通过创建所有网络数据的单一视图,你可以把事情做得更好像相关的威胁信息,以确定真正的攻击或保留日志数据包统计信息,以便更好地诊断间歇性网络问题。
然而,要在传统系统的限制下将数据转化为价值,我们必须在解决方案上具有创造性。我们必须找到在各种设备中集成不同存储库的方法。这不是一项简单的任务,但是我以前写过的架构转换SASE(安全访问服务边缘)应该会有很大的帮助。
SASE是Gartner在2019年推出的一个新的企业网络技术类别。它代表了我们连接站点、用户和云资源的方式的变化。
这可能是相当大的支持,特别是当它涉及到面对SIEM(安全信息与事件管理)的挑战。
创建一个单一的视图挑战
创建不同类型数据的单一视图需要专门的技能、自定义集成和大量的预算。SIEM用于从多个产品中获取数据、应用规则并协调各种平台共同行动。实际上,需要进行大量的定制集成。
表面的问题是;当日志离开网络时,如何进入SIEM ?如何对数据进行规范化,编写规则来检测可疑活动,然后调查是否存在合法的警报?不幸的是,结果对于人们所做的投资来说是可怕的。SIEM不能在一个小的组织中执行。你需要资源来完成它。
与SIEM挑战
在之前的咨询工作中,我亲身体验了管理一家SIEM的挑战。最终,该公司不得不改善其安全监控。和大多数人一样,他们遇到了同样的问题,并意识到在检测方面存在很大的差距。
当我第一次接触到SIEM的潜力时,就像大多数人一样,我被它的炒作完全激发了起来。现在,有一种工具可以让我把我的想法应用到许多丰富的数据集上。从这些集合中,我可以立即洞察网络上的威胁并采取行动。然而,这与现实相差甚远——暹罗是复杂的。
来自不同设备的不同数据
安全性和网络以不同的方式存储和公开数据。它们中的每一个都执行一个单独的角色,并且可以访问不同的数据。数据可以从管理、控制和数据层面抽象出来,以构建可以查询的分析。这就产生了可供分析的多层次数据。从本质上说,要做到这一点,你需要精通每一个层面。
准备从整个基础设施收集的所有数据是复杂的。开发事件时间表需要掌握一系列协议和api,以便从网络和安全设备检索必要的数据。因此,为您的问题找到正确的数据可能是一个挑战。
首先,您需要收集正确的数据
首先,你需要收集正确的数据——SIEM的好坏取决于你提供的数据。这就产生了对正确数据的需求,这些数据需要被加载到SIEM。由于SIEM规则提供的数据来自日志和来自其他软件产品的事件数据,因此数据的质量取决于首先选择记录的内容。SIEM供应商连接器的准确性/可用性使这一点更加复杂。
该数据可以被馈送到与SIEM系统日志,这需要解析,数据丢失和上下文从原始源。显然,很多次,暹装有无用的数据。许多经常与这第一步绊倒。
汇总的数据
当新的威胁出现时,收集更多的数据来支持新的检测规则是一个挑战。收集新数据和限制敏捷性也需要很长的准备时间。简而言之,SIEM需要广泛的数据收集基础设施和团队间的协作。
规范化的数据
也会有一些数据被清理的规范化事件。在这里,需要使用数据解释和规范化技术以通用格式存储事件数据以供分析。
SIEM产品的一个重要特点是将数据输入标准化。如果您检查一个windows安全事件,这些事件之间有一个很大的区别。因此,建议不要指望SIEM产品来解释它们接收到的输入。
没有调查支持
SIEM没有调查支持。因此,一旦数据在您的SIEM中,您必须告诉SIEM如何处理它。这就像买一个没有电池的闹钟。考虑一个入侵检测系统,我们都知道需要一个熟练的分析人员将输出转换成可操作的情报;一个暹罗人也不例外。
通常,SIEM规则的目标是发现感兴趣的活动,而不是调查它们。例如,一个事件只能告诉您已经上载了一个文件。然而,它并不能告诉你它上传到了什么类型的网站,它来自哪里,文件是什么。
这主要涉及安全分析人员和操作团队之间的调查。执行查询和利用这些信息需要专门的技能和知识。
部署/曾推高
许多资源被用于管理SIEM。部署代理、解析日志或执行升级都需要时间。简单地说,SIEM技术需要全天候的监控和维护。总的来说,部署SIEM需要的时间太长,其中一些阶段甚至需要几年时间才能完成。你真的需要一些全职的安全分析师来做这件事。目前,全球范围内缺乏经验丰富的安全分析师。
点解决方案解决一个问题
该方式的网络和安全已作好准备,是我们在片什么都卖。我们有单点解决方案,只有地址的一个问题。再就是服务器,路由器,交换机和各种安全装置。当设备自身的领域内工作,它只会看到域。因此,这些单点解决方案需要集成,使用户可以形成所谓的网络上发生的情况的照片。
考虑一个IDS,它看起来在各个数据包并试图确定是否存在威胁与否。实际上,它并没有什么联网是真正发生的一切全盘整体视图。所以,当你真正的身份出现了一个问题,你根本就没有正确的信息在手,以确定用户是谁,它做什么和发生了什么事。
对于威胁调查,用户需要登录到其他系统并粘贴信息。这将导致一个已经存在警觉性疲劳的世界出现大量误报。
SASE如何提供帮助——一个通用的数据存储
重要的是,SASE将网络和安全的功能聚合为一个统一的全球云本地服务。因此,它将来自这两个域的数据提取到一个公共数据存储中。这样做当然有很多好处,但其中一个重要的好处是故障排除。
SASE供应商可以很容易地深入挖掘应该已经存储在公共数据仓库中的网络和安全事件。SASE开启了高效故障排除的潜力,而无需部署SIEM。
一个典型的例子是卡托网络最近宣布卡托即时*洞察力。其SASE平台的新特性提供了一个单一工具,用于挖掘跨客户的Cato实例生成的安全和网络事件数据。这就是SASE的作用。深刻地说,当您的网络和安全数据由一个平台收集时,一切都变得更容易了。
随着数据的收集,调查和分析变得更加容易。例如,Cato Instant*Insight将Cato跟踪的数百万个网络和安全事件组织成一个可查询的时间轴。这里我们有一个自动聚合、分面搜索和一个内置的网络分析工作台。
Netsurion,另一个SD-WAN供应商,提供了一个受管理的SIEM服务。这是作为saas提供的。但是,对于这个和其他托管siem,网络域和安全域之间可能仍然有很强的分离。从某种意义上说,他们只是收集安全数据,而不是网络数据。因此,NOC和SOC团队都有各自的观点。企业面临的共同挑战依然存在。
在SIEM中,不存在提供开箱即用的可见性这样的事情。实际上,它需要大量的定制集成和开发。对于许多公司来说,SIEMs是不可行的。集成成本太高,需要太多的时间来收集基线数据。
但这一切都是基于一个误解,即您继续从不同供应商的设备构建您的网络。如果您要用聚合云基础设施替换设备,那么您就消除了SIEM的大部分挑战。