Қажеттіліктерден туындаған жаңа модель: Қазіргі заманғы SIEM

1

SIEM тұжырымдамасы 20 жылдық мерейтойына жақындаған кезде, SIEM жүйелерінің пайда болғаннан бері қаншалықты дамығанын қарастырайық.

Бастапқыда SIEM IT орталарынан оқиға журналдарын жинауға арналған платформа ретінде іске қосылғанымен, кейіннен телеметрияны талдап, стандарттау үшін дамыды, осылайша барлық журналдар олардың шығу тегіне қарамастан бірдей тәсілмен талданады. Сәйкестік топтары аудит есептері арқылы IT ортасын бақылауды көрсету үшін SIEM жүйесін өз процестеріне енгізді. Жиналған деректерді талдау SIEM-ге бақыланатын IT орталарымен байланысты анықтау ережелеріне негізделген ескертулер жасауға мүмкіндік берді. Алайда, масштабталу тез арада қиындыққа айналды. SIEM деректер/үлкен деректер платформасы ретінде жобаланғанымен, тарихи деректерді сұрау оңайырақ болды, ал жинақталған деректер көлемі өскен сайын оны басқару барған сайын күрделене түсті.

Сонымен қатар, IT ортасы кеңейіп, жаңа құралдар енгізілген сайын, қауіпсіздік сарапшыларының саны қанша болса да, ескертулердің жалпы көлемін басқару мүмкін болмай қалды. Бүгінде SIEM шешімдерін қолданатын ұйымдардың SIEM-ге қосылған дереккөздері 100-ден асады. Зерттеулер мен пікірлер көрсеткендей, Қауіпсіздік операциялық орталығының (SOC) командалары күнделікті ескертулердің тек 65%-ын ғана қарап үлгереді, яғни ескертулердің үштен бірі тексерілмей қалады. Көптеген зиянды әрекеттер жағдайында ұйымдарда шабуылдаушының белсенділігін анықтай алатын қажетті құралдар болғанымен, бұл әрекеттер не құралдың дұрыс бапталмағанынан, не қауіпсіздік сарапшыларының оның маңыздылығын түсінбеуінен назардан тыс қалып жатады. Бұдан бөлек, SIEM үздіксіз техникалық қызмет көрсетуді және теңшеуді талап етеді, өйткені қауіпсіздік топтары оны жұмыс істету және белгілі қауіптерді анықтау үшін детекцияны құру мен реттеуге адам ресурстарын бөлуі қажет. Алайда, көптеген ұйымдар үшін SIEM-ге арнайы маман тағайындау қиын.

Қазіргі заманғы SIEM шешімдері осы қиындықтарды жеңуге көмектесетін мүмкіндіктерді енгізді. Пайдаланушы және ұйымдық мінез-құлықты талдау (UEBA) жиналған деректердегі заңдылықтарды анықтау үшін машиналық оқытуды пайдаланады және белгілі қауіптерді анықтайтын ережелер бойынша ескертулерді көрсетеді. Қауіпсіздік сарапшыларының бірнеше құралға жүгіну қажеттілігін азайту үшін қауіп-қатер туралы барлау көздері SIEM-ге қосылып, осылайша ескертулерді қосымша деректер және контекстпен байытады.

SIEM жүйелеріндегі тағы бір мәселе – автоматтандырудың болмауы. Қазіргі қауіпсіздік мамандары детекция мен зерттеуді қауіп-қатер туралы барлау деректерімен ескертулерді байыту және өзара байланыстырылған талдау арқылы біріктіргісі келеді. Қауіпке негізделген ескерту жүйесі қауіпсіздік тобы үшін ескерту деңгейінің маңыздылығын анықтай отырып, басымдық беруді жеңілдетеді. Ескертулерді байыту, корреляциялау және басымдық беру SIEM жүйесіне біріктірілген автоматтандырылған процестер арқылы жүзеге асырылады, оларды SOC тобының ортасының қажеттіліктеріне сәйкес реттеуге болады.

SOC командалары нақты уақыттағы детекция механизмінен бөлек, қажетті барлық дереккөздер үшін дайын қосқыштарды талап етеді. Бұл телеметрия әдеттегі қауіпсіздік құралдарынан бөлек, қолданба мен желі өнімділігі туралы деректерді, сондай-ақ адам ресурстарының деректерін де қамтуы мүмкін. Мысалы, HR жүйесінен қызметкер туралы хабарлама оны ішкі қауіп-қатерлерді бақылау тізіміне қосуға мүмкіндік береді.

SOC командалары SIEM жүйесінде билеттендіру жүйелерімен және сценарийлермен интеграцияланған автоматтандырылған жауап беру мүмкіндіктерін қалайды. Қауіпсіздік инженерлік ресурстары жоқ ұйымдар SIEM жеткізушісінен детекция және қауіп-қатерді аңду мазмұнын қамтамасыз етуді күтеді. Сонымен қатар, GenAI көмекшілері сарапшыларға SIEM сұраныстарын жүйенің сұраныс тілін қолданбай-ақ, табиғи тілде орындауды жеңілдетеді.

Бүгінгі заманғы SIEM – бұрынғы дәстүрлі SIEM емес. Егер сіздің қазіргі SIEM жүйеңіз деректер жинау, ескерту, анықтау, зерттеу және жауап беру бойынша қажеттіліктеріңізді қанағаттандырмаса, онда болашақтың SIEM шешімін табу үшін нарықтағы үздік өнімдердің бірі – Splunk Enterprise Security платформасын зерттеуге болады. Бұл – 3000-нан астам қондырмасы бар, үлкен деректерді шынайы басқара алатын заманауи SIEM шешімі.