Presentarse al mundo entero

Introducción

La tecnología ha existido desde hace más de una década. Nosotros, en tenemos en los últimos años publicado mucho sobre este tema. Sin embargo, como hablamos con varias personas de la industria, una zona que carece de claridad es el mantra de éxito para una buena aplicación SIEM. Mientras que la mayor parte de las discusiones en torno a SIEM giran en torno al espacio del producto (como los vendedores con razón apuntar hacia), rara vez lo hacen la gente habla de "en el terreno" se acerca a un éxito (agnóstico producto) implementación y operaciones.

Este post tiene como objetivo ofrecer un enfoque "en el terreno" para la implementación de Enterprise SIEM. En resumen, vamos a aclarar las diversas empresas SIEM bloques de construcción necesarios para una implementación exitosa.

Lo primero es lo primero

• Esto no es producto específico y puede ser aplicado a cualquier producto SIEM elige implementar
• Esto toma en cuenta que la aplicación SIEM tiene una propuesta de valor en toda la empresa
• Esto toma en cuenta que el programa SIEM es un viaje de varios años y requiere paciencia y cuidado.

Nuestro mantra - "Cuanto más alto se tiene que ir, más fuerte será su posición debe ser".

La metodología que nos gustaría hablar en este post se muestra en el diagrama siguiente:

Empresa SIEM - Building Blocks

Como se puede ver, hay varios componentes o bloques de construcción para una implementación de Enterprise SIEM. El código de colores le debe dar una idea de cómo se agrupan los distintos aspectos de la aplicación SIEM. En este post, nos gustaría deconstruir este modelo en detalle.

Gestión del Registro de Empresa

El bloque de construcción más importante o la fundación de un exitoso programa de aplicación SIEM está previsto en el Log Management Enterprise. Mientras que usted puede pensar que esto es simple, deja que te aseguramos que no lo es. Registro de gestión de la empresa es el conducto a través del cual se obtiene visibilidad en la red. Si no se hace correctamente, hay posibilidades de que usted puede ser ciega cuando un incumplimiento ocurre. Hay varios pasos a un exitoso programa de gestión de registros a saber:

• Definir Activos en Ámbito de aplicación - la infraestructura de TI que importa a su empresa es en su alcance. La manera pragmática de alcance es partir de las joyas de la corona (servidores de aplicaciones, bases de datos, etc.) y su forma de trabajo a la entrada y los puntos de contacto de egreso (dispositivos de red). Esto debe darle una lista de activos de infraestructura en su alcance.
• Definir e implementar la política de empresa de registro - Una vez que los activos están en el ámbito, es importante normalizar los niveles de registro en toda la empresa. Habitualmente, la política de registro se define teniendo en cuenta la practicidad y facilidad de uso. Lo que quiero decir con esto es, un equilibrio entre los niveles de registro y el rendimiento del sistema / almacenamiento se asegurará de que la seguridad no afecta la productividad y la disponibilidad de negocios.
• De centralizado o descentralizado Repositorio Log - La construcción de una arquitectura de registro requiere previsión de cómo la organización va a evolucionar a lo largo de un período de tiempo. Un repositorio central de registro puede tener sentido para la mayoría de las organizaciones, sin embargo, un repositorio de registro descentralizado controlado puede tener sentido para algunas organizaciones. La elección del enfoque determina el curso de la cual los otros bloques de construcción en nuestra metodología de toma.

En Infosecnirvana, hablamos de Gestión del Registro de Empresa en dos mensajes detallados:

Estos puestos deberán dar más detalles sobre la forma de gestión Enterprise Log Manager debe ser abordado y cómo deben ser manejados.

Correlación de Eventos

Una vez que la base de gestión de Enterprise Log se coloca fuerte, correlación de eventos se hace más simple y más significativa. Aquí es donde entra en SIEM a la imagen. SIEM como todos sabemos, los datos necesarios para la ejecución de correlación y monitorización de eventos. Registro de gestión de la empresa que proporciona los datos. Hay varios productos SIEM por ahí y nosotros en Infosecnirvana han escrito varios mensajes en los diferentes productos SIEM y la forma en que son similares o diferentes entre sí.

Los puestos de arriba deben dar suficiente información sobre SIEM desde un ángulo tecnología y producto.

Casos de uso:

Una vez que los registros se recogen y se correlacionan en una solución SIEM, poniendo las "capacidades de correlación" para un buen uso es el siguiente paso. La mejor manera de hacerlo es con los casos de uso. Los casos de uso como se puede ver en la imagen de arriba se compone de dos bloques de construcción a saber:

La detección de amenazas Use Cases - Estos son los casos de uso básicos que pueden ser creados y ejecutados una vez que todos los registros se recogen en al SIEM. Estos casos de uso son "basada en reglas" y detectar amenazas procedentes de los productos de puntos infraestructura mismos. Correlación sucede basa en estos conjuntos de datos internos. Ejemplos típicos son Alerta IDS correlacionados con los registros del servidor web, alertas de malware correlacionados con los registros del servidor de seguridad, alertas de SPAM correlacionados con los registros de punto final etc. avanzada Casos de uso - La siguiente etapa en la evolución de la detección de amenazas Los casos de uso es hacer uso de la Inteligencia de amenaza y Analytics capacidad para detectar amenazas a la seguridad e incidentes entre ellos el de las denominadas amenazas de estilo. Estos clase de casos de uso están en la parte superior de la cadena alimentaria SIEM casos de uso y potencialmente saltar en el "interior", donde las técnicas de detección innovadoras necesitan ser creados y utilizados en el SIEM para la detección de amenazas. Correlación aquí sucede basa en conjuntos de datos internas y externas combinadas conaprendizaje automático, tendencias, etc.

Nos hemos hecho en algunos puestos en los casos de uso SIEM y la forma en que se pueden desarrollar. es un post muy popular que se ha hecho referencia en y.

Cibernética Inteligencia:

Una vez que los casos de uso están en su lugar, es imperativo que comencemos incorporando algunas de las alimentaciones de Inteligencia que está disponible. Lo que hace Ciber Inteligencia de casos de uso es similar a lo que hace un compás de un marino. Mientras que la mayoría de las herramientas SIEM hoy en día ofrecen algún tipo de capacidad de inteligencia, la racionalización y lo que es parte de las operaciones diarias es el mayor desafío. En nuestra opinión, la recolección y el uso de Cyber ​​La inteligencia es un proceso iterativo que se resumen a continuación:

Tiene tres pasos específicos a saber:

• Recolección de Datos - Los datos pueden ser de código abierto, la comunidad, la inteligencia humana con fines comerciales o prima y la recolección de esto requiere un poco de la integración de la tecnología, la gestión de datos y la caza.
• Forrajeo Loop - Básicamente, forrajeo de bucle no es más que la búsqueda de "tesoro" de los montones de datos recogidos. Este es el paso crítico en el ámbito de la inteligencia cibernética. Búsqueda de alimento es el mejor hecho por los analistas que entienden la organización íntimamente en términos de lo que es la infraestructura y la difusión de software.
• Análisis Avanzado - Una vez que nos hemos reunido los datos, se normalizó y se filtra todos los elementos irrelevantes a cabo, lo que queda al final de la "forrajeo Loop" es la inteligencia aplicable. Analizando esto utilizando técnicas tradicionales como la marcha atrás, fregadero análisis agujero, reconocimiento de patrones, etc dará una lista de indicadores de valor de transacción (COI).
• Acción y de Información - Una vez que el COI está disponible, se puede utilizar para crear contenido en nuestros sistemas de defensa. Puede ser sistemas perimetrales, puede ser herramientas SIEM, puede ser administrativas tomas de bajadas, etc. Aquí es donde damos sentido acerca de la información recopilada y analizada. El sensemaking bucle tiene que ver con esto.

Una vez que convertimos en inteligencia a los datos procesables COI, que está listo para ser utilizado en casos de uso SIEM. La mayoría de las organizaciones maduras, actualice constantemente su infraestructura de monitorización con acciones concretas de Inteligencia, ya que las listas negras de IP y dominio ya no son suficientes para detectar amenazas.

Risk Analytics:

La última capacidad o la capacidad más madura en nuestra opinión es la capacidad de "Risk Analytics". Mientras que el término es genérico, cuando se ve que en una jerga SIEM, toma un significado muy específico. SIEM con casos de uso avanzada y capacidad de inteligencia cibernética proporciona la mayor visibilidad en la red / activos de una organización. Sin embargo, esta visibilidad es una visibilidad "de punto en el tiempo". No proporciona "retrospección". Con capacidad de Analytics, las organizaciones pueden volver atrás en el tiempo, analizar las cosas en retrospectiva, identificar patrones comunes de riesgo durante un período de tiempo más largo, identificar valores atípicos, etc. Esto es en mi opinión la función de más rápido crecimiento en el espacio cibernético de hoy. Cuando se escucha términos como "Seguridad Analytics", "Comportamiento Analytics", todos ellos son nada más que los subconjuntos de la capacidad Risk Analytics más grande. Empresas como, Caspida (Splunk), etc., son algunos de los principales candidatos en este espacio.

Conclusión:

Como se puede ver en el post entero, el enfoque es en capas y la etapa sabia. Su objetivo están proporcionando una vía de crecimiento estructurada, orgánica hacia la generación de valor completa de su aplicación SIEM. No dude en compartir sus pensamientos sobre este libre.

Hasta la próxima ... .ciao !!!