Ehtiyaclardan Doğan Yeni Model: Müasir SIEM

1

SIEM konsepsiyası 20 illik bir tarixə yaxınlaşarkən, SIEM sistemlərinin ilk ortaya çıxdığı gündən bəri nə qədər inkişaf etdiyini nəzərdən keçirək.

SIEM əvvəlcə İT mühitlərindən hadisə jurnallarını (event logs) toplamaq üçün bir platforma kimi başlamışdı. Lakin zamanla telemetriya məlumatlarını təhlil və standartlaşdırmaq üçün inkişaf etdi və bu, mənbəyindən asılı olmayaraq bütün jurnalların eyni şəkildə analiz edilməsini təmin etdi. Uyğunluq komandaları audit hesabatları vasitəsilə İT mühitlərinin monitorinqini nümayiş etdirmək üçün SIEM-dən istifadə edirdilər. Toplanan məlumatların təhlili SIEM-in izlənilən İT mühitləri ilə bağlı aşkar etmə qaydalarına əsaslanan xəbərdarlıqlar yaratmasına imkan verdi. Lakin miqyaslanma sürətlə problemə çevrildi. SIEM məlumat/böyük verilənlər platforması kimi dizayn edilsə də, tarixçəni sorğulamaq asanlaşdı və daxil edilən məlumat həcmi artdıqca onun idarə edilməsi getdikcə çətinləşdi.

Bundan əlavə, İT mühiti genişləndikcə və daha çox alət əlavə edildikcə, xəbərdarlıqların həcmi təhlükəsizlik analitiklərinin komandasının böyüklüyündən asılı olmayaraq idarəolunmaz hala gəldi. Bu gün SIEM həllərindən istifadə edən təşkilatlar adətən SIEM-ə qoşulmuş 100-dən çox məlumat mənbəyinə malikdirlər. Araşdırmalar və geribildirimlər göstərir ki, Təhlükəsizlik Əməliyyatları Mərkəzi (SOC) komandaları gündəlik xəbərdarlıqların yalnız 65%-ni nəzərdən keçirə bilirlər. Bu isə xəbərdarlıqların üçdə birindən çoxunun yoxlanılmadığını göstərir. Bir çox təhdid aktoru hücumlarında təşkilatlar təhlükətəhdidləri aşkarlamaq üçün lazımi alətlərə malik ola bilərdilər. Lakin ya bu alət düzgün tənzimlənmədiyinə, ya da təhlükəsizlik analitikləri onun əhəmiyyətini dərk etmədiyinə görə fəaliyyət gözardı edildi. Bundan əlavə, SIEM-in işlək vəziyyətdə qalması və məlum təhdidləri müəyyən etmək üçün təhlükəsizlik komandaları tərəfindən daim saxlanılması və tənzimlənməsi tələb olunur. Lakin bir əməkdaşın yalnız SIEM-ə həsr edilməsi bir çox təşkilat üçün çətin olur.

Müasir SIEM həlləri bu problemləri aradan qaldırmaq üçün yeni xüsusiyyətlər əlavə etmişdir. İnteqrasiya olunmuş İstifadəçi və Subyekt Davranış Analitikası (UEBA) maşın öyrənməsindən istifadə edərək toplanmış məlumatlarda nümunələri təhlil edir və tanınmış təhdidlərə dair xəbərdarlıqları üzə çıxaran qaydalardan əlavə təhlükəsizliyi gücləndirir. Analitiklərin müxtəlif alətlərə ehtiyacını azaltmaq üçün təhlükə kəşfiyyatı (threat intelligence) mənbələri SIEM-ə Kompromis Göstəriciləri (IOC) haqqında yenilənmiş məlumatlar təqdim edir, beləliklə xəbərdarlıqlar əlavə məlumat və kontekstlə zənginləşdirilir.

SIEM-də avtomatlaşdırmanın olmaması başqa bir problem idi. Bu gün təhlükəsizlik mütəxəssisləri aşkarlama və araşdırmanı təhlükə kəşfiyyatı ilə xəbərdarlıqların zənginləşdirilməsi və əlaqələndirilməsi yolu ilə birləşdirmək istəyirlər. Risk əsaslı xəbərdarlıqlar təhlükəsizlik komandası tərəfindən prioritetləşdirilmək üçün xəbərdarlığın ciddiliyini nəzərə alır. Xəbərdarlıqların zənginləşdirilməsi, əlaqələndirilməsi və prioritetləşdirilməsi SIEM-ə inteqrasiya olunmuş avtomatlaşdırılmış proseslər vasitəsilə həyata keçirilir və bu, SOC komandasının mühitinə uyğun tənzimlənə bilər.

"Bundan əlavə, SOC komandaları yalnız real vaxt aşkarlama mühərrikinə deyil, həm də inteqrasiya etmək istədikləri bütün məlumat mənbələri üçün hazır qoşulmalar tələb edirlər. Bu telemetriya yalnız adi təhlükəsizlik alətlərini deyil, həm də tətbiq və şəbəkə performansı məlumatlarını, eləcə də insan resursları məlumatlarını əhatə edə bilər. Məsələn, İR sistemindən bir əməkdaş haqqında bildiriş gəldikdə, həmin şəxs daxili təhdid fəaliyyətlərinin monitorinqi üçün nəzarət siyahısına əlavə edilə bilər."

SOC komandaları SIEM-də bilet sistemləri və avtomatlaşdırılmış proseslər ilə inteqrasiya olunmuş cavab vermə imkanları istəyirlər. Təhlükəsizlik mühəndisliyi resursları olmayan təşkilatlar isə SIEM həlləri təminatçısından aşkarlama və təhlükə ovçuluğu məzmunu təqdim etməsini gözləyir. Bundan əlavə, GenAI köməkçiləri artıq analitiklərə SIEM-ə sorğuları təbii dildə göndərməyə imkan verir və bununla da SIEM-in sorğu dilinə olan ehtiyacı aradan qaldırır.

Bu günün müasir SIEM-i keçmişin ənənəvi SIEM-i deyil. Əgər mövcud SIEM həllinizin məlumat toplama, xəbərdarlıq, aşkarlama, araşdırma və cavab vermə prosesləri ehtiyaclarınıza cavab vermirsə, gələcəyin SIEM həllini araşdırmaq üçün Splunk Enterprise Security kimi böyük verilənləri idarə edə bilən və üç mindən çox əlavə komponenti olan müasir SIEM həllərini dəyərləndirə bilərsiniz.