Tehdit İstihbaratının SIEM?e Entegrasyonu

07-03-2021, 21:13:05

#1
Quantaism

Açık Profil bilgileri

Özel Mesaj Gönder

Quantaism tarafından gönderilen tüm mesajları bul

Quantaism'ı arkadaş olarak ekle
Tehdit İstihbaratının SIEM?e Entegrasyonu

Tehdit İstihbaratının SIEM?e Entegrasyonu, SIEM çözümlerinin konumlandırılması birden çok uygulama sistem ve ağda görünürlük sağlamaktır. Birden çok kaynaktan gelen günlük verilerini birbirine bağlamak, bir saldırı gerçekleştiğinde bunları tanımlayabileceğiniz anlamına gelir.

Ancak bu çözümlerin karmaşıklıkları ve sınırlamaları da vardır. Ölçek, performans, ölçeklenebilirlik ve sürekli değişen bir altyapıyı takip etmek birçok müşterinin SIEM'in değerini anlayamayacağı anlamına gelir.

Birçok kuruluş, SIEM'e öncelik vermelerine rehberlik sağlamalarına ve ona değer katmalarına yardımcı olmak için tehdit istihbaratını kullanmak ister. Ancak, daha sonra bunu nasıl etkili bir şekilde yapacaklarını anlamakta zorlandılar.

Müşteriler genellikle SIEM'de tehdit istihbaratını açmak ve ardından uyarı selinden dolayı onu hızla kapatmak hakkında yorum yaparlar! Tehdit istihbaratı platformlarının kullanımı, veri işlemeyi, entegrasyonu büyük ölçüde geliştirebilir ve nihayetinde tehdit bilgilerinden değer elde edebilir.

Genel olarak SIEM, kuruluşun güvenlik durumu hakkında daha geniş bir görüşe sahip olduğu için kıskanılacak bir konumdadır. SIEM, farklı kaynaklardan gelen günlükleri karıştırarak, tehditleri ve saldırıları kolayca tanımlamak için sıra ve mantığı bir araya getirebilmelidir. Bununla birlikte, genellikle yanlış anlamalar, aşırı iddialı proje planları ve devam eden bakım eksikliği meydana gelir. Bu, analistlerin başa çıkamayacağı kadar çok uyarı üreten bir güvenlik çözümüyle sonuçlandı.

Kuruluşlar seçimler yapabilir, her şeyi yeniden tasarlayabilir veya verimliliği artıran ve daha iyi algılama sağlayan seçenekler arayabilir. Tehdit istihbaratını girin. Tehdit istihbaratının eklenmesi genellikle uyarılara "değer katmaya" ve en önemli uyarıların önceliklendirilmesine yardımcı olmaya odaklanır. Genel olarak basit bir seçim olarak kabul edilen, SIEM aracılığıyla tehdit istihbaratı eklemek verimliliği ve önceliği artırmalıdır.

Basit seçimler benimsenirse, birçok kuruluş SIEM çözümlerinde yerleşik olarak bulunan özellikleri etkinleştirir. Geçmişte birçok ismin bu sorundan bahsettiğini duymuştum, ancak karşılaştığım en iyi şey "ışığı yakmak" oldu. Bu cümle, en yüksek tehdit olaylarının kolay anlaşılmasını ifade eder.

Bununla birlikte, istihbaratın genel durumu, türü ve bağlamı dikkatlice değerlendirilmeden, genellikle bundan sonra tekrar "ışıkları söndürür". neden? Bu dikkatli yönetim olmadan, tek yaptığı çok sayıda yeni alarm oluşturmak, mevcut alarmları yanlış bir şekilde yüksek öncelikli olarak sınıflandırmak veya bazı durumlarda çok sayıda yanlış alarm sağlamaktır. Halihazırda vergi toplamış olan analistler, bu yeni uyarı setinde gerçeği ve gerçeği nasıl yorumluyor? Güvenlik dünyasında bağlam en önemli şeydir, hiçbir şey olmazsa zaten kötü olan daha da kötüleşir.

Aksine, bazı kuruluşlar istihbarat verilerini entegre etmek ve çok az veya hiç uyarı almak istemiyorlar. Bu, insanları verilerin hiçbir katma değeri veya avantajı olmadığına inanmaya yönlendirir, bu nedenle birçok kuruluş zekanın neler yapabileceğini göremez.