Voor Gil Shua komt het maximale uit het SIEM-systeem (Security Information Event Management) voor de Tel Aviv Stock Exchange neer op het verkrijgen van de juiste signaal-ruisverhouding. Dat, en het schrijven van de juiste regels.
De signaal-ruisverhouding komt, zoals elke radiofrequentie-ingenieur weet, neer op de hoeveelheden feitelijke inhoud (signaal) tot statische en andere sonische verstoringen (ruis). Voor Shua is het doel om de hoeveelheid ruis die naar de SIEM wordt gestuurd te minimaliseren ten gunste van bruikbare inhoud. Hij is op zoek naar iets waardoor hij opstaat van zijn bureau met het besef: โWe hebben een probleem; we hebben iets dat we nu willen aanpakken en oplossen.
Shua heeft meer dan tien jaar in verschillende beveiligingsfuncties gewerkt bij de Tel Aviv Stock Exchange (TASE) en werd in 2022 benoemd tot CISO. Gedurende die tijd is het volgens hem een โโโconstante jacht op databronnenโ geweest om ervoor te zorgen dat het signaal De verhouding tussen ruis en ruis verschuift ten gunste van signaalgegevens om de mogelijkheden en voordelen van de SIEM van de centrale te maximaliseren.
Het filteren van de ruis
Voor Shua en zijn team is er veel werk aan de winkel, want bij de meeste SIEM's zie je veel ruis en niet veel signaal. Dit leidt tot fout-positieven en verkeerde configuraties, wat op zijn beurt extra werk creรซert voor het SOC-team, de productiviteit verlaagt en een belemmering vormt voor proberen een SIEM werkend te krijgen.
Om dit tot een minimum te beperken, zegt Shua dat het SOC-team regels kan schrijven voor de manier waarop de SIEM binnenkomende gegevens verwerkt, maar het opstellen van die regels kost ook waardevolle tijd van het SOC-team.
Maar het schrijven van SIEM-correlatieregels is relatief eenvoudig als de SIEM-oplossing al over vooraf gedefinieerde logparsing en regels voor de rapportagetoepassing beschikt, zegt Shua. Maar voordat er regels kunnen worden geschreven, moet het SOC-team:
- Ontdek de datastructuur en identificeer relevante velden die nodig zijn voor de regel.
- Begrijp de logica van de rapportagesystemen, aangezien deze mogelijk hun eigen logstandaarden hebben.
- Creรซer een exacte regelcorrelatie en analyseer uitzonderingen.
- Uitvoeren van kwaliteitsborging en testen.
Deze actie-items kunnen elk een paar uur duren, maar als ze complexer zijn, kan het dagen duren om ze te voltooien, voegt Shua toe.
โAls je een SIEM opzet, heb je twee zorgen. Eรฉn daarvan is: 'Heb ik de regels die mij beschermen tegen relevante aanvallen... ben ik gedekt door effectieve regels?' Het tweede punt is: 'Krijg ik de informatie uit de rapportagesystemen die deze regels in werking zullen stellen?'.โ
De recente toevoeging van het CardinalOps-platform heeft de Splunk Enterprise bij TASE verbeterd; Shua zegt dat het proces van het schrijven van regels enorm is verminderd: er zijn 85 regels geproduceerd in de paar maanden dat deze specifieke technologie in gebruik is. โHet team is meer gefocust op het implementeren van regels en het testen ervan, en niet op het schrijven ervan, wat het meest tijdrovende proces in de link wasโ, voegt hij eraan toe.
Dus zijn SIEMโs de tijd en het geld waard die worden besteed aan correlatie en het schrijven van regels? Shua geeft toe dat het onderhouden van een SIEM een veeleisende taak is, omdat er voortdurend updates en aanpassingen nodig zijn. Ondanks alle inspanningen kunnen sommige aanvallen onopgemerkt blijven vanwege een gebrek aan zichtbaarheid of bijpassende regels.
โIk verwacht dat toekomstige oplossingen gebruik zullen maken van automatiseringsmogelijkheden voor autonome regelcreatie en -respons, out-of-the-boxโ, zegt Shua.
En omdat SIEM's gegevens uit vele bronnen halen, moeten ze efficiรซnter worden bij het verwerken, analyseren en opslaan van gegevens in verschillende formaten. โJe moet aanpassingen maken om deze in stand te houdenโ, zegt Shua, eraan toevoegend dat ongepast verandermanagement betekent dat een organisatie waarschijnlijk bepaalde beveiligingsgebeurtenissen zal missen.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- ChartPrime. Verhoog uw handelsspel met ChartPrime. Toegang hier.
- BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
- Bron: https://www.darkreading.com/dr-global/tel-aviv-stock-exchange-ciso-making-better-use-of-your-siem
- : heeft
- :is
- :niet
- $UP
- 2022
- 7
- a
- Actie
- daadwerkelijk
- toe te voegen
- toevoeging
- adres
- Voegt
- aanpassingen
- adopteren
- tegen
- Alles
- al
- am
- bedragen
- hoeveelheden
- an
- analyseren
- het analyseren van
- en
- Aanvraag
- benoemd
- ZIJN
- AS
- zekerheid
- At
- Aanvallen
- Automatisering
- autonoom
- BE
- omdat
- worden
- geweest
- vaardigheden
- betekent
- Betere
- Box camera's
- maar
- CAN
- mogelijkheden
- verandering
- jacht
- CISO
- komt
- compleet
- complex
- Zorgen
- constante
- content
- Correlatie
- bedekt
- creรซert
- het aanmaken
- Snijden
- gegevens
- Gegevensstructuur
- dagen
- decennium
- veeleisende
- desk
- Niettegenstaande
- anders
- Ontwrichting
- do
- beneden
- trekken
- twee
- gedurende
- elk
- En het is heel gemakkelijk
- effectief
- doeltreffend
- inspanning
- ingenieur
- verzekeren
- oprichten
- Event
- EVENTS
- Alle
- uitwisseling
- verwachten
- extra
- Favor
- weinig
- Velden
- Bepalen
- gericht
- Voor
- oppompen van
- toekomst
- krijgen
- het krijgen van
- Go
- doel
- Handvaten
- Hebben
- he
- hem
- zijn
- HOURS
- Hoe
- HTTPS
- i
- identificeren
- if
- uitvoering
- verbeterd
- in
- Inkomend
- informatie
- IT
- artikelen
- jpg
- Gebrek
- Leads
- Waarschijnlijk
- LINK
- inloggen
- logica
- op zoek
- lot
- onderhouden
- Het handhaven
- maken
- MERKEN
- maken
- management
- veel
- massief
- matching
- max-width
- Maximaliseren
- Mei..
- me
- middel
- wijzigingen
- geld
- maanden
- meer
- efficiรซnter
- meest
- Dan moet je
- Noodzaak
- nodig
- Geluid
- nu
- of
- on
- EEN
- or
- organisatie
- Overige
- uit
- het te bezitten.
- bijzonder
- platform
- Plato
- Plato gegevensintelligentie
- PlatoData
- posities
- probleem
- verwerking
- geproduceerd
- produktiviteit
- beschermen
- kwaliteit
- verhouding
- RE
- realisatie
- recent
- Gereduceerd
- vermindert
- relatief
- relevante
- Rapportage
- Resources
- antwoord
- rechts
- Regel
- reglement
- s
- zegt
- Tweede
- veiligheid
- beveiliging evenementen
- zien
- verzonden
- Signaal
- sinds
- oplossing
- Oplossingen
- sommige
- iets
- bron
- bronnen
- besteed
- normen
- voorraad
- effectenbeurs
- bewaartemperatuur
- structuur
- system
- Systems
- Nemen
- neemt
- Taak
- team
- Technologie
- Tel
- Tel Aviv
- TEL AVIV BEURS
- Testen
- neem contact
- dat
- De
- de informatie
- hun
- Ze
- Er.
- Deze
- ze
- ding
- dit
- die
- niet de tijd of
- naar
- leiden
- BEURT
- twee
- updates
- .
- waardevol
- divers
- zichtbaarheid
- willen
- was
- we
- GOED
- wanneer
- welke
- wil
- Met
- Mijn werk
- werkte
- waard
- zou
- schrijven
- het schrijven van
- geschreven
- You
- Your
- zephyrnet
