maaaring gumamit ng iba't ibang mga format at pamantayan. Habang ang mga error na kaganapan ay nagpapahiwatig ng isang malaking problema tulad ng pagkawala ng data o pagkawala ng functionality, ang mga kaganapan sa babala ay maaaring magpahiwatig lamang ng isang posibleng problema sa hinaharap. Kasabay nito, ang napakaraming hanay ng mga format at uri ng file – mula Active Directory hanggang Operating System – ay humihiling sa normalisasyon ng function ng SIEM na i-standardize ang mga kaganapang ito sa isang karaniwang format.

Imbakan ng Kaganapan

Ang mga normalized na kaganapan ay naka-imbak sa isang secure at sentralisadong database. Nagbibigay-daan ito para sa makasaysayang pagsusuri, pag-uulat sa pagsunod, at forensic na pagsisiyasat.

Paniniktik

Kasama sa pagtuklas ang pagsusuri ng mga kaganapan upang matukoy ang mga potensyal na insidente sa seguridad. Gumagamit ang mga SIEM system ng mga paunang natukoy na panuntunan, lagda, at pagsusuri sa pag-uugali upang makita ang mga anomalya o pattern na nagpapahiwatig ng mga banta sa seguridad. Maaaring kabilang sa mga panuntunan ang mga kundisyon tulad ng maraming nabigong pagtatangka sa pag-log in, pag-access mula sa hindi pangkaraniwang mga lokasyon, o mga kilalang malware signature.

Korelasyon

Ang ugnayan ay isang mahalagang hakbang sa proseso ng SIEM. Kabilang dito ang pagsusuri ng maraming nauugnay na kaganapan upang matukoy kung sama-samang kumakatawan ang mga ito sa isang insidente sa seguridad. Nakakatulong ang ugnayan sa pagtukoy ng mga kumplikadong pattern ng pag-atake na maaaring hindi napapansin kapag tinitingnan ang mga indibidwal na kaganapan nang hiwalay.

Pagsasama-sama

Kasama sa pagsasama-sama ang pagsasama-sama ng mga nauugnay na kaganapan upang magbigay ng pinagsama-samang pananaw sa isang insidente sa seguridad. Nakakatulong ang hakbang na ito sa pagbabawas ng pagkapagod sa alerto sa pamamagitan ng pagpapakita sa mga propesyonal sa seguridad ng mas maigsi at mapapamahalaang hanay ng mga alerto.

Ang prosesong ito ay nagtatapos sa pagbuo ng isang alerto. Kapag natukoy ang isang potensyal na insidente sa seguridad sa pamamagitan ng pagtuklas, ugnayan, at pagsasama-sama, bubuo ng alerto ang SIEM system. Kasama sa mga alerto ang mga detalye tungkol sa insidente, gaya ng uri ng pagbabanta, mga apektadong sistema, at ang kalubhaan ng insidente.

Iba't ibang Uri ng Mga Alerto Sa SIEM

Sa halip na mag-scroll sa malalaking bahagi ng data, nilalayon ng mga alerto ng SIEM na magbigay ng nakatuon at priyoridad na pagtingin sa mga potensyal na banta. Kasama sa mga karaniwang halimbawa ng alerto sa SIEM ang:
  • Maanomalyang Gawi ng Gumagamit: Maaaring ma-trigger ang mga alerto sa seguridad kapag nagpakita ang isang user ng hindi pangkaraniwang aktibidad, tulad ng maraming hindi matagumpay na pagtatangka sa pag-log in, hindi awtorisadong pag-access sa mga mapagkukunan, o hindi regular na paglilipat ng data.

  • Mga Error sa Monitoring System o Application: Maingat na sinusuri ng mga system ng SIEM ang mga log, na agad na nag-aalerto sa mga kritikal na error o pagkabigo sa mga system o application, na nagpapakita ng mga potensyal na kahinaan o maling pagsasaayos.

  • Mga Breaches ng Data: Bilang tugon sa hindi awtorisadong pag-access o pag-exfiltrate ng sensitibong data, nabubuo ang mga alerto, na nagbibigay ng kapangyarihan sa mga organisasyon na tumugon kaagad at mabawasan ang resultang epekto.

  • Mga Paglabag sa Pagsunod: Nako-configure sa loob ng mga system ng SIEM, ang mga mekanismo ng pagsubaybay ay naglalabas ng mga alerto sa mga kaso ng mga paglabag sa regulasyon o mga paglabag sa mga panloob na patakaran, na tinitiyak ang pagsunod sa mga itinatag na pamantayan.
Kapag natuklasan ang isa sa mga anomalyang ito, bubuo at ipapasa ang mga alerto sa isang sentralisadong Network Operation Center, SRE, o mga partikular na koponan ng DevOps para sa agarang pagtugon. Mula doon, ang kalubhaan ng kaganapan ay maaaring sumailalim sa pag-filter ng alerto, pag-deduplication, at pagsusuri - bawat isa ay nakakatulong upang mabawasan ang bilang ng mga maling positibo. Bagama't tradisyonal na umaasa ang mga tauhan ng IT sa manu-manong pag-triaging ng alerto, kung saan tinatasa nila ang kalubhaan ng bawat isyu, pinapayagan na ngayon ng mga inbuilt na panuntunan ng ugnayan ang mga platform ng SIEM na pasanin ang higit pa at higit na bigat.

Mga Uri ng Pag-trigger ng Alerto

Ang Mga Trigger na nakabatay sa panuntunan ay madalas na ginagamit sa mga alerto ng SIEM, na umaasa sa mga paunang natukoy na kundisyon upang matukoy ang mga partikular na kaganapan. Ginagamit ng mga security team ang mga trigger na ito upang magtatag ng iba't ibang panuntunan batay sa magkakaibang aspeto, tulad ng mga kilalang pattern ng pag-atake, mga tagapagpahiwatig ng kompromiso, o mga kahina-hinalang aktibidad. Gumagana ang mga panuntunang ito bilang mga filter, na nagbibigay-daan sa sistema ng SIEM na makabuo ng mga alerto kapag naaayon ang mga naobserbahang kaganapan sa tinukoy na pamantayan.

Mahalaga rin para sa SIEM, ang mga trigger na nakabatay sa threshold ay kinabibilangan ng pagtatatag ng mga partikular na threshold o limitasyon para sa mga kaganapan o sukatan. Kapag lumampas o bumaba ang mga halaga ng threshold na ito sa mga nakatakdang parameter, bubuo ng alerto ang system. Ang ganitong uri ng trigger ay nagpapatunay na mahalaga sa pag-detect ng abnormal na pag-uugali o mga paglihis sa mga pattern.

Ang Anomaly Detection ay bumubuo ng isa pang mahalagang bahagi ng mga halimbawa ng alerto ng SIEM, na naglalayong tukuyin ang mga paglihis mula sa inaasahang pag-uugali. Ang prosesong ito ay nangangailangan ng pagsusuri sa makasaysayang data upang magtatag ng mga baseline na profile para sa mga nakagawiang aktibidad. Ang mga papasok na kaganapan ay inihambing sa mga baseline na ito, kung saan ang system ay nag-flag ng anumang kapansin-pansing mga paglihis bilang mga potensyal na anomalya. Ang pagtuklas ng anomalya ay epektibo sa pag-detect ng mga dating hindi alam o zero-day na pag-atake, pati na rin ang pagtukoy ng mga mailap na banta ng insider o hindi awtorisadong aktibidad.

Ang bawat isa sa mga trigger na ito ay nagsasama-sama upang lumikha ng adaptive layer ng ticketing na akma nang maayos sa mga dati nang ticketing platform. Ang ilang mga solusyon ay higit pa, na may AIOps na pag-filter, pag-deduplicate, at pag-normalize ng mga alerto mula sa magkakaibang mga system, gamit ang AI/ML upang matukoy ang mga pattern ng ugnayan sa karamihan ng mga alerto.

Pinakamahuhusay na Kasanayan para sa Pamamahala ng Mga Alerto ng SIEM

Sa pag-asang matigil ang malware bago ito makapasok sa network, ang SIEM ay gumagamit ng malaking saklaw ng mga alerto, kaganapan, at log – ngunit tulad ng isang motion-sensor light, minsan ang alerto ay nakakakuha ng daga sa halip na isang Remote Access Trojan.

Ang isang dahilan para sa patuloy na barrage ng mga alerto na ito ay ang kakulangan ng pagkakaisa sa pagitan ng mga naunang solusyon sa seguridad. Bagama't ang IPS, NIDS, at HIDS ay nag-aalok ng network at endpoint na proteksyon ayon sa pagkakabanggit, ang mababang kalidad ng mga alertong ibinibigay ay maaaring mabilis na umiikot - lalo na kapag ang pinagsamang mga appliances sa seguridad ay hindi gumagana nang magkasama, at sa halip ay ibinabato ang bawat alerto sa isang overstimulated team ng seguridad.

Ang mga pinakamahuhusay na kagawian sa mga alerto ng SIEM ay nagbibigay ng salve upang alertuhan ang ingay sa pamamagitan ng pagsasama-sama at pagpino sa lahat ng mga alertong ito – ngunit ang pinakamahuhusay na kagawian ay mahalaga upang mapanatili itong akma para sa layunin, sa halip na mag-ambag sa talamak na pagka-burnout.

Itakda ang Iyong Sariling Mga Panuntunan

Tinutukoy ng mga panuntunan ang pag-unawa ng SIEM sa pagitan ng normal at malisyosong pag-uugali. Ang isang alerto ay maaaring magkaroon ng isa o higit pang mga panuntunan, depende sa kung paano mo ito tinukoy. Bagama't nagbibigay ito ng matibay na pundasyon para sa pagkuha ng mga kaganapang panseguridad sa tamang oras, mahalagang maging maingat sa paggawa ng malaking bilang ng mga naka-customize na alerto. Ang pag-set up ng maraming alerto para sa parehong hanay ng mga gawain ay isang tiyak na paraan ng pag-fogging ng insight sa seguridad.

Suriin ang Iyong Mga Alerto Bago Mag-isyu ng Mga Bago

Bago ipatupad ang mga bagong alituntunin sa alerto, mahalagang suriin ang mga kasalukuyang alerto upang matukoy kung mayroon nang built-in na alerto na nagsisilbi sa parehong layunin. Kung walang umiiral, kinakailangang mangolekta ng impormasyon tungkol sa pagkakasunud-sunod ng mga kaganapan na mangyayari bago at pagkatapos matukoy ang alertong ito.

Maging Tiyak Kapag Pumipili Kung Ano ang I-flag

Pangunahing nangyayari ang pagbaha ng alerto dahil sa malabo o kalabuan sa mga field ng paglalarawan ng alerto. Kasabay nito, ang pagpili sa maling kategorya o kalubhaan ay maaaring makakita ng mga relatibong makamundong isyu na lumalabas sa mga high-priority na daloy ng trabaho, na lubhang nababalisa sa mga IT team. Ang paglalarawan ay kailangang maging tumpak hangga't maaari, habang ang kategorya ay kailangang tumpak na sumasalamin sa mga daloy ng trabaho at priyoridad ng pangkat ng seguridad.

Isaisip ang Mga Regulasyon

Ang bawat organisasyon ay kailangang sumunod sa iba't ibang lokal, rehiyonal, at pederal na batas upang matugunan ang mga obligasyon nito sa cybersecurity. Kapag gumagawa ng mga custom na panuntunan sa alerto, tandaan kung ano ang inaasahan ng bawat partikular na bahagi ng regulasyon.

Umasa sa Simple at Composite na Mga Panuntunan

Ang mga pangunahing panuntunan ng SIEM ay idinisenyo upang tukuyin ang isang partikular na uri ng kaganapan at simulan ang isang paunang natukoy na tugon. Halimbawa, ang isang simpleng panuntunan ay maaaring mag-trigger ng alerto kung ang isang email ay naglalaman ng naka-attach na ZIP file. Bagama't kapaki-pakinabang ang mga pangunahing panuntunan, ang mga advanced na composite na panuntunan ay nagbibigay-daan sa kumbinasyon ng dalawa o higit pang mga panuntunan upang matukoy ang mas masalimuot na pattern ng pag-uugali. Halimbawa, ang isang pinagsama-samang panuntunan ay maaaring mag-trigger ng isang alerto kung mayroong pitong nabigong pagtatangka sa pagpapatunay sa parehong computer mula sa isang IP address sa loob ng sampung minuto, gamit ang iba't ibang mga username. Bukod pa rito, kung ang isang matagumpay na pag-login ay naganap sa anumang computer sa loob ng network at nagmula sa parehong IP address, ang pinagsama-samang panuntunan ay maaari ring mag-trigger ng isang alerto.

Pagsubok

Kapag nakagawa ka na ng alerto, magsagawa ng maraming test run para i-verify ang tamang functionality nito. Ang mahigpit na pagsubok sa mga custom na alerto ay nagbibigay-daan sa iyo na pinuhin ang iyong mga panuntunan sa ugnayan, na tinitiyak ang pinakamainam na pagganap at pagiging epektibo.

Bagama't mahalagang bahagi ng pinakamahusay na kasanayan sa SIEM, hindi matalino ang mga panuntunan sa ugnayan—hindi nila tinatasa ang kasaysayan ng mga kaganapang sinusuri nila. Halimbawa, wala silang pakialam kung may virus ang isang computer kahapon; ito ay interesado lamang kung ang isang system ay nahawaan habang ang panuntunan ay isinasagawa. Gayundin, sinusuri ang mga panuntunan sa ugnayan sa bawat oras na ipapatupad ang isang set – hindi isinasaalang-alang ng system ang anumang iba pang data upang matukoy kung susuriin o hindi ang panuntunan ng ugnayan.

Ito ang dahilan kung bakit ang dalawang iba pang anyo ng pagtuklas ng banta ay mahalaga:

Itakda at Ibagay ang Mga Threshold

Kasama sa mga trigger na nakabatay sa threshold ang pagtatatag ng mga partikular na threshold o limitasyon para sa mga kaganapan o sukatan. Kapag lumampas o bumaba ang mga halaga ng threshold na ito sa mga nakatakdang parameter, bubuo ng alerto ang system. Ang ganitong uri ng trigger ay nagpapatunay na mahalaga sa pag-detect ng abnormal na pag-uugali o mga paglihis sa mga pattern.

Bagama't maaaring manatiling pareho ang ilang panuntunan, ang mga threshold ay ilan sa pinakamahalagang mga form ng alerto upang regular na ibagay. Ang isang bagay na kasing simple ng pagpapalawak sa userbase o mga empleyado ay maaaring humantong sa mga alon ng mga hindi kinakailangang alerto.

Tukuyin ang Iyong Mga Anomalya

Kasabay ng mga itinakdang panuntunan, ang mga modelo ng pag-uugali ay nagpo-profile ng isang user, app o account batay sa kanilang karaniwang gawi. Kapag natukoy ng modelo ang abnormal na pag-uugali, pagkatapos ay ilalapat nito ang mga panuntunan upang suriin at pagkatapos ay ilabas ang alerto. Siguraduhing mag-set up ng mga modelo na may iba't ibang klase ng mga uri ng pag-uugali - nagbibigay-daan ito sa kanila na makagawa ng mga natatanging profile ng alerto at lubos na mapabilis ang remedial na gawain.

Katulad ng mga panuntunan sa ugnayan, ang isang solong pagsusuri sa modelo ay karaniwang hindi nag-uudyok ng isang alerto. Sa halip, ang system ay nagtatalaga ng mga puntos sa bawat session batay sa mga modelong inilapat. Kapag ang mga naipong puntos para sa isang session ay lumampas sa isang paunang natukoy na threshold, ang system ay magti-trigger ng isang alerto. Ang pagtatatag at pagtukoy sa risk tolerance na ito para sa bawat modelo ay isang kritikal na aspeto sa pamamahala at pagkontrol sa dami ng mga alertong nabuo.

Mga Susunod na Henerasyon ng SIEM na Alerto

Ang mga solusyon sa SIEM ay mahal at maaaring mahirap i-deploy at i-configure. Gayunpaman, ang
Ang tagumpay ng iyong SIEM tool ay tinutukoy ng kakayahang mahigpit na isama sa iyong kasalukuyang tech stack.

Naghahatid ng higit sa 400 pagsasama nang wala sa kahon, inililipat ng SIEM ng Stellar Cyber ​​ang iyong diskarte mula reaktibo patungo sa proactive. Pigilan ang iyong mga tauhan ng seguridad sa paglusong
walang katapusang hindi tugmang mga alerto, at i-flip ang script sa mga umaatake na may mga kakayahan sa susunod na henerasyon
gaya ng automated threat hunting at AI-driven analytics. Ang mga next-gen na alerto sa SIEM ay kumukuha ng mga ultra-flexible na data source at ginagawang scalable analytics.

Tuklasin ang Higit Pa Tungkol sa Amin Next Gen SIEM Platform Mga kakayahan at magsimulang tumuon sa
mga insidente sa halip na mga alerto.

Mag-scroll sa Tuktok