Mi az a SIEM és hogyan működik?

SIEM használati esetek

A SIEM-nek számos felhasználási esete van a modern fenyegetettségben, beleértve a belső és külső fenyegetések felderítését és megelőzését, mint például valamint a különféle jogi előírások betartása.

A SIEM megfelelése

A szigorúbb megfelelési előírások ösztönzik a vállalkozásokat arra, hogy nagyobb összegű beruházásokat végezzenek az informatikai biztonság területén, és a SIEM fontos szerepet játszik szerepet, segítve a szervezeteket a PCI DSS, a GDPR, a HIPAA és a SOX szabványok betartásában. Az ilyen megfelelési megbízások egyre inkább elterjednek, és fokozott nyomást gyakorolnak a jogsértések felderítésére és jelentésére. Míg a SIEM-et kezdetben főként nagyvállalkozások használták, a megfelelés és az üzleti biztonság megőrzésének növekvő hangsúlya miatt szükséges lehet a kis- és középvállalkozások számára, mivel a szabályozások, például a GDPR, alkalmazhatók a szervezetekre méretüktől függetlenül.

IoT biztonság

A tárgyak internete (IoT) piaca növekszik. A Gartner előrejelzése szerint 2020-ig 26 milliárd csatlakoztatott eszköz lesz. De az előrelépés kockázattal jár, mivel több csatlakoztatott eszköz kínál több belépési pontot, amelyeken keresztül megcélozhatja a vállalkozásokat, mivel amint egy hacker csatlakozik a hálózat egyik részéhez csatlakoztatott eszközön keresztül, hozzáférhetnek a a többi nagyon könnyen. A legtöbb IoTsolution szállító olyan API és külső adattárakat biztosít, amelyek könnyen integrálhatók a SIEM megoldásokba. Ez a SIEM szoftvert és az üzleti kiberbiztonság alapvető részét képezi, mivel enyhítheti az IoT fenyegetéseket, például a DoS támadásokat, és veszélyeztetett vagy veszélyeztetett eszközöket jelölhet meg a környezet részeként.

A bennfentes fenyegetések megelőzése

Nem csak a külső fenyegetések teszik kiszolgáltatottá a szervezeteket, a bennfentes fenyegetések jelentős kockázatot jelentenek, különös tekintettel a hozzáférés egyszerűségére. A SIEMsoftware lehetővé teszi a szervezetek számára, hogy folyamatosan figyelemmel kísérjék az alkalmazottak műveleteit, és riasztásokat hozzanak létre a „rendes” tevékenységen alapuló szabálytalan eseményekről. A vállalkozások a SIEM-et is használhatják a kiváltságos fiókok részletes megfigyelésére, valamint olyan riasztások létrehozására, amelyek egy adott felhasználó számára nem engedélyezettek, például szoftverek telepítése vagy a biztonsági szoftver letiltása.

Next gen vs régi SIEM

A SIEM 2005 óta létezik, de a keletkezés óta jelentősen fejlődött. A Next-gen SIEM számos frissítéssel, fejlesztéssel és új képességgel rendelkezik, amelyekkel elődje nem dicsekedhetett. A jogszerűség SIEM korlátozásai a következők:

  • A SIEM nem tudta feldolgozni az összes vonatkozó adatot, így a nézete korlátozott volt.
  • A SIEM karbantartása időigényes volt, mivel a szoftver bonyolult és nehéz volt működtetni
  • A SIEM időpazarló munkát hozott létre a biztonsági csapatok számára, mivel a szoftver sok hamis pozitív eredményt produkált

A technológia fejlődésével a támadások fejlődtek, a SIEM-nek pedig fejlődnie kellett. A következő generációs szoftverek, mint például a FireEye, a következő képességeket és előnyöket tartalmazzák:

  • A nyílt, „nagy adatarchitektúra” gyorsabb integrációt tesz lehetővé a vállalati infrastruktúrával, beleértve a felhőt, a helyszíni és a BYOD-ot is, amely szintén méretezhető
  • A SIEM integrálhatja a fenyegetések intelligenciáját az egyedi, nyílt forráskódú és kereskedelmi forrásokból is.
  • A valós idejű vizualizációs eszközök megértik a legfontosabb, nagy kockázatú tevékenységeket a riasztások rangsorolásához. Ez magában foglalja azt a képességet, hogy mérje az állapotot olyan szabályozási keretekkel szemben, mint a PCI DSS), a forrisk prioritások és menedzsment
  • A viselkedéselemzés megértheti az esemény kontextusát, és felismeri a szándékot a specifikus forgatókönyvekben. A UserEntity Behavior Analytics (UEBA) használatával a szoftver képes kiemelni a viselkedés jelentős változásait.
  • A következő generációs SIEM szintén testreszabható, lehetővé téve a biztonsági csapatok számára, hogy egyedi helyzetük alapján testre szabott munkafolyamatokat építsenek ki.

Hogyan lehet a legtöbbet kihozni a SIEM biztonsági megoldásokból

Egy hagyományos biztonsági műveleti központban az eseményekre adott reagálási folyamatok, amelyeket a kiberbiztonsági csapatok követnek szerte a világon, gyakran szabványosak és órákig is eltarthatnak. A SOAR automatizálja a munkafolyamatokat, és felgyorsítja a veszélyeztetést, a vizsgálatot és a reagálást, amely lerövidíti a válaszidőket azáltal, hogy automatizálja a folyamat nagy részét, amely segít a biztonsági csapatoknak kiemelni a valós fenyegetéseket. Ezt más biztonsági technológiákkal kölcsönhatásban teszi, hogy automatikusan elvégezze az események elhárításának kezdeti lépéseit.

Az UEBA szintén fontos szerepet játszik a SIEM képességeiben, mivel képes modellezni mind az emberek, mind a gépek viselkedését a hálózat segítségével , amely fejlett fenyegetésészlelést kínál.

Helix Biztonsági Platform

A FireEye felhőben tárolt biztonsági műveleti platformja, a HelixSecurity Platform egyesíti a SOAR, az UEBA és más szolgáltatásokat, és felismeri őket a következő generációval A SIEM hatékony és könnyen megvalósítható biztonsági megoldást kínál.

Olvassa el a Helix és annak képességeinek ismertetését.

Write a Comment

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük