通过创建所有网络数据的单一视图,您可以更好地完成一些工作,比如关联威胁信息以识别真正的攻击,或者记录数据包统计信息以更好地诊断间歇性网络问题。
然而,将数据转化为与传统系统的限制值,我们必须有创意与解决方案。我们必须想办法在不同的存储库中的各种设备集成。这不是一件容易的事,但建筑的转变,我已经在过去,SASE(安全接入业务边缘)写,应该显著帮助。
SASE是由Gartner公司2019年推出了新的企业网络技术类它代表了我们如何连接我们的网站,用户和云资源的变化。
这可以提供相当大的支持,特别是当涉及到SIEM(安全信息和事件管理)面临的挑战时。
创建一个单一的视图是具有挑战性的
创建不同类型的数据的单一视图,需要专门的技能,定制集成和显著预算。暹用来把多个产品的数据,应用规则和协调各种平台一起行动。在现实中,这牵涉到大量的定制集成。
问题是表面;日志怎么进入SIEM断网是什么时候?你如何规范化数据,编写规则来检测可疑活动,然后调查是否有合法的警报?不幸的是,结果是可怕的投资人做。暹不能在一个小组织进行。你需要的资源,把它关闭。
SIEM的挑战
在以前的顾问角色,我亲身经历了运行的SIEM的挑战。最终,公司不得不提高其安全监控。最喜欢的,他们遇到了同样的问题,并承认有很大的差距,当它来检测。
当我第一次在整个SIEM的潜力来了,最喜欢的,我被彻底的炒作感到兴奋。现在,是让我把我的想法和运行它们对众多丰富的数据集的工具。从这些套,我能得到立即洞察网络行为上的威胁。然而,这是远离现实 - 暹复杂。
来自不同设备的不同数据
安全和网络存储和不同的公开数据。他们每个人都进行了个人的作用,并有机会获得不同的数据。数据可以从管理,控制和数据平面被抽象为建立可查询的分析。这导致了多级数据可供分析。从本质上讲,对于这一点,你需要在这些平面的专家。
准备从整个基础设施收集的所有数据是复杂的。开展活动的时间表,需要掌握一系列协议和API的只是检索来自网络和安全设备的必要数据。因此,它可以找到合适的数据,你的问题是一个挑战。
首先,你需要收集正确的数据
首先,你需要收集正确的数据 - 暹只是不如你饲料的数据。这出现了一个需要得到加载到SIEM正确的数据的冲动。由于可用的是从其他软件产品日志和事件数据提供SIEM规则的数据,该数据的质量归结为首先选择登录。这是由SIEM供应商的连接器的准确度/可用性加剧。
数据可以通过Syslog输入到SIEM,这需要解析、丢失来自原始源的数据和上下文。显然,在很多情况下,SIEM都装载了无用的数据。许多人常常在这第一步上磕磕绊绊。
汇总数据
当新的威胁具体化,它充满挑战的收集更多的数据,以支持新的检测规则。还有与收集新的数据,并把刹车敏捷性相关的很长的时间。总之,SIEM需要大量的数据收集基础和团队间的协作。
数据标准化
也将有某种对数据进行清理正火的事件。在这里,需要数据的解释和标准化技术,该事件数据存储在分析的通用格式。
一个大的要求,对名利的SIEM产品是他们规范化数据输入。如果您检查Windows安全事件,还有这些事件之间有很大的区别。因此,建议不要对SIEM产品数来解释他们收到的投入。
没有调查支持
暹没有调查的支持。因此,一旦该数据是在你的SIEM,你必须是一个告诉SIEM做什么用的。这就像买一个闹钟没有电池。考虑一个入侵检测系统,我们都知道,一个熟练的分析人员需要输出转化为可操作的情报翻译;一个SIEM是没有什么不同。
通常情况下,SIEM规则针对检测感兴趣的活动,而不是考察他们。例如,一个事件只能告诉你有一个文件上传。然而,这并不能说明该文件是什么网站它被上传到,它是从哪里来的类型和内容。
这主要是,涉及安全分析师和运营团队之间的调查。执行查询,并利用这些信息需要专门的技能和知识。
部署/资源重
大量的资源都花在管理SIEM。时间是需要部署代理,分析日志,或执行升级。简洁,SIEM技术需要全天候的监控和维护。总的来说,暹时间过长部署和某些阶段甚至可以采取年时间才能完成。你真的需要专职安全分析师屈指可数做到这一点。既然这样,有经验丰富的安全分析师世界性短缺。
单点解决方案解决一个问题
网络和安全的提升方式是,我们把每件事都分拆出售。我们有只解决一个问题的点解。然后是服务器、路由器、交换机和各种安全设备。当设备在自己的域内运行时,它只会看到该域。因此,需要集成这些点解决方案,以便用户能够了解网络上正在发生的事情。
以IDS为例,它查看单个数据包并尝试确定是否存在威胁。实际上,它并没有对网络中真正发生的事情有一个整体的整体的看法。所以,当你真正的识别有问题时,你手边没有正确的信息来识别用户是谁,它做了什么,发生了什么。
对于威胁的调查,用户需要登录到其他系统和胶水的信息。这将导致已经有警报疲劳世界大量的误报。
如何SASE可以帮助 - 一个共同的数据存储
显著,SASE收敛既网络和安全的功能集成到一个统一的和全球性云本地服务。因此,就会从两个域数据转换成一个共同的数据存储中。有对本课程的许多好处,但的实质性好处之一是故障排除。
SASE厂商可以使它很容易深深钻入应该已经被储存和归在一个共同的数据仓库中的网络和安全事件。SASE解锁的超高效排除故障的潜在不部署SIEM的痛苦。
一个典型的例子是卡托网络最近宣布卡托即时*洞察。新的功能,它的SASE平台为挖掘安全和网络跨客户的卡托实例生成事件数据的单一工具。这是SASE如何帮助。深刻的是,当你的网络和安全数据是由一个平台采集的一切都变得更加容易。
随着数据拉到一起,调查和分析变得更加容易。卡托即时*洞察,例如,组织了数以百万计的联网和安全事件由卡托跟踪到一个单一的和可查询的时间表。在这里,我们有一个自动聚集,面搜索,并内置网络分析工作台。
Netsurion,另一SD-WAN的供应商,提供了一个管理SIEM服务。这是献为SOC-作为一种服务。然而,利用这种和其它管理锡姆斯,可能仍然存在的网络域和安全域之间的强的分离。在这个意义上,他们只是收集数据的安全性,而不是网络数据。因此,无论是NOC和SOC团队有局部视图。而对于企业的共同挑战依然会保持。
随着SIEM,有没有这样的事情提供可视性外的开箱。实际上,它需要大量的定制集成和开发。对于许多公司来说,锡姆斯是不可行的。整合成本只是太高,需要太多的时间来收集基线数据。
但是,这一切前提是一种误解,认为你继续从不同厂商的设备创建网络。如果你是一个融合的云基础设施,以取代家电,那么你就消除了很多SIEM的挑战。