Для Гіла Шуа отримання максимальної віддачі від системи керування подіями безпеки (SIEM) для Тель-Авівської фондової біржі зводиться до правильного співвідношення сигнал/шум. Це і написання правильних правил.
Співвідношення сигнал/шум, як відомо кожному радіочастотному інженеру, зводиться до кількості фактичного вмісту (сигналу) до статичних та інших звукових перешкод (шуму). Для Shua мета полягає в тому, щоб мінімізувати кількість шуму, що надсилається до SIEM, на користь корисного вмісту. Він шукає щось, що змусить його встати з-за столу з усвідомленням: «У нас проблема; у нас є те, що ми хочемо вирішити зараз і виправити».
Шуа працював на різних посадах служби безпеки на Тель-Авівській фондовій біржі (TASE) більше десяти років і був призначений CISO в 2022 році. Протягом цього часу, за його словами, це була «постійна гонитва за ресурсами даних», щоб переконатися, що сигнал- Співвідношення шуму змінюється на користь даних сигналу, щоб максимізувати можливості та переваги SIEM обміну.
Фільтрація шуму
У Шуа та його команди є багато роботи, оскільки в більшості SIEM «ви бачите багато шуму та мало сигналу». Це призводить до помилкових спрацьовувань і неправильних конфігурацій, що, у свою чергу, створює додаткову роботу для команди SOC, знижує продуктивність і є перешкодою для намагаючись налагодити роботу SIEM.
Щоб мінімізувати це, Шуа каже, що команда SOC може написати правила, як SIEM обробляє вхідні дані, але створення цих правил також забирає дорогоцінний час команди SOC.
Але писати правила кореляції SIEM відносно легко, якщо рішення SIEM уже має попередньо визначений аналіз журналу та правила для програми звітування, каже Шуа. Але перед написанням правил команда SOC повинна:
- Визначте структуру даних і визначте відповідні поля, необхідні для правила.
- Зрозумійте логіку систем звітності, оскільки вони можуть мати власні стандарти журналу.
- Створіть точне співвідношення правил і проаналізуйте винятки.
- Виконуйте контроль якості та тестування.
Кожна з цих завдань може зайняти кілька годин, але якщо вони складніші, на виконання можуть знадобитися дні, додає Шуа.
«Коли ви створюєте SIEM, у вас є дві проблеми. Один із них: «Чи є у мене правила, які захищають мене від відповідних атак… чи діють на мене ефективні правила?» По-друге, чи отримую я інформацію від систем звітності, яка активує ці правила?».
Нещодавнє додавання платформи CardinalOps покращило Splunk Enterprise на TASE; Шуа каже, що процес написання правил значно скоротився: за кілька місяців використання цієї конкретної технології було створено 85 правил. «Команда більше зосереджена на впровадженні правил і їх тестуванні, а не на їх написанні, що було найбільш трудомістким процесом у посиланні», – додає він.
Отже, чи варті SIEM часу та грошей, витрачених на кореляцію та написання правил? Шуа визнає, що підтримка SIEM є складним завданням, оскільки є потреба в постійних оновленнях і модифікаціях. Незважаючи на всі зусилля, деякі атаки можуть залишитися непоміченими через відсутність видимості або правил відповідності.
«Я очікую, що майбутні рішення матимуть можливості автоматизації для створення автономних правил і реагування з коробки», — каже Шуа.
А оскільки SIEM отримують дані з багатьох джерел, вони мають стати більш ефективними, обробляючи, аналізуючи та зберігаючи дані в різних форматах. «Потрібно внести корективи, щоб підтримувати», — каже Шуа, додаючи, що неправильне керування змінами означає, що організація може пропустити деякі події безпеки.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- ChartPrime. Розвивайте свою торгову гру за допомогою ChartPrime. Доступ тут.
- BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
- джерело: https://www.darkreading.com/dr-global/tel-aviv-stock-exchange-ciso-making-better-use-of-your-siem
- : має
- :є
- : ні
- $UP
- 2022
- 7
- a
- дію
- фактичний
- додати
- доповнення
- адреса
- Додає
- коректування
- прийняти
- проти
- ВСІ
- вже
- am
- кількість
- суми
- an
- аналізувати
- Аналізуючи
- та
- додаток
- призначений
- ЕСТЬ
- AS
- гарантія
- At
- нападки
- Автоматизація
- автономний
- BE
- оскільки
- ставати
- було
- перед тим
- Переваги
- Краще
- Box
- але
- CAN
- можливості
- зміна
- погоня
- CISO
- приходить
- повний
- комплекс
- Турбота
- постійна
- зміст
- Кореляція
- покритий
- створює
- створення
- Вирізати
- дані
- Структура даних
- Днів
- десятиліття
- вимогливий
- стіл
- Незважаючи на
- різний
- Зрив
- do
- вниз
- малювати
- два
- під час
- кожен
- легко
- Ефективний
- ефективний
- зусилля
- інженер
- забезпечувати
- встановити
- Event
- Події
- Кожен
- обмін
- очікувати
- додатково
- на користь
- кілька
- Поля
- виправляти
- увагу
- для
- від
- майбутнє
- отримати
- отримання
- Go
- мета
- Ручки
- Мати
- he
- його
- його
- ГОДИННИК
- Як
- HTTPS
- i
- ідентифікувати
- if
- реалізації
- поліпшений
- in
- Вхідний
- інформація
- IT
- пунктів
- JPG
- відсутність
- Веде за собою
- Ймовірно
- LINK
- журнал
- логіка
- шукати
- серія
- підтримувати
- Підтримка
- зробити
- РОБОТИ
- Робить
- управління
- багато
- масово
- узгодження
- макс-ширина
- Максимізувати
- Може..
- me
- засоби
- Поправки
- гроші
- місяців
- більше
- більш ефективний
- найбільш
- повинен
- Необхідність
- необхідний
- шум
- зараз
- of
- on
- ONE
- or
- організація
- Інше
- з
- власний
- приватність
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- позиції
- Проблема
- процес
- обробка
- Вироблений
- продуктивність
- захист
- якість
- співвідношення
- RE
- реалізація
- останній
- Знижений
- знижує
- щодо
- доречний
- Звітність
- ресурси
- відповідь
- право
- Правило
- Правила
- s
- говорить
- другий
- безпеку
- події безпеки
- побачити
- посланий
- Сигнал
- з
- рішення
- Рішення
- деякі
- що в сім'ї щось
- Source
- Джерела
- відпрацьований
- стандартів
- акції
- Фондова Біржа
- зберігання
- структура
- система
- Systems
- Приймати
- приймає
- Завдання
- команда
- Технологія
- Такі
- Тель-Авів
- ТЕЛЬ-АВІВСЬКА ФОНДОВА БІРЖА
- Тестування
- ніж
- Що
- Команда
- інформація
- їх
- Їх
- Там.
- Ці
- вони
- річ
- це
- ті
- час
- до
- викликати
- ПЕРЕГЛЯД
- два
- Updates
- використання
- Цінний
- різний
- видимість
- хотіти
- було
- we
- ДОБРЕ
- коли
- який
- волі
- з
- Work
- працював
- вартість
- б
- запис
- лист
- письмовий
- Ти
- вашу
- зефірнет