Муҳоҷирати Google Cloud SIEM

Маълумот оид ба маҳсулот

Мушаххасоти:

• Номи маҳсулот: Дастури муҳоҷирати SIEM
• Муаллиф: Номаълум
• Нашр шудааст Соли: Муайян нашудааст

Дастурҳои истифодаи маҳсулот

• Интихоби SIEM нав
  Аз худ ва дастаи худ якчанд саволҳои калидӣ диҳед, то ҷиҳатҳои қавӣ ва заифии ҳар як пешниҳодро ошкор созед. Ҳар як қудрати олии SIEM-ро зуд муайян кунед ва нақша гиред, ки ташкилоти шумо чӣ гуна метавонад пешрафт кунадtagд аз онхо.
• SIEM-и абрӣ
  Муайян кунед, ки оё SIEM аз ҷониби провайдери хидматрасонии абрии ибтидоӣ (CSP) пешниҳод карда мешавад, ки метавонад инфрасохтори миқёси ҷаҳониро бо нархҳои яклухт таъмин кунад. Моделҳои ҷобаҷогузории SIEM-и абрӣ имкон медиҳанд, ки миқёспазирӣ ва идоракунии динамикии сарбории кории абрӣ.
• SIEM бо Intelligence
  Санҷед, ки оё фурӯшандаи SIEM иктишофии пайвастаи таҳдидҳои пешинаро пешниҳод мекунад, то ошкор кардани таҳдидҳои нав ва пайдошавандаро берун орад.

SIEM мурдааст, зинда бод SIEM

Агар шумо мисли мо бошед, шояд шумо ҳайрон шавед, ки дар соли 2024, системаҳои иттилооти амниятӣ ва идоракунии рӯйдодҳо (SIEM) ҳанӯз ҳам асоси аксари марказҳои амалиёти амниятӣ (SOC) мебошанд. SIEM-ҳо ҳамеша барои ҷамъоварӣ ва таҳлили маълумоти амниятӣ аз саросари созмони шумо истифода мешуданд, то ба шумо дар муайян, таҳқиқ ва вокуниш ба таҳдидҳо зуд ва муассир кӯмак расонанд. Аммо воқеият ин аст, ки SIEM-ҳои муосири имрӯза ба онҳое, ки 15+ сол пеш сохта шудаанд, пеш аз болоравии меъмории абрӣ, таҳлили шахсият ва рафтори корбар (UEBA), ташкили амният, автоматизатсия ва вокуниш (SOAR), идоракунии сатҳи ҳамла каме монандӣ доранд. ва албатта AI, барои номи чанде.
SIEM-ҳои кӯҳна аксар вақт суст, вазнин ва истифодаашон душвор мебошанд. Меъмории меросии онҳо аксар вақт онҳоро аз миқёси ворид кардани манбаъҳои сабти ҳаҷм пешгирӣ мекунад ва онҳо наметавонанд бо таҳдидҳои навтарин нигоҳ дошта шаванд ё хусусиятҳо ва қобилиятҳои навтаринро дастгирӣ кунанд. Онҳо метавонанд чандириро барои дастгирии талаботи мушаххаси ташкилоти шумо пешниҳод накунанд ё ба стратегияи бисёр абрӣ, ки барои аксари созмонҳои имрӯза воқеият аст, мувофиқат накунанд. Ниҳоят, онҳо метавонанд барои гирифтани пешравӣ суст ҷойгир бошандtagд аз навтарин пешрафтҳои технологӣ, ба монанди зеҳни сунъӣ (AI).
Ҳамин тавр, дар ҳоле ки SIEM бо ягон номи дигар метавонад мисли ширин садо диҳад, дастаҳои амалиёти амниятӣ ба такя хоҳанд кард
"Платформаҳои амалиёти амниятӣ" (ё новобаста аз он ки онҳо бо кадом ном мераванд) дар ояндаи наздик барои ошкор кардани таҳдидҳо, тафтишот ва вокуниш нишон медиҳанд.

Муҳоҷирати бузурги SIEM оғоз ёфт

Муҳоҷирати SIEM нав нест. Ташкилотҳо аз SIEM-и мавҷудаи худ аз муҳаббат афтодаанд ва дар тӯли солҳо имконоти навтар ва беҳтар меҷӯянд. Эҳтимол аксар вақт, созмонҳо бо SIEM-и пастсифат ва/ё аз ҳад гаронарзиши худ то дертар аз он ки мехостанд, тоб меоварданд, қисман аз сабаби нигарониҳо дар бораи мураккабии мубориза бо муҳоҷирати SIEM.
Аммо моҳҳои охир дар фазои SIEM тағироти тектоникиро ҷорӣ карданд, ки онҳоро кам гуфта намешавад. Шубҳае нест, ки манзараи SIEM пас аз чанд соли кӯтоҳ комилан тағир хоҳад ёфт - таваллуд кардани пешвоёни нави бозор ва дидани коҳиш ва ҳатто нобудшавии "динозаврҳо", ки даҳсолаҳо дар замини SIEM ҳукмронӣ мекарданд (ё " eons" бо истилоҳи киберамният). Ин таҳаввулот бешубҳа муҳоҷиратро аз платформаҳои кӯҳнаи SIEM ба платформаҳои муосир суръат мебахшад, зеро бисёре аз созмонҳо ҳоло бо воқеият рӯбарӯ мешаванд, ки кай онҳо бояд муҳоҷират кунанд, ба ҷои он ки онҳо бояд муҳоҷират кунанд.

Ин аст мухтасари ҳаракатҳои асосӣ танҳо дар 9 моҳи охир:

Муайян кардани камбудиҳо дар SIEM-и кунунии шумо нисбат ба интихоби беҳтарин ивазкунанда ва иҷрои бомуваффақияти муҳоҷират хеле осонтар аст. Инчунин қайд кардан муҳим аст, ки нокомии ҷойгиркунии SIEM инчунин метавонад аз равандҳо (ва баъзан одамон) ба амал ояд, на танҳо технология. Дар ин ҷо ин мақола ворид мешавад. Муаллифон дар тӯли даҳсолаҳои зиёд садҳо муҳоҷирати SIEM-ро ҳамчун таҷрибаомӯз, таҳлилгарон ва фурӯшандагон дидаанд. Пас, биёед маслиҳатҳои беҳтарини муҳоҷирати SIEM-ро барои соли 2024 баррасӣ кунем. Мо ин рӯйхатро ба категорияҳо тақсим мекунем ва дарсҳоеро, ки аз хандакҳо гирифтаем, мепошем.

Интихоби SIEM нав

Аз худ ва дастаи худ якчанд саволҳои калидӣ диҳед, то ҷиҳатҳои қавӣ ва заифии ҳар як пешниҳодро ошкор созед. Мо тавсия медиҳем, ки ҳар як "қудратҳои" SIEM-ро зуд муайян кунем ва ба нақша гирем, ки ташкилоти шумо чӣ гуна метавонад пешрафт кунадtagд аз онхо. Барои мисолampле:

• SIEM-и абрӣ
  
  • Оё SIEM аз ҷониби провайдери хидматрасонии абрӣ (CSP) пешниҳод шудааст, ки метавонад инфрасохтори миқёси ҷаҳониро бо нархҳои яклухт таъмин кунад?
    Таҷрибаи мо нишон медиҳад, ки провайдерҳои SIEM, ки дар абрҳо кор мекунанд, ки моликияти онҳо нестанд, дар бартараф кардани "маржаи маржа" -и ногузир, ки бо чунин моделҳо меояд, душворӣ мекашанд. Ин савол ба таври ногусастанӣ бо хароҷот алоқаманд аст.
    Модели ҷобаҷогузории SIEM-и абрӣ инчунин ба SIEM имкон медиҳад, ки дар посух ба таҳдидҳои нав миқёсро боло ва поён кунад ва инчунин хусусияти динамикии сарбории абрии созмонро идора кунад. Инфрасохтори абрӣ ва замимаҳо метавонанд дар тӯли дақиқаҳо ба таври назаррас афзоиш диҳанд. Меъмории SIEM-и абрӣ имкон медиҳад, ки асбобҳои муҳими гурӯҳҳои амниятӣ дар баробари эҳтиёҷоти созмони калонтар дар як суръат васеъ шаванд.
    SIEM-ҳои абрӣ инчунин барои таъмини сарбории кории абрӣ хуб ҷойгир шудаанд. Онҳо интиқоли маълумоти камдаромадро аз хидматҳои абрӣ таъмин мекунанд ва мундариҷаи ошкорро барои муайян кардани ҳамлаҳои маъмул дар абр интиқол медиҳанд.
• SIEM бо Intelligence
  • Оё фурӯшандаи SIEM як ҷараёни доимии иктишофии таҳдидҳои фронтиро барои берун аз қуттӣ ошкор кардани таҳдидҳои нав ва пайдошаванда дорад?
    Ин сарчашмаҳои тиллоӣ маъмулан аз таҷрибаҳои вокуниши вокуниш ба ҳодисаҳои сатҳи баланд, истифодаи пешниҳодҳои абрии истеъмолии азими IaaS ё SaaS ё пойгоҳҳои глобалии насби маҳсулоти нармафзори амниятӣ ё системаҳои оператсионӣ ба вуҷуд меоянд.
    Маълумоти иктишофии таҳдидҳо барои созмонҳо барои ба таври муассир ошкор, санҷиш, таҳқиқ ва вокуниш ба ҳодисаҳои амниятӣ муҳим аст. Маълумоти иктишофии таҳдидҳои фронтӣ, махсусан, арзишманд аст, зеро он дар вақти воқеӣ дар бораи таҳдидҳо ва осебпазириҳои охирин маълумот медиҳад. Ин маълумот метавонад барои зуд муайян ва бартарият додани ҳодисаҳои амниятӣ ва таҳия ва татбиқи стратегияҳои муассири вокуниш истифода шавад.
    Барои беҳтар кардани қобилияти ошкор кардани таҳдид ва вокуниш дар вақти воқеӣ, созмонҳои амниятӣ дар ҷустуҷӯи ҳамгироии бефосилаи иктишофии таҳдидҳо ва каналҳои додаҳои марбут ба ҷараёни корӣ ва асбобҳои амалиёти амниятии худ ҳастанд. Кафедраи чархзананда, нусхабардорӣ ва ҳамгироии нозук байни SIEM ва манбаи таҳдиди Intel резиши ҳосилнокӣ мебошанд ва онҳо ба самаранокии даста ва таҷрибаи таҳлилгарон таъсири манфӣ мерасонанд.
• SIEM бо мундариҷаи интихобшуда
  • Оё SIEM китобхонаи васеи таҳлилгарон ва қоидаҳои муайянкуниро дастгирӣ мекунад ва амалҳои ҷавобиро пешниҳод мекунад?
    Маслиҳат: Баъзе фурӯшандагони SIEM тақрибан танҳо ба ҷомеаи корбарони худ ё шарикони иттифоқи техникӣ такя мекунанд, то таҳлилгарон барои каналҳои маъмули маълумот эҷод кунанд. Гарчанде ки ҷомеаи корбарони рушдёбанда муҳим аст, вобастагии аз ҳад зиёд ба он барои фароҳам овардани қобилиятҳои бунёдӣ, ба монанди таҳлил мушкилот аст. Таҳлилгарон барои манбаъҳои умумии додаҳо бояд мустақиман аз ҷониби фурӯшандаи SIEM эҷод, нигоҳдорӣ ва дастгирӣ карда шаванд. Ҳангоми дидани мундариҷаи қоидаи ошкоркунӣ ҳамин равишро истифода баред. Қоидаҳои ҷомеа муҳиманд, аммо шумо бояд интизор шавед, ки фурӯшандаи шумо як китобхонаи мустаҳками кашфиётҳои асосиро эҷод ва нигоҳ медорад, ки мунтазам санҷида, дастгирӣ ва такмил дода мешаванд. Муайянкунии баландсифати таҳдидҳо барои созмонҳо барои идоракунии самараноки мавқеи амниятии худ муҳим аст. Google SecOps ошкор кардани таҳдидҳои нав ва пайдошавандаро таъмин мекунад, ки метавонад ба созмонҳо дар муайян ва вокуниш ба ҳодисаҳои амниятӣ кӯмак кунад.
• SIEM бо AI
  • Оё SIEM AI-ро дар бар мегирад ва оё он барои идома додани инноватсия мавқеъ дорад?
    Нақши зеҳни сунъӣ дар SIEM ҳанӯз аз ҷониби ягон фурӯшанда пурра дарк нашудааст (камтар амалӣ карда мешавад). Аммо, SIEM-ҳои пешқадам аллакай дорои хусусиятҳои моддии интиқоли AI мебошанд. Ин хусусиятҳо коркарди забони табиӣ барои ифодаи ҷустуҷӯҳо ва қоидаҳо, ҷамъбасти автоматии парванда ва амалҳои ҷавобии тавсияшударо дар бар мегиранд. Аксари муштариён ва нозирони соҳа хусусиятҳое ба монанди ошкор кардани таҳдид ва таҳлили пешгӯии рақибро баъзе аз “сабзҳои муқаддас”-и қобилиятҳои SIEM, ки ба AI асос ёфтааст, медонанд. Ҳеҷ як SIEM имрӯз ин хусусиятҳоро боэътимод пешниҳод намекунад. Вақте ки шумо SIEM-и навро дар соли 2024 интихоб мекунед, фикр кунед, ки оё фурӯшанда захираҳои заруриро барои пешрафти назаррас дар ин қобилиятҳои тағирёбанда сармоягузорӣ мекунад.

Google Security Operations (собиқ Chronicle) як ҳалли SIEM дар асоси абрист, ки аз ҷониби Google Cloud пешниҳод шудааст. Он барои кӯмак расонидан ба созмонҳо ба таври мутамарказ ҷамъоварӣ кардани гузоришҳо ва дигар телеметрияи амниятӣ, сипас дар ошкор, таҳқиқ ва вокуниш ба таҳдидҳои амниятӣ дар вақти воқеӣ тарҳрезӣ шудааст. 

• Таҳдидҳои амниятро ошкор ва афзалият диҳед: Қоидаҳои ошкоркунии Google SecOps дар вақти воқеӣ таҳдидҳои амниятро муайян ва афзалият медиҳанд. Ин ба созмонҳо кӯмак мекунад, ки ба таҳдидҳои муҳимтарин зуд ва муассир посух диҳанд.
• Тафтиши ҳодисаҳои амниятӣ: Google SecOps як платформаи мутамарказро барои таҳқиқи ҳодисаҳои амниятӣ таъмин мекунад. Ин ба созмонҳо кӯмак мекунад, ки далелҳоро зуд ва самаранок ҷамъоварӣ кунанд ва доираи ҳодисаро муайян кунанд.
• Вокуниш ба ҳодисаҳои амниятӣ: Google SecOps асбобҳои гуногунеро пешниҳод мекунад, ки ба созмонҳо дар вокуниш ба ҳодисаҳои амниятӣ, аз қабили ислоҳоти автоматӣ кӯмак расонанд. Шикорчиёни таҳдид суръат, қобилиятҳои ҷустуҷӯии платформа ва иктишофии таҳдидҳои истифодашударо дар пайгирии ҳамлагарон, ки шояд аз тарқишҳо гузашта бошанд, бебаҳо медонанд. Ин ба созмонҳо барои зуд ва муассир нигоҳ доштан ва кам кардани таъсири ҳодисаҳои амниятӣ кӯмак мекунад.
  Google SecOps дорои як қатор афзалиятҳо мебошадtages бар ҳалли анъанавии SIEM, аз ҷумла:
• Мағзи маслуӣ: Google SecOps технологияи Gemini AI-и Google-ро истифода мебарад, то ба муҳофизон имкон диҳад, ки миқдори зиёди маълумотро дар сонияҳо бо забони табиӣ ҷустуҷӯ кунанд ва тавассути посух додан ба саволҳо, ҷамъбасти рӯйдодҳо, шикори таҳдидҳо, эҷоди қоидаҳо ва иҷрои амалҳои тавсияшуда дар асоси контексти тафтишот қарорҳои зудтар қабул кунанд. Гурӯҳҳои амниятӣ инчунин метавонанд Gemini-ро дар Амалиётҳои Амният истифода баранд, то китобҳои ҷавобиро ба осонӣ созанд, конфигуратсияҳоро танзим кунанд ва таҷрибаҳои беҳтаринро дар бар гиранд - ба содда кардани вазифаҳои вақтталаб, ки таҷрибаи амиқро талаб мекунанд, кӯмак мекунанд.
• Тадбирҳои иктишофии таҳдидҳо: Google SecOps аслан бо Google Threat Intelligence (GTI) ҳамгиро мешавад, ки иктишофии якҷояро аз VirusTotal, Mandiant Threat Intelligence ва манбаъҳои иктишофии дохилии Google Threat дар бар мегирад, то ба муштариён дар ошкор кардани таҳдидҳои бештар бо кӯшиши камтар кӯмак расонад.
• Миқёспазирӣ: Google SecOps як ҳалли ба абр асосёфта аст, аз ин рӯ он метавонад инфрасохтори абрии гипермиқёсро, ки аз ҷониби Google Cloud пешниҳод шудааст, барои қонеъ кардани қобилият ва иҷрои эҳтиёҷоти ҳама гуна созмон, новобаста аз андоза истифода барад.
• Интегратсия бо Google Cloud: Google SecOps бо дигар маҳсулот ва хидматҳои Google Cloud, ба монанди Google Cloud Security Command Center Enterprise (SCCE) зич муттаҳид карда шудааст. Ин ҳамгироӣ ба созмонҳо имкон медиҳад, ки амалиёти амниятии худро дар як платформаи ягона идора кунанд. Google SecOps беҳтарин SIEM барои телеметрияи хидматрасонии GCP мебошад ва инчунин мундариҷаи ошкоркунии берун аз қуттӣ барои дигар провайдерҳои бузурги абрӣ ба монанди AWS ва Azure -ро дар бар мегирад.

Тадбирҳои иктишофии таҳдидҳо дар Google SecOps
Google SecOps ба гурӯҳҳои амниятӣ имкон медиҳад, ки маълумоти бехатариро идора ва таҳлил кунанд, ки ба таври худкор бо маълумоти таҳдид алоқаманд ва ғанӣ мешаванд. Бо ҳамгироии иктишофии таҳдид мустақиман ба SIEM-и худ, созмонҳо метавонанд:

• Беҳтар кардани ташхис ва триаж: Маълумоти таҳдидро мустақиман барои эҷоди қоидаҳо истифода бурдан мумкин аст, ки метавонанд дар вақти воқеӣ муайян кардани фаъолияти зарароварро муайян кунанд. Ин маълумот инчунин барои илова кардани контекст ба огоҳиҳои дигар ва ба таври худкор танзим кардани эътимод ба огоҳӣ истифода мешавад. Ин ба созмонҳо кӯмак мекунад, ки ҳодисаҳои амниятро зуд ошкор ва тафтиш кунанд ва захираҳои худро ба таҳдидҳои муҳимтарин равона кунанд.
• Тафтишот ва вокунишро такмил диҳед: Маълумоти иктишофии таҳдид метавонад барои пешниҳоди контекст ва фаҳмиш ҳангоми тафтишоти амниятӣ истифода шавад. Ин метавонад ба таҳлилгарон кӯмак кунад, ки сабаби аслии ҳодисаро зуд муайян кунанд ва стратегияҳои муассири вокунишро таҳия ва татбиқ кунанд.
• Пеш аз манзараи таҳдид монед: Маълумоти иктишофии таҳдид метавонад ба созмонҳо кӯмак кунад, ки бо пешниҳоди маълумот дар бораи таҳдидҳо ва осебпазириҳои охирин аз манзараи таҳдид пеш оянд. Ин маълумот метавонад барои таҳия ва татбиқи чораҳои фаъоли амниятӣ, аз қабили шикори таҳдид ва омӯзиши огоҳӣ оид ба амният истифода шавад.

Муайян кардани таҳдид дар Google SecOps
Муайян кардани таҳдидҳои Google SecOps ба ҷараёни пайвастаи иктишофии таҳдидҳои фронтӣ аз гурӯҳҳои амниятии Google асос ёфтааст. Ин иктишофӣ барои эҷоди қоидаҳо ва огоҳиҳо истифода мешавад, ки метавонанд фаъолияти зарароварро дар вақти воқеӣ муайян кунанд. Google SecOps инчунин барои муайян кардани намунаҳои шубҳанок дар маълумоти амниятӣ таҳлили рафтор ва баҳои хавфро истифода мебарад. Ин ба Google SecOps имкон медиҳад, ки таҳдидҳоеро, ки бо қоидаҳои анъанавии муайянкунӣ ошкор карда намешаванд, ошкор кунад.

Арзиши ошкоркунии таҳдидҳои босифат ва мураттабшуда равшан аст. Ташкилотҳое, ки Google SecOps-ро истифода мебаранд, метавонанд аз:

• Муайянкунӣ ва триажи беҳтаршуда: Google SecOps метавонад ба созмонҳо кӯмак кунад, ки ҳодисаҳои бехатариро зуд муайян ва тафтиш кунанд. Ин ба созмонҳо имкон медиҳад, ки захираҳои худро ба таҳдидҳои муҳимтарин равона кунанд.
• Тафтиши мукаммал ва вокуниш: Google SecOps метавонад ҳангоми тафтишоти амниятӣ контекст ва фаҳмиш пешниҳод кунад. Ин метавонад ба таҳлилгарон кӯмак кунад, ки сабаби аслии ҳодисаро зуд муайян кунанд ва стратегияҳои муассири вокунишро таҳия ва татбиқ кунанд.
• Пеш аз манзараи таҳдидҳо бимонед: Google SecOps метавонад ба созмонҳо бо пешниҳоди маълумот дар бораи таҳдидҳо ва осебпазириҳои охирин аз манзараи таҳдидҳо кӯмак кунад. Ин маълумот метавонад барои таҳия ва татбиқи чораҳои фаъоли амниятӣ, аз қабили шикори таҳдид ва омӯзиши огоҳӣ оид ба амният истифода шавад.

Муҳоҷирати SIEM

Пас шумо тасмим гирифтед, ки ҳаракат кунед. Муносибати шумо ба муҳоҷират барои нигоҳ доштани қобилиятҳои зарурӣ ва ҳарчӣ зудтар ба истихроҷи арзиш аз платформаи нав оғоз кардан муҳим аст. Он ба афзалият додан меояд. Мубодилаи маъмулӣ эътироф мекунад, ки ҳарчанд муҳоҷирати SIEM имкони навсозии тамоми равиши шумо ба тафтишот, ошкор ва вокунишро нишон медиҳад, бисёре аз муҳоҷирати SIEM ноком мешаванд, зеро созмонҳо кӯшиш мекунанд “уқёнусро ҷӯшонанд”.

Ҳамин тавр, инҳо беҳтарин маслиҳатҳои мо барои банақшагирӣ ва иҷро кардани муҳоҷирати муваффақи SIEM мебошанд:

• Ҳадафҳои муҳоҷирати худро муайян кунед. Ин возеҳ ба назар мерасад, аммо муҳоҷирати SIEM-и шумо як раванди тӯлонӣ аст, аз ин рӯ муайян кардани натиҷаҳои дилхоҳатон (масалан, зудтар ошкор кардани таҳдид, гузоришдиҳии осонтар дар бораи мувофиқат, беҳтар шудани дидан, кам кардани меҳнати таҳлилгарон ва ҳамзамон кам кардани хароҷот) бо муваффақият сахт алоқаманд аст.
• Муҳоҷиратро ҳамчун имкони тоза кардани хона истифода баред. Ин вақти хубест барои тоза кардан қоидаҳои ошкор ва сарчашмаҳои сабти шумо ва танҳо онҳоеро, ки воқеан истифода мебаред, интиқол диҳед. Он инчунин вақти хубе барои дубора астview равандҳои ҳушдор ва танзими шумо ва боварӣ ҳосил кунед, ки онҳо навсозӣ мешаванд.
• Ҳар як манбаи сабтро интиқол надиҳед. Гузариш ба SIEM-и нав як имконияти хубест барои муайян кардани он, ки кадом гузоришҳо ба шумо лозим аст, хоҳ барои мувофиқат ё бо сабабҳои амниятӣ. Бисёре аз созмонҳо бо мурури замон миқдори зиёди маълумотҳои сабтро ҷамъ мекунанд ва на ҳамаашон ҳатман арзишманд ё мувофиқанд. Бо ҷудо кардани вақт барои арзёбии манбаъҳои сабти худ пеш аз интиқоли онҳо, шумо метавонед SIEM-и худро такмил диҳед ва ба маълумоте, ки барои эҳтиёҷоти амният ва мутобиқати шумо муҳимтар аст, тамаркуз кунед.
• Ҳама мундариҷаро интиқол надиҳед. Гузаронидани ҳама мундариҷаи мавҷудаи ошкоркунӣ, қоидаҳо, огоҳиҳо, панелҳои идоракунӣ, визуализатсияҳо ва китобҳои бозӣ ба SIEM нав на ҳамеша зарур аст. Барои арзёбии фарогирии ошкоркунии ҷории худ вақт ҷудо кунед ва ба муҳоҷирати қоидаҳои зарурӣ авлавият диҳед. Шумо имкониятҳоро барои муттаҳид кардани қоидаҳо, бартараф кардани қоидаҳое пайдо хоҳед кард, ки аз сабаби набудани телеметрия ё мантиқи нодуруст ҳеҷ гоҳ оташ зада наметавонанд ё қоидаҳое, ки бо мундариҷаи берун аз қуттӣ беҳтар коркард мешаванд. Аз ягон фурӯшанда ё шарики ҷойгиркунӣ, ки барои муҳоҷирати қоидаҳои як ба як ҷонибдорӣ мекунад, пурсед.
• Ба муҳоҷирати барвақти мундариҷа афзалият диҳед. Муҳоҷирати мундариҷаи ошкорро фавран пас аз мавҷудияти манбаъҳои гузориш ва ғанисозии зарурӣ барои ҳар як ҳолати мушаххаси истифода оғоз кунед. Ин равиши ба додаҳо асосёфта, ки манбаъҳоро бо ҳолатҳои истифодабарӣ ҳамоҳанг мекунад, имкон медиҳад, ки кӯшишҳои мувозинати муҳоҷиратро барои самаранокӣ ва натиҷаҳои оптималӣ таъмин кунанд.
• Муҳоҷирати муҳтавои ошкоркунӣ як равандест, ки аз ҷониби инсон роҳбарӣ мешавад. Барои аз нав сохтани мундариҷаи ошкоркунӣ (қоидаҳо, огоҳиҳо, панелҳои идоракунӣ, моделҳо ва ғайра) (асосан) аз сифр бо истифода аз мундариҷаи кӯҳнаи худ ҳамчун илҳом омода шавед. Имрӯз, ягон усули беақл барои ба таври худкор табдил додани қоидаҳо аз як платформаи SIEM ба платформаи дигар вуҷуд надорад. Дар ҳоле, ки баъзе фурӯшандагон тарҷумонҳои синтаксисро пешниҳод мекунанд, онҳо ба ҷои як қоида, ҷустуҷӯ ё панели ба таври комил тарҷумашуда ба нуқтаи хуби ҷаҳида оварда мерасонанд. Шумо бояд ҳадди аксар пешрафт гиредtagд аз ин воситаҳо, аммо эътироф кунед, ки онҳо як панацея нестанд.
• Мундариҷаи ошкор аз бисёр сарчашмаҳо меояд. Эҳтиёҷоти фарогирии ошкоркунии худро таҳлил кунед, пас дар ҳолати зарурӣ ҳолатҳои истифодаи ошкоркунии худро қабул кунед ё эҷод кунед. Фурӯшандаи SIEM-и шумо каме аз мундариҷаи қуттӣ таъмин хоҳад кард, ки шумо бояд ҳамеша истифода баред, агар имкон бошад. Инчунин анбори қоидаҳои ҷомеа ва провайдерҳои мундариҷаи ошкоркунии тарафи сеюмро баррасӣ кунед. Ҳангоми зарурат қоидаҳои шахсии худро нависед ва аксари қоидаҳоро дар хотир нигоҳ доред, новобаста аз пайдоиши онҳо, бояд барои муҳити мушаххаси созмони шумо танзим карда шаванд.
• Таҳияи ҷадвали воқеии муҳоҷират. Ин баҳисобгирии интиқоли додаҳо, санҷиш, танзим, омӯзиш ва такрори эҳтимолиро дар бар мегирад, ки дар он шумо бояд ҳарду системаро дар як вақт кор кунед. Нақшаи дақиқи муҳоҷират ба шумо барои муайян кардан ва кам кардани хатарҳо ва бомуваффақият анҷом ёфтани муҳоҷират кӯмак мекунад. Нақша бояд ҷадвали муфассал, рӯйхати вазифаҳо, захираҳо ва буҷетро дар бар гирад. Эътироф кунед, ки лоиҳаҳои бузург ба монанди муҳоҷирати SIEM бояд ба марҳилаҳо тақсим карда шаванд.
• Санҷиш. Мо тавсия медиҳем, ки таҷрибаи санҷиши SIEM ва мундариҷаи муайянкунии худро тавассути ворид кардани маълумоте, ки ба ошкоркунии шумо, тафтиши таҳлил ва тасдиқи ҷараёни додаҳо аз ошкор ба парванда ба китоби ҷавобӣ ангеза медиҳад, тавсия диҳед. Муҳоҷирати SIEM вақти беҳтаринест барои қабули сахтгир барномаи муҳандисии кашф ки ин озмоишро дар бар мегирад.
• Ба давраи гузариш омода шавед, ки дар он шумо асбобҳои кӯҳна ва навро иҷро мекунед. Аз равиши халалдоркунандаи “шикоф ва иваз” худдорӣ намоед. Муҳоҷирати марҳилавӣ, ки дар он шумо манбаъҳои сабтро интиқол медиҳед ва парвандаҳоро истифода мебаред, тадриҷан ба идоракунии раванд кӯмак мерасонад ва хатарро коҳиш медиҳад. Инчунин, дар бораи дубора ворид кардани маълумот аз SIEM-и кӯҳнаи худ ба нав ду бор фикр кунед. Дар баъзе мавридҳо, шумо метавонед имкон дошта бошед, ки SIEM-и қаблиро барои муддати тӯлонӣ кор карда, дастрасӣ ба маълумоти таърихӣ дошта бошед.
• Дастаҳои худро фаъол созед. Муҳоҷирати SIEM-и шумо ноком мешавад, агар таҳлилгарони шумо системаи навро истифода набаранд. Нақшаи хуби муҳоҷират имкони амиқ барои дастаҳои шуморо дар бар мегирад. Дар бораи омӯзиши муҳандисон оид ба воридшавӣ ва таҳлили додаҳо, омӯзиши таҳлилгарон оид ба идоракунии парванда/тафтишот/триаж, шикорчиёни таҳдид оид ба ошкор/ҷустуҷӯи аномалия ва муҳандисони ошкор оид ба навиштани қоида фикр кунед. Вақт барои фаъолсозӣ муҳим аст. Беҳтар аст, ки кормандонро ҳангоми оғоз кардани марҳилаҳои мушаххаси муҳоҷират омӯзонед, на он ки пеш аз он ки ин малакаҳо талаб карда шаванд.
• Ёрӣ гиред! Агар шумо ҳамчун таҷрибаомӯз ё роҳбар хушбахт бошед (ё шояд бадбахт?), шумо шояд дар карераи худ як ё ду муҳоҷирати SIEM-ро паси сар карда бошед. Чаро ба мутахассисоне, ки даххо ва садхо маротиба ин корро кардаанд, ёрй на-гиред? Гурӯҳҳои хидматрасонии касбӣ аз фурӯшанда ва/ё гурӯҳҳои машваратӣ аз шарикони соҳибихтисос интихоби олӣ мебошанд. Муҳоҷирати SIEM асосан кӯшишҳои ба инсон нигаронидашуда мебошанд.

Раванди асосӣ: Шарики густаришро интихоб кунед
Ҳеҷ як қарор ба муваффақияти ниҳоии муҳоҷирати SIEM аз интихоби шарики ҷойгиркунӣ таъсири бештаре нахоҳад дошт. Платформаҳои SIEM системаҳои миқёси калон, мураккаб ва корхона мебошанд. Кӯшиш накунед, ки танҳо ба он равед; бо шарики ҷойгиркунӣ, ки аз муҳоҷирати зиёд гузаштааст, пайваст шавед.

Шарики густариш метавонад танҳо як бахши хидматрасонии касбии фурӯшандаи нави SIEM бошад. Бо вуҷуди ин, интихоби шарики сеюм барои пешбурди муҳоҷират бештар маъмул аст. Дар хотир доред, ки муҳоҷирати SIEM як кӯшиши инсон аст. Интихоби шарики дорои сертификатҳо дар SIEM нав ва бисёре аз шарикони қобили истинод беҳтарин аст. Он инчунин кӯмак мекунад, агар онҳо дар SIEM таҷриба дошта бошанд, ки шумо аз он муҳоҷират мекунед. Ғайр аз истинодҳо, як роҳи оқилонаи муайян кардани сатҳи таҷрибаи шарик бо SIEM-и нави худ ин санҷиши форумҳои ҷомеа аст, то бубинад, ки оё даста саҳмгузори фаъол аст. Ба ақидаи муаллифон, кормандони шарикони хеле ҷалбшуда бо муҳоҷирати бомуваффақияти SIEM алоқаманданд. Ба ғайр аз битҳои техникӣ ва байтҳои муҳоҷирати SIEM, шумо инчунин метавонед шариконеро интихоб кунед, ки таҷрибаи мушаххас дар соҳаи амудии шумо ё муҳити мутобиқати шумо ё дар минтақаи шумо, ё ҳар се! Шумо метавонед малакаҳои забонӣ ва захираҳоро дар пешакӣ ҷустуҷӯ кунедtagминтақаҳои вақти eous. Шумо инчунин метавонед шариконеро ҷустуҷӯ кунед, ки SIEM-и шуморо барои шумо идора мекунанд ё ба сифати провайдери хидматрасонии амнияти идорашаванда, ки метавонанд SIEM-и ташкилоти шуморо қисман ё пурра аутсорсинг кунанд, натиҷаҳои шабеҳ медиҳанд.

Раванди асосӣ: Ҳуҷҷати конфигуратсияи ҷорӣ ва ҳолатҳои истифода
Ҷойгиркунии SIEM одатан васеъ буда, дар тӯли солҳои истифода аз рӯи миқёс ва мураккабӣ мунтазам меафзояд. Барои кам ё тамоман ҳуҷҷат омода кунед. Интизор шавед, ки кормандоне, ки конфигуратсия ва мутобиқсозии ибтидоии SIEM-ро анҷом додаанд, аксар вақт кайҳо рафтаанд. Ҳуҷҷати ҳамаҷонибаи конфигуратсия ва қобилиятҳо дар аввали раванди муҳоҷират метавонад фарқи байни муваффақият ва нокомиро дошта бошад.

• Ҳуҷҷати шахсият ва идоракунии дастрасӣ, ки аз ҷониби SIEM истифода мешавад. Ба шумо бешубҳа лозим меояд, ки дастрасии нақшро ба маълумот ва хусусиятҳо нигоҳ доред. Аз тарафи дигар, муҳоҷират як имкони таҳлил ва ҳалли паҳншавии дастрасӣ аст, ки табиатан дар аксари созмонҳо рух медиҳад. Шумо инчунин метавонед раванди муҳоҷиратро ҳамчун имкони навсозии усулҳои аутентификатсия/авторизатсия, аз ҷумла федератсияи шахсият бо стандартҳои корпоративӣ ва татбиқи аутентификатсияи бисёрҷониба баррасӣ кунед.
• Номҳои намудҳои маълумоти ҷамъшударо сабт кунед. Аҳамият диҳед, ки баъзе SIEMҳо ин номҳоро "sourcetype" ё "logtype" меноманд. Бо истифода аз гигабайт дар як рӯз ҳамчун метрика чӣ қадар маълумот аз ҳар як намуди маълумот ҷараён дорад, сабт кунед. Ҳуҷҷати лӯлаи маълумотро барои ҳар як манбаи додаҳо (асоси агент, дархости API, web қалмоқ, қабули сатили абр, API воридшавӣ, шунавандаи HTTP ва ғ.) ва конфигуратсияи таҳлилгари SIEM-ро дар якҷоягӣ бо ҳама гуна мутобиқсозӣ сабт кунед.
• Ҷустуҷӯҳои захирашуда, таърифҳои панели идоракунӣ ва қоидаҳои муайянкуниро ҷамъ кунед. Бисёре аз SIEMҳо инчунин механизмҳои доимии нигоҳдории маълумот доранд, ба монанди ҷадвалҳои ҷустуҷӯ. Боварӣ ҳосил кунед, ки онҳо чӣ гуна ҷойгир ва истифода мешаванд, фаҳмед ва ҳуҷҷатгузорӣ кунед.
• Инвентаризатсияи ҳамгироӣ бо системаҳои беруна. Бисёре аз SIEMҳо бо системаҳои идоракунии парвандаҳо, пойгоҳи додаҳои релятсионӣ, хидматҳои огоҳӣ (почтаи электронӣ, SMS ва ғайра) ва платформаҳои иктишофии таҳдид ҳамгиро мешаванд.
• Мундариҷаи посухро ба мисли китобҳои бозӣ, қолабҳои идоракунии парванда ва ҳама гуна ҳамгироии фаъол, ки аллакай ҳуҷҷатгузорӣ нашудаанд, сабт кунед.

Ғайр аз ҷамъоварии ин тафсилоти муҳими техникӣ, муҳим аст, ки вақт ҷудо кунедview истифодабарандагони SIEM мавҷуда барои фаҳмидани ҷараёни кории онҳо. Пурсед, ки чӣ тавр онҳо SIEM-ро истифода мебаранд, кадом расмиёти стандартии амалиётӣ ба SIEM такя мекунанд. Инчунин муҳим аст, ки саволҳои васеъро пурсед, ба монанди кадом дастаҳо берун аз амният метавонанд SIEM-ро истифода баранд. Барои мисолample, барои гурӯҳҳои мутобиқат ё кормандони амалиёти IT ба SIEM такя кардан ғайриоддӣ нест. Набудани ин ҳолатҳои истифода метавонад боиси интизориҳои беҷавоб дар раванди муҳоҷират гардад.

Раванди асосӣ: Муҳоҷирати манбаи сабт
Муҳоҷирати манбаи гузориш интиқоли манбаъҳои маълумотро аз SIEM-и кӯҳна ба SIEM навро дар бар мегирад. Ин раванд аз ҳуҷҷатгузории конфигуратсияи ҷорӣ, ки дар Раванд: Ҳуҷҷати конфигуратсия ва истифодаи ҷорӣ ҷудокунӣ.

Қадамҳои зерин одатан дар раванди муҳоҷирати манбаи гузоришҳо ҷалб карда мешаванд:

1. Кашф ва инвентаризатсия: Қадами аввал ин кашф ва инвентаризатсияи ҳамаи манбаъҳои гузоришест, ки ҳоло аз ҷониби SIEM кӯҳна ворид карда мешаванд. Инро метавон бо истифода аз усулҳои гуногун, аз қабили reviewконфигуратсияи SIEM files ё истифодаи API ва асбобҳои марбут.
2. Афзалият додан: Пас аз кашф ва инвентаризатсияи манбаъҳои гузориш, онҳо бояд барои муҳоҷират авлавият дода шаванд. Инро метавон дар асоси як қатор омилҳо анҷом дод, аз қабили таҳлиле, ки аз ҷониби манбаи гузоришҳо асос ёфтааст, ҳаҷми маълумот, муҳим будани маълумот, талаботи мутобиқат ва мураккабии раванди муҳоҷират.
3. Банақшагирии муҳоҷират: Пас аз бартарият додани манбаъҳои гузориш, нақшаи муҳоҷират бояд таҳия карда шавад.
4. Иҷрои муҳоҷират: Пас аз он раванди муҳоҷиратро мувофиқи нақша иҷро кардан мумкин аст. Ин метавонад вазифаҳои гуногунро дар бар гирад, ба монанди конфигуратсияи каналҳо дар SIEM нав, насб кардани агентҳо, танзим кардани API ва ғайра.
5. Санҷиш ва тасдиқ: Пас аз ба итмом расидани муҳоҷир, муҳим аст, ки санҷиш ва тасдиқи маълумоти сабтшуда дуруст ворид карда мешавад. Инро ҳамчун имконият барои танзим кардани огоҳӣ барои манбаъҳои маълумоте, ки хомӯш шудаанд, истифода баред.
6. Ҳуҷҷатҳо: Ниҳоят, муҳим аст, ки конфигуратсияи нави манбаи сабтро ҳуҷҷатгузорӣ кунед.

Раванди асосӣ: Муҳоҷирати ошкор ва мундариҷаи вокуниш
Мундариҷаи ошкор ва вокуниши SIEM аз қоидаҳо, ҷустуҷӯҳо, китобҳои бозӣ, панелҳои идоракунӣ ва конфигуратсияҳои дигар иборат аст, ки муайян мекунанд, ки SIEM-и шумо дар бораи чӣ огоҳӣ медиҳад ва чӣ гуна он ба таҳлилгарон дар коркарди ин огоҳиҳо кӯмак мекунад. Бе мундариҷаи дуруст танзимшуда, SIEM танҳо як роҳи зебои ҷустуҷӯ аст. Ин "греп гаронбаҳо" аст - истилоҳе, ки ҳамкасбони муаллифон чанд сол пеш таҳия карда буданд. Мундариҷаи SIEM дар муайян кардани фарогирии кашфи ташкилоти шумо нақши калидӣ дорад.

• Қоидаҳои ошкоркунӣ барои муайян кардани ҳодисаҳои амниятӣ истифода мешаванд. Муҳандисони ошкорсозӣ, ки дар бораи фаъолони таҳдидҳои амниятӣ ва тактика, усулҳо ва расмиёти (TTPs) барои онҳо маъмул маълумоти амиқ доранд, онҳоро менависанд. Қоидаҳои муайянкунӣ намунаҳоеро меҷӯянд, ки ин TTP-ро дар маълумоти сабт намояндагӣ мекунанд. Қоидаҳои ошкор аксар вақт сарчашмаҳои гуногуни гузоришҳоро бо ҳам мутақобила мекунанд ва маълумоти иктишофии таҳдидро истифода мебаранд.
• Китобҳои ҷавобӣ барои автоматикунонии вокуниш ба огоҳиҳои амниятӣ истифода мешаванд. Онҳо метавонанд вазифаҳоеро дар бар гиранд, аз қабили фиристодани огоҳиҳо, ҷудо кардани ҳостҳои осебдида, ғанӣ гардонидани огоҳиҳо бо маълумоти контекстӣ/разведкаи таҳдид ва иҷро кардани скриптҳои ислоҳ.
• Панелҳои идоракунӣ барои визуализатсияи маълумоти амниятӣ ва пайгирии ҳолати ҳодисаҳои амниятӣ истифода мешаванд. Онҳо метавонанд барои назорат кардани ҳолати умумии амнияти созмон ва муайян кардани тамоюлҳо ва намунаҳо истифода шаванд.
• Таҳияи мундариҷаи нави ошкор ва вокуниш як раванди такрорист. Муҳим аст, ки пайваста SIEM-ро назорат кунед ва дар ҳолати зарурӣ ба мундариҷа ислоҳот ворид кунед. Муҳоҷирати SIEM вақти хубест барои такмил додани равандҳои шумо бо истифода аз равишҳо ба монанди муайянкунӣ ҳамчун код (DaC).

Раванди асосӣ: Омӯзиш ва фаъолсозӣ
Раванди аксар вақт нодида гирифташуда ҳангоми муҳоҷирати SIEM омӯзиши корбарон мебошад. SIEM шояд як воситаи муҳимтаринест, ки гурӯҳи амалиёти амниятӣ истифода мебарад. Қобилияти онҳо барои самаранок ва пурмаҳсул истифода бурдани он дар муваффақияти муҳоҷират ва қобилияти онҳо барои ҳифзи ташкилоти шумо нақши калон мебозад. Ба провайдери SIEM ва шарики густариши худ такя кунед, то мундариҷа ва расонидани омӯзишро таъмин кунад. Ин аст рӯйхати мухтасари мавзӯъҳое, ки дар онҳо дастаҳои шумо бояд фаъол карда шаванд.

• Сабти воридшавӣ ва таҳлили канал
• Ҷустуҷӯ / Тафтишот
• Идоракунии парванда
• Муаллифи қоида
• Таҳияи панели идоракунӣ
• Китоби бозӣ / Автоматизатсия

Хулоса

• Дар ниҳоят, муҳоҷират аз SIEM-и меросӣ ба ҳалли муосир ногузир аст. Гарчанде ки мушкилот метавонад даҳшатнок ба назар расад, муҳоҷирати хуб ба нақша гирифташуда ва иҷрошуда метавонад ба беҳбудиҳои назаррас дар ошкор кардани таҳдид, қобилиятҳои вокуниш ва ҳолати умумии амният оварда расонад.
• Бо бодиққат баррасии интихоби SIEM-и нав, истифода аз ҷиҳатҳои тавонои меъмории аслии абрӣ, ворид кардани иктишофи пешрафтаи таҳдидҳо ва истифодаи хусусиятҳои ба AI асосёфта, созмонҳо метавонанд ба гурӯҳҳои амниятии худ имкон диҳанд, ки аз таҳдидҳои доимо инкишофёбанда муҳофизат кунанд. Раванди бомуваффақияти муҳоҷират банақшагирии дақиқ, ҳуҷҷатгузории ҳамаҷониба, манбаи гузориши стратегӣ ва муҳоҷирати мундариҷа, санҷиши ҳамаҷониба ва омӯзиши ҳамаҷонибаи корбаронро дар бар мегирад.
• Шарикӣ бо мутахассисони ботаҷриба оид ба ҷойгиркунӣ метавонад дар пешбурди мушкилот ва таъмини гузариш бебаҳо бошад. Бо ӯҳдадорӣ ба такмили пайваста ва тамаркуз ба муҳандисии кашф, созмонҳо метавонанд пурра истифода баранд
• потенсиали SIEM-и нави худ ва мустаҳкам намудани мудофиаи амниятии онҳо барои солҳои оянда.

Хониши иловагӣ

• Коғази "Чӣ гуна Google SecOps метавонад ба афзоиши SIEM Stack-и шумо кӯмак кунад"
• "Ояндаи SOC: Эволютсия ё оптимизатсия - Роҳи худро интихоб кунед" коғаз
• Блоги ҷомеаи амнияти абрии Google
• Бюллетени Ҳафтаномаи Муҳандисии Detection
• ошкор.fyi - Маслиҳатҳои ба таҷрибаомӯз нигаронидашуда оид ба муҳандисии кашф
• Оғози кор бо Detection-as-Code ва Амалиётҳои Амнияти Google - Дэвид Френч (Қисми якум, қисми дуюм)
• Татбиқи ҷараёни муҳандисии муосири детекторӣ - Дэн Луссиер (Қисми якум, қисми дуюм, қисми сеюм)

Барои маълумоти иловагӣ боздид кунед cloud.google.com

Саволҳои зиёд такрормешуда

Савол: Ҳадафи дастури бузурги муҳоҷирати SIEM чист?
Ҷавоб: Ҳадафи дастур ба созмонҳо дар гузаштан аз қарорҳои кӯҳнашудаи SIEM ба имконоти навтар ва муассиртар барои ошкор ва вокуниш ба таҳдидҳо равона шудааст.

Савол: Чӣ тавр ман метавонам аз SIEM-и абрӣ манфиат гирам?
A: SIEM-ҳои абрӣ аз ҳисоби меъморӣ ва қобилиятҳои худ миқёспазирӣ, камхарҷ ва амнияти муассирро барои сарбории кории абр таъмин мекунанд.

Ҳуҷҷатҳо / Сарчашмаҳо

Муҳоҷирати Google Cloud SIEM [pdf] Дастурҳо Муҳоҷирати SIEM, Муҳоҷират

Иқтибосҳо

• Дастури корбар