Новая модель, рожденная из потребностей: Современный SIEM

1

По мере того как концепции SIEM приближается к 20-летнему юбилею, давайте посмотрим, насколько эволюционировали SIEM-системы с момента их появления.

Изначально SIEM создавался как платформа для сбора событийных логов из IT-среды, но со временем он развился в инструмент для анализа и стандартизации телеметрии, обеспечивая единообразную обработку всех журналов, независимо от их источника. Команды по соблюдению нормативных требований использовали SIEM в своих процессах для мониторинга IT-инфраструктуры посредством аудиторских отчетов. Анализ собранных данных позволил SIEM генерировать оповещения на основе правил детекции, относящихся к контролируемым IT-средам. Однако масштабируемость быстро стала проблемой. Несмотря на то, что SIEM был разработан как платформа для работы с данными/большими данными, выполнение запросов к историческим данным упростилось, а с увеличением объема загружаемых данных управление ими стало еще более сложным.

Кроме того, по мере расширения IT-инфраструктуры и внедрения новых инструментов общий объем оповещений стал практически неконтролируемым, независимо от численности команды аналитиков по безопасности. Сегодня организации, использующие SIEM-решения, обычно подключают к ним более 100 источников данных. Исследования и обратная связь показывают, что команды Центров операций безопасности (SOC) могут просматривать только 65% ежедневных оповещений, что означает, что более трети оповещений остаются непроверенными. Во многих атаках злоумышленников организация могла бы обнаружить их активность, если бы имела необходимые инструменты, но действия злоумышленников оставались незамеченными либо из-за неправильной конфигурации инструмента, либо из-за того, что аналитики по безопасности не распознали их значимость. Кроме того, SIEM требует постоянного обслуживания и настройки, поскольку командам безопасности необходимо выделять ресурсы для проектирования и корректировки детекций, чтобы поддерживать его работоспособность и выявлять известные угрозы. Однако выделение отдельного сотрудника только для работы с SIEM часто бывает затруднительно для многих организаций.

Современные SIEM-решения включают в себя новые функции, помогающие преодолеть существующие трудности. Интегрированный анализ поведения пользователей и сущностей (UEBA) использует машинное обучение для выявления закономерностей в собранных данных, дополняя правила детекции, которые обнаруживают известные угрозы. Чтобы снизить необходимость использования нескольких инструментов, SIEM интегрирует потоки данных о киберугрозах, обновляя информацию об индикаторах компрометации (IOC), что позволяет обогащать оповещения дополнительными данными и контекстом.

Отсутствие автоматизации было еще одной проблемой SIEM. Современные специалисты по кибербезопасности хотят объединить детекцию и расследование, коррелируя и обогащая оповещения данными о киберугрозах. Оповещения на основе оценки риска помогают расставлять приоритеты для команды безопасности в зависимости от их критичности. Процессы обогащения, корреляции и приоритизации оповещений автоматизированы и могут быть настроены в SIEM в соответствии с потребностями SOC-команды.

"Кроме требований к движку детекции в реальном времени, SOC-команды также нуждаются в готовых коннекторах для всех источников данных, которые они хотят интегрировать. Эта телеметрия может включать не только стандартные инструменты безопасности, но и данные о производительности приложений и сети, а также данные HR-службы. Например, уведомление из HR-системы о сотруднике может использоваться для внесения этого человека в список наблюдения за инсайдерскими угрозами."

SOC-команды ожидают, что SIEM предоставит возможности автоматизированного реагирования через интеграцию с системами управления заявками и сценариями реагирования, которые можно разрабатывать и запускать непосредственно в SIEM. Организации, не обладающие собственными ресурсами для разработки механизмов безопасности, рассчитывают, что поставщик SIEM-решений предложит им готовые механизмы детекции и поиска угроз. Кроме того, интеллектуальные помощники GenAI упростили работу аналитиков, позволив им отправлять запросы в SIEM на естественном языке вместо использования специализированного языка запросов SIEM.

Современный SIEM – это не тот традиционный SIEM, каким он был в прошлом. Если вы считаете, что сбор данных, оповещения, детекция, расследование и механизмы реагирования вашего текущего SIEM не удовлетворяют ваши потребности, рассмотрите возможность перехода на Splunk Enterprise Security – ведущий современный SIEM, который действительно способен управлять большими данными и предлагает более 3000 дополнительных компонентов.