特拉维夫证券交易所 CISO：更好地利用您的 SIEM

对于 Gil Shua 来说，充分利用特拉维夫证券交易所的安全信息事件管理 (SIEM) 系统归结为获得正确的信噪比。 那，并编写正确的规则。

正如每个射频工程师都知道的那样，信噪比可以归结为实际内容（信号）与静电和其他声音干扰（噪声）的数量。 对于 Shua 来说，目标是最大限度地减少发送到 SIEM 的噪音量，以支持可操作的内容。 他正在寻找能让他从办公桌上站起来并意识到“我们遇到了问题；我们需要解决问题”的东西。 我们现在有一些事情想要解决并解决它。”

Shua 在特拉维夫证券交易所 (TASE) 担任过各种安全职位十多年，并于 2022 年被任命为 CISO。他表示，在那段时间，我们一直在“不断追逐数据资源”，以确保信号——信噪比偏向于信号数据，以最大限度地发挥交易所 SIEM 的功能和优势。

过滤噪音

Shua 和他的团队已经完成了他们的工作，因为对于大多数 SIEM，“你会看到很多噪音，而不是很多信号。” 这会导致误报和错误配置，进而为 SOC 团队带来额外的工作，降低生产力，并阻碍 尝试让 SIEM 发挥作用.

Shua 表示，为了最大限度地减少这种情况，SOC 团队可以编写 SIEM 如何处理传入数据的规则，但创建这些规则也会占用 SOC 团队宝贵的时间。

但 Shua 表示，如果 SIEM 解决方案已经为报告应用程序预定义了日志解析和规则，则编写 SIEM 关联规则相对容易。 但在编写规则之前，SOC 团队必须： 

• 弄清楚数据结构并确定规则所需的相关字段。
• 了解报告系统的逻辑，因为它们可能有自己的日志标准。
• 创建精确的规则关联并分析异常。
• 执行质量保证和测试。

Shua 补充道，这些行动项目每个可能需要几个小时，但如果它们更复杂，则可能需要几天的时间才能完成。

“当您建立 SIEM 时，您有两个问题。 一是“我是否有保护我免受相关攻击的规则……我是否受到有效规则的保护？” 第二件事是，‘我是否从报告系统获得了触发这些规则的信息？’”

最近添加的 CardinalOps 平台改进了 TASE 的 Splunk Enterprise； Shua 表示，编写规则的过程已大大减少，在使用这项特殊技术的几个月内就生成了 85 条规则。 “团队更专注于实施规则并测试它们，而不是编写它们，这是链接中最耗时的过程，”他补充道。

那么 SIEM 值得在关联性和规则编写上花费时间和金钱吗？ Shua 承认维护 SIEM 是一项艰巨的任务，因为需要不断更新和修改。 尽管付出了所有努力，但由于缺乏可见性或匹配规则，某些攻击可能会被忽视。

“我预计未来的解决方案将采用自动化功能来进行自主规则创建和响应，开箱即用，”舒阿说。 

由于 SIEM 从多个来源获取数据，因此它们必须更加高效地处理、分析和存储不同格式的数据。 Shua 说：“你必须做出调整才能维护。”他补充说，不适当的变更管理意味着组织可能会错过一些安全事件。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 汽车/电动汽车， 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• 图表Prime。 使用 ChartPrime 提升您的交易游戏。 访问这里。
• 块偏移量。 现代化环境抵消所有权。 访问这里。
• Sumber: https://www.darkreading.com/dr-global/tel-aviv-stock-exchange-ciso-making-better-use-of-your-siem