不管我们愿不愿意承认,我们都在和坏人赛跑. 2022年7月,帕洛阿尔托发布了一份报告,指出攻击者会扫描漏洞 常见漏洞和暴露(CVE)披露后15分钟内. 安全运营中心(soc)面临的常见挑战包括复杂性, overload of alerts and events, excessive number of false positives, and a duplication of security tools. 自动化有望解决其中的一些挑战, 安全信息和事件管理(SIEM), and security orchestration, 自动化和响应(SOAR)解决方案被视为推动这一目标的工具.
SIEM解决方案可以为安全团队提供有价值的见解,并支持高效和有效的事件响应活动. 毕竟,它在单个窗格上提供了统一的视图. 由于几个不同的原因,SIEM技术近年来越来越受欢迎. 驱动因素的范围从法规要求到仅仅想要改善其安全风险状态并转移到更主动的位置的组织. However, 尽管许多组织已经投资了SIEM解决方案, 数据泄露的频率和影响并没有像人们预期的那样减少.
SIEM解决方案的主要输入是事件日志和威胁情报. 它在提供这些主要投入的过程中, or rather not providing the proper inputs, SIEM解决方案的真正价值没有实现. 在高层次上,涉及到事件日志记录时,有三种类型的组织:
- Leave it on default and hope for the best-这种方法是危险的,会导致SIEM解决方案无法解决的盲点.
- Log it all and let the analyst sort it out-这种方法成本高,并且会导致存储方面的挑战, 令人沮丧的SOC分析师或基于云的SIEM解决方案的过高成本影响.
- Purpose-driven logging-虽然这不是最简单的,但这是最理想的方法. It requires planning, 预先定义用例和剧本,并确定支持的事件日志, 在日志源上启用并被吸收到SIEM解决方案中. 这是实现SIEM解决方案全部价值的唯一方法.
确保实现任何对数相关解决方案的投资回报, 必须遵循结构化的实现方法. This should include identifying your requirements; deciding on a deployment approach; identifying the use cases that must be covered; defining the scope of assets and logs to support the use cases; onboarding logs; configuring reports, alerts and dashboards; and testing the functionality of the SIEM solution. 为了避免高成本低价值的情况,定期测试控制效果是至关重要的.
In the past, 安全团队错过了威胁,因为技术和遥测技术无法支持检测工作. Now, 安全团队错过了威胁,因为安全设备触发了太多的事件和警报. 威胁情报帮助安全分析师关注重要的事情. 在SIEM解决方案中自动化使用威胁情报, or any other security solution used by the SOC, 提供了一个显著的好处,因为它使安全解决方案能够自动确定与可能影响组织的主动利用漏洞相关的事件的优先级. 无论最终用于集中日志数据的哪个平台都应该包含威胁情报馈送,以丰富其内容和上下文.
在任何安全调查中,都会出现以下问题:
- 攻击者如何获得对我的环境的访问权?
- How long have I been compromised?
- 攻击者能够访问或窃取什么?
在实现SIEM解决方案时,应用有条不紊和结构化的方法将使您能够轻松地回答这些调查性问题.
Editor’s note: 想要进一步了解这个话题,请阅读格兰特·休斯最近在《澳门赌场官方软件》上发表的文章, “A Framework for SIEM Implementation,” , ISACA Journal, volume 3 2023.
