hu 
Az aktuális hálózatbiztonsági eszközök és SIEM-megoldások létfontosságú szerepet játszanak a biztonsági elemzők számára az üzleti hálózatok általános láthatóságának biztosításában és a kiberfenyegetések elleni védelemben. Azonban, ahogy a hálózati naplók, események és fenyegetések mérete és mennyisége exponenciálisan nő, a Biztonsági Operációs Központ (SOC) csapatoknak olyan kihívásokkal kell szembenézniük, mint a manuális kezelés, hamis riasztások és az előrehaladott, automatizált fenyegetésérzékelő rendszerek szükségessége.
Ezen kihívásokra válaszul a ManageEngine Log360 valódi következő generációs SIEM-re váltott, bemutatva az iparág első adaptív küszöbfunkcióját a valós idejű riasztáshoz. Ez az innovatív funkció a SOC csapatok által tapasztalt problémákra reagál, és javítja a fenyegetésérzékelés hatékonyságát.
Okos Küszöb: Forradalmi Funkció
Az Okos Küszöb funkcionalitása az Log360 Vigil IQ része, a Threat Detection, Investigation, and Response (TDIR) modul. Ez a modul zökkenőmentesen integrálódik a valós idejű eseményválasz konzollal és a User Entity Behavior Analytics (UEBA) rendszerrel. Az Okos Küszöb kulcselemei a következők:
- Exponenciális Mozgóátlag (EMA) Algoritmus Felhasználása:
Az Okos Küszöb az EMA algoritmust alkalmazza az események és anomáliák automatikus elemzéséhez, egy specifikus időkereten belül történő események alapvonalának meghatározásához. Ez a dinamikus megközelítés biztosítja, hogy a küszöb alkalmazkodik a hálózati tevékenységek változó jellegéhez.
- Alapvonal Küszöb Időszakos Frissítése:
Az alapvonal küszöböt időről időre frissítik minden 15 adathalmazra, a Log360 centralizált naplókezelési rendszeréből származó események összesítésével. Ez folyamatos frissítés biztosítja, hogy a küszöb pontos és tükröződjön a jelenlegi hálózati környezetben.
- Integráció a Log360 Centralizált Naplókezelési Rendszerrel:
A Log360 több mint 750 naplóforrásból gyűjti, elemez és rendezi a naplókat, valós idejű rekordokat szolgáltatva az összes eseményről a hálózatban. Az SIEM riasztási modul előre meghatározott kritériumokat alkalmaz különböző naplóforrásokhoz, hogy felderítse a rosszindulatú tevékenységeket a rögzített eseményekből.
- User Entity Behavior Analytics (UEBA):
A UEBA gépi tanuláson alapuló viselkedésanalitikát és mintafelderítést alkalmaz az anomália riasztások kiváltásához. Az adaptív küszöb funkcionalitás finomhangolja az riasztás generálási folyamatot, biztosítva a pontos értesítéseket, amikor eltérés van az események vagy anomáliák szokásos előfordulásától.
Miért alkalmazzák az Okos Küszöböt?
- Automatizálás:
Az Okos Küszöb automatizálja a küszöbök beállításának folyamatát specifikus időkeretekhez, naplóforrásokhoz és riasztási kritériumokhoz. Ez a fejlett konfiguráció segít csökkenteni a riasztás zaját, lehetővé téve a SOC csapatoknak, hogy több riasztási profil kialakítását végezzék el kézi beavatkozás nélkül.
- Két Rétegű Modell a Pontos Fenyegetésérzékelésért:
Míg a UEBA modul pontosan azonosítja az anomáliákat, az Okos Küszöb réteg fokozza a fenyegetésérzékelés pontosságát. Szövegesen gazdagítja az anomália adatfolyamokat, megkülönböztetve a valódi fenyegetéseket a kis prioritású vagy nem fenyegető eseményektől.
- Idővel Növekvő Pontosság:
Az Log360 Okos Küszöbének dinamikus adaptációja folyamatosan tanul és finomhangolja a fenyegetésérzékelés folyamatát. Az EMA algoritmus a hálózat változásainak, például a felhasználói viselkedés fejlődésének, a naplóforrások ingadozásainak, a konfigurációs változásoknak és az riasztási kritériumok és anomália szabályok módosításainak alapján módosítja a küszöb alapvonalát.
- Korai Észlelés a Számláló Alapú Anomáliáknál:
Az Okos Küszöb lehetővé teszi a számláló alapú anomáliák korai észlelését, amelyek a kompromittáltság jelei lehetnek. Példák a bejelentkezési anomáliákra, amelyek a brute-force támadást vagy az azonosító kompromittálását jelezhetik, az összeköttetésekben történő rendellenes ugrásokra, amelyek a parancs- és ellenőrző csatorna kompromittáltságát jelezhetik, és a DNS átirányítási események növekedésére, amelyek a pharming támadásokat vagy botneteket jelezhetik.
- Előrehaladott Fenyegetési Információ:
A Log360 integrálja a STIX/TAXII és az AlienVault OTX fenyegetési hírforrásokat a kontextuális fenyegetésérzékeléshez. Emellett kínál szabály alapú mintafelderítést valós idejű eseménykorrelációval és alkalmazza a fenyegetési modellezési keretrendszert, a MITRE ATT&CK-t.
Mi az Adaptív Küszöb?
A SIEM-megoldások kontextusában az adaptív küszöb egy mechanizmus, amely dinamikusan elemzi az események előfordulását a monitorozott hálózaton annak érdekében, hogy egy alapvonalat hozzon létre, megkülönböztetve a normális viselkedést a valós anomáliáktól. Statisztikai gépi tanulási modelleket alkalmaz az környezetváltozásokhoz való alkalmazkodás érdekében, biztosítva a pontos fenyegetésérzékelést.
- Rétegzett Fenyegetésérzékelési Rendszer:
Az Log360 egy rétegzett fenyegetésérzékelési rendszert alkalmaz, összekapcsolva a viselkedésalapú anomáliaérzékelést a számláló alapú szűréssel az adaptív küszöb használatával. Ez a két rétegű megközelítés fokozza a fenyegetésérzékelés hatékonyságát, ahogy azt az alábbi példa is mutatja:
Réteg 1: Viselkedési Mintafelderítés
Riasztást generál, ha fontos munkafájlokhoz munkaidőn kívül férnek hozzá.
Réteg 2: Okos Küszöb
Ha egy felhasználói fiók több anomáliát generál egy specifikus időkereten belül, eltérve a szokásos számlálástól, generáljon riasztást.
Ez a rétegzett megközelítés jelentősen csökkenti a riasztás zaját, biztosítva, hogy a valódi fenyegetéseket azonosítsák és prioritizálják az azonnali válasz és helyreállítás érdekében.
Összefoglalva, a ManageEngine Log360 Okos Küszöb funkciójának bevezetése jelentős ugrást jelent a SIEM-megoldások fejlődésében. Az adaptív küszöb képesség, amely integrálva van az előrehaladott fenyegetésérzékelési modulokkal, erős védelmet nyújt a kiberfenyegetések ellen, automatizációt, pontosságot és idővel növekvő pontosságot biztosítva a SOC csapatoknak. Ahogy a kiberbiztonsági tájkép tovább fejlődik, a Log360 innovációra való elkötelezettsége a következő generációs Biztonsági Információ és Eseménykezelés területén pozícionálja el.
