Для Гила Шуа получение максимальной отдачи от системы управления информационными событиями безопасности (SIEM) на Тель-Авивской фондовой бирже сводится к правильному соотношению сигнал/шум. Это и написание правильных правил.
Отношение сигнал/шум, как знает каждый радиочастотный инженер, сводится к количеству фактического контента (сигнала) и статических и других звуковых помех (шума). Цель Шуа — минимизировать количество шума, отправляемого в SIEM, в пользу полезного контента. Он ищет что-то, что заставит его встать из-за стола с осознанием: «У нас проблема; у нас есть кое-что, к чему мы хотим обратиться сейчас и исправить это».
Шуа проработал на различных должностях в сфере безопасности на Тель-Авивской фондовой бирже (TASE) более десяти лет и был назначен директором по информационной безопасности в 2022 году. Отношение «шум» искажается в пользу сигнальных данных, чтобы максимизировать возможности и преимущества SIEM биржи.
Фильтрация шума
Шуа и его команде приходится нелегко, поскольку в большинстве SIEM-систем «вы видите много шума и мало сигнала». Это приводит к ложным срабатываниям и неправильным конфигурациям, что, в свою очередь, создает дополнительную работу для команды SOC, снижает производительность и является препятствием для пытаюсь заставить SIEM работать.
Чтобы свести это к минимуму, говорит Шуа, команда SOC может написать правила обработки входящих данных SIEM, но создание этих правил также отнимает ценное время команды SOC.
Но написать правила корреляции SIEM относительно легко, если в решении SIEM уже есть предопределенные правила анализа журналов и правила для приложения для создания отчетов, говорит Шуа. Но прежде чем правила будут написаны, команда SOC должна:
- Выясните структуру данных и определите соответствующие поля, необходимые для правила.
- Поймите логику систем отчетности, поскольку они могут иметь свои собственные стандарты журналов.
- Создавайте точную корреляцию правил и анализируйте исключения.
- Провести проверку качества и тестирование.
Каждое из этих действий может занять несколько часов, но если они более сложные, на их выполнение могут уйти дни, добавляет Шуа.
«Когда вы создаете SIEM, у вас возникают две проблемы. Один из них: «Есть ли у меня правила, которые защищают меня от соответствующих атак… действуют ли на меня эффективные правила?» Второй вопрос: «Получаю ли я информацию из систем отчетности, которая приведет в действие эти правила?»».
Недавнее добавление платформы CardinalOps улучшило Splunk Enterprise на TASE; Шуа говорит, что процесс написания правил значительно сократился: за несколько месяцев использования этой конкретной технологии было создано 85 правил. «Команда больше сосредоточена на внедрении правил и их тестировании, а не на их написании, что было самым трудоемким процессом в линк», — добавляет он.
Так стоят ли SIEM времени и денег, потраченных на корреляцию и написание правил? Шуа признает, что обслуживание SIEM — сложная задача, поскольку необходимы постоянные обновления и модификации. Несмотря на все усилия, некоторые атаки могут остаться незамеченными из-за отсутствия видимости или правил сопоставления.
«Я ожидаю, что в будущих решениях будут реализованы возможности автоматизации для автономного создания правил и реагирования на них», — говорит Шуа.
А поскольку SIEM получают данные из многих источников, они должны повысить эффективность обработки, анализа и хранения данных в разных форматах. «Для поддержания необходимо вносить коррективы», — говорит Шуа, добавляя, что неправильное управление изменениями означает, что организация может пропустить некоторые события безопасности.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- ЧартПрайм. Улучшите свою торговую игру с ChartPrime. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://www.darkreading.com/dr-global/tel-aviv-stock-exchange-ciso-making-better-use-of-your-siem
- :имеет
- :является
- :нет
- $UP
- 2022
- 7
- a
- Действие
- фактического соединения
- добавить
- дополнение
- адрес
- Добавляет
- корректировки
- принять
- против
- Все
- уже
- am
- количество
- суммы
- an
- анализировать
- анализ
- и
- Применение
- назначенный
- МЫ
- AS
- гарантия
- At
- нападки
- автоматизация
- автономный
- BE
- , так как:
- становиться
- было
- до
- Преимущества
- Лучшая
- Коробка
- но
- CAN
- возможности
- изменение
- погоня
- CISO
- выходит
- полный
- комплекс
- Обеспокоенность
- постоянная
- содержание
- Корреляция
- покрытый
- создает
- создание
- Порез
- данным
- Структура данных
- Дней
- десятилетие
- требующий
- стол
- Несмотря на
- различный
- Нарушение
- do
- вниз
- рисовать
- два
- в течение
- каждый
- легко
- Эффективный
- эффективный
- усилие
- инженер
- обеспечивать
- установить
- События
- События
- Каждая
- обмена
- ожидать
- дополнительно
- в пользу
- несколько
- Поля
- фиксированный
- внимание
- Что касается
- от
- будущее
- получить
- получающий
- Go
- цель
- Ручки
- Есть
- he
- его
- его
- ЧАСЫ
- Как
- HTTPS
- i
- определения
- if
- Осуществляющий
- улучшенный
- in
- Входящий
- информация
- IT
- пункты
- JPG
- Отсутствие
- Лиды
- Вероятно
- LINK
- журнал
- логика
- искать
- серия
- поддерживать
- Сохранение
- сделать
- ДЕЛАЕТ
- Создание
- управление
- многих
- массивно
- согласование
- макс-ширина
- Максимизировать
- Май..
- me
- означает
- изменения
- деньги
- месяцев
- БОЛЕЕ
- более эффективным
- самых
- должен
- Необходимость
- необходимый
- Шум
- сейчас
- of
- on
- ONE
- or
- организация
- Другое
- внешний
- собственный
- особый
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- позиции
- Проблема
- процесс
- обработка
- Произведенный
- производительность
- для защиты
- соотношение
- RE
- реализация
- последний
- Цена снижена
- снижает
- относительно
- соответствующие
- Reporting
- Полезные ресурсы
- ответ
- правую
- Правило
- условиями,
- s
- говорит
- Во-вторых
- безопасность
- события безопасности
- посмотреть
- послать
- сигнал
- с
- Решение
- Решения
- некоторые
- удалось
- Источник
- Источники
- потраченный
- стандартов
- акции
- Фондовая Биржа
- хранение
- Структура
- система
- системы
- взять
- принимает
- Сложность задачи
- команда
- Технологии
- Телефон:
- Тель-Авив
- ТЕЛЬ-АВИВСКАЯ ФОНДОВАЯ БИРЖА
- Тестирование
- чем
- который
- Ассоциация
- информация
- их
- Их
- Там.
- Эти
- они
- задача
- этой
- те
- время
- в
- вызвать
- ОЧЕРЕДЬ
- два
- Updates
- использование
- ценный
- различный
- видимость
- хотеть
- законопроект
- we
- ЧТО Ж
- когда
- , которые
- будете
- Работа
- работавший
- стоимость
- бы
- записывать
- письмо
- письменный
- Ты
- ВАШЕ
- зефирнет