Stiùireadh Imrich Google Cloud SIEM

Imrich Google Cloud SIEM

Fiosrachadh toraidh

Sònrachaidhean:

• Ainm toraidh: Iùl Imrich SIEM
• Ùghdar: Neo-aithnichte
• Foillsichte Bliadhna: Gun sònrachadh

Stiùireadh airson cleachdadh bathar

• A’ taghadh SIEM Ùr
  Tòisich le bhith a’ faighneachd prìomh cheistean dhut fhèin agus don sgioba agad gus do chuideachadh le bhith faighinn a-mach neartan agus laigsean gach tairgse. Comharraich gu sgiobalta na mòr-chumhachdan aig gach SIEM agus dealbhaich mar as urrainn don bhuidheann agad adhartas a dhèanamhtage dhiubh.
• SIEM dùthchasach na sgòthan
  Beachdaich a bheil an SIEM air a thabhann le prìomh sholaraiche seirbheis sgòthan (CSP) a bheir seachad bun-structar aig ìre cruinne aig prìsean mòr-reic. Tha modalan cleachdadh SIEM dùthchasach Cloud a’ ceadachadh scalability agus riaghladh fiùghantach air eallach obrach sgòthan.
• SIEM le eòlas
  Dèan cinnteach a bheil an neach-reic SIEM a’ tabhann fiosrachadh bagairt aghaidh leantainneach gus faighinn a-mach às a’ bhogsa lorg bagairtean ùra agus bagairtean a tha a’ tighinn am bàrr.

Tha SIEM marbh, fada beò SIEM

Ma tha thu mar sinne, is dòcha gum bi iongnadh ort, ann an 2024, gu bheil siostaman fiosrachaidh tèarainteachd agus riaghladh thachartasan (SIEM) fhathast mar chnàimh-droma a’ mhòr-chuid de ionadan gnìomhachd tèarainteachd (SOC). Chaidh SIEMn a chleachdadh a-riamh airson dàta tèarainteachd a chruinneachadh agus a mhion-sgrùdadh bho air feadh na buidhne agad gus do chuideachadh le bhith ag aithneachadh, a’ sgrùdadh agus a’ dèiligeadh ri bagairtean gu sgiobalta agus gu h-èifeachdach. Ach is e an fhìrinn nach eil mòran coltach ri SIEMan an latha an-diugh ris an fheadhainn a chaidh a thogail o chionn 15+ bliadhna, mus do dh’ èirich ailtireachd dùthchasach sgòthan, eintiteas luchd-cleachdaidh agus mion-sgrùdadh giùlan (UEBA), orcastra tèarainteachd, fèin-ghluasad agus freagairt (SOAR), riaghladh uachdar ionnsaigh. agus gu dearbh AI, airson beagan ainmeachadh.
Tha SIEMan dìleab gu tric slaodach, trom agus duilich an cleachdadh. Bidh an ailtireachd dìleab aca gu tric a’ cur casg orra bho bhith a’ sgèileadh gu stòran log àrd a thoirt a-steach, agus is dòcha nach urrainn dhaibh cumail suas ris na bagairtean as ùire no taic a thoirt do na feartan agus na comasan as ùire. Is dòcha nach toir iad sùbailteachd gus taic a thoirt do riatanasan sònraichte na buidhne agad no a bhith freagarrach don ro-innleachd ioma-sgòthan a tha fìor don mhòr-chuid de bhuidhnean an-diugh. Mu dheireadh, is dòcha gu bheil iad ann an droch shuidheachadh airson advan a ghabhailtage de na leasachaidhean teicneòlais as ùire, leithid inntleachd fuadain (AI).
Mar sin ged a dh’ fhaodadh SIEM le ainm sam bith eile a bhith a cheart cho milis, cumaidh sgiobaidhean gnìomhachd tèarainteachd orra ag earbsa
“àrd-ùrlaran gnìomhachd tèarainteachd” (no ge bith dè an t-ainm a thèid orra) san àm ri teachd airson lorg bagairtean, sgrùdadh agus freagairt.

Tha Imrich Mòr SIEM air tòiseachadh

Chan eil imrich SIEM ùr. Tha buidhnean air tuiteam a-mach à gaol leis an SIEM a th’ aca agus tha iad air roghainnean nas ùire agus nas fheàrr a shireadh airson bhliadhnaichean. Is dòcha nas trice, tha buidhnean air cur suas ris an SIEM nach eil a’ coileanadh agus/no a tha ro dhaor airson ùine nas fhaide na bhiodh iad air còrdadh, gu ìre air sgàth draghan mu cho iom-fhillte ‘s a tha e dèiligeadh ri imrich SIEM.
Ach tha o chionn beagan mhìosan air gluasadan teactonaigeach a thoirt a-steach don àite SIEM nach gabh a ràdh. Chan eil mòran teagamh ann gum bi cruth-tìre SIEM air atharrachadh gu tur ann am beagan bhliadhnaichean - a’ toirt breith do stiùirichean margaidh ùra agus a’ faicinn crìonadh agus is dòcha eadhon crìonadh “dinosaurs” a tha air a bhith a’ riaghladh fearann ​​​​SIEM airson deicheadan (no" eons” ann an teirmean cybersecurity). Gun teagamh luathaichidh na leasachaidhean sin imrich bho àrd-ùrlaran SIEM dìleab gu feadhainn an latha an-diugh, le mòran bhuidhnean a-nis mu choinneimh cuin a bu chòir dhaibh imrich a dhèanamh seach am bu chòir dhaibh imrich.

Seo geàrr-chunntas de ghluasadan mòra anns na 9 mìosan mu dheireadh a-mhàin:

Tha e mòran nas fhasa easbhaidhean a chomharrachadh anns an SIEM gnàthach agad na bhith a’ taghadh an neach eile as fheàrr agus a’ dèanamh imrich soirbheachail. Tha e cuideachd cudromach cuimhneachadh gum faod fàilligidhean cleachdadh SIEM cuideachd tighinn bho phròiseasan (agus uaireannan daoine), agus chan e dìreach teicneòlas. Sin far a bheil am pàipear seo a' tighinn a-steach. Tha na h-ùghdaran air na ceudan de imrich SIEM fhaicinn mar chleachdaichean, sgrùdairean agus luchd-reic thar iomadh deicheadan. Mar sin, leig dhuinn sùil a thoirt air na prìomh mholaidhean imrich SIEM airson 2024. Roinnidh sinn an liosta seo ann an roinnean agus crathaidh sinn leasanan a dh’ ionnsaich sinn bho na trainnsichean.

A’ taghadh SIEM Ùr

Tòisich le bhith a’ faighneachd prìomh cheistean dhut fhèin agus don sgioba agad gus do chuideachadh le bhith faighinn a-mach neartan agus laigsean gach tairgse. Tha sinn a’ moladh “mòr-chumhachdan” gach SIEM a chomharrachadh gu sgiobalta agus dealbhadh mar as urrainn don bhuidheann agad adhartas a dhèanamhtage dhiubh. Airson example:

• SIEM dùthchasach na sgòthan
  
  • A bheil an SIEM air a thabhann le prìomh sholaraiche seirbheis sgòthan (CSP) a bheir seachad bun-structar aig ìre cruinne aig prìsean mòr-reic?
    Tha an t-eòlas againn a’ sealltainn gu bheil duilgheadas aig solaraichean SIEM a tha ag obair ann an sgòthan nach eil aca a bhith a’ faighinn thairis air an “cruachadh iomaill” do-sheachanta a thig le modalan mar sin. Tha a’ cheist seo ceangailte gu dlùth ri cosgais.
    Tha modal cleachdadh SIEM dùthchasach sgòthan cuideachd a’ leigeil leis an SIEM sgèile suas is sìos mar fhreagairt air bagairtean ùra agus cuideachd a’ riaghladh nàdar fiùghantach eallach obrach sgòthan buidhne. Faodaidh bun-structar sgòthan agus tagraidhean fàs gu mòr ann am mionaidean. Tha ailtireachd SIEM dùthchasach sgòthan a’ leigeil le innealan èiginneach na sgiobaidhean tèarainteachd sgèile aig an aon ìre ri feumalachdan na buidhne as motha.
    Tha SIEMan dùthchasach Cloud cuideachd ann an deagh shuidheachadh gus eallach obrach sgòthan a dhèanamh tèarainte. Bidh iad a’ toirt seachad dàta latency ìosal bho sheirbheisean sgòthan agus a’ giùlan le susbaint lorgaidh gus cuideachadh le bhith ag aithneachadh ionnsaighean a tha cumanta san sgòth.
• SIEM le eòlas
  • A bheil sruth leantainneach de dh’fhiosrachadh bagairt aghaidh aig an neach-reic SIEM gus faighinn a-mach às a’ bhogsa lorg bagairtean ùra agus bagairtean a tha a’ tighinn am bàrr?
    Mar as trice bidh na stòran òrail sin ag èirigh bho chleachdaidhean freagairt tachartas àrd-ìre, obrachadh tairgsean sgòthan IaaS no SaaS mòr luchd-cleachdaidh, no bunaitean stàlaidh cruinneil de thoraidhean bathar-bog tèarainteachd no siostaman obrachaidh.
    Tha fiosrachadh bagairt deatamach do bhuidhnean gus tachartasan tèarainteachd a lorg, a sgrùdadh, a sgrùdadh agus freagairt a thoirt orra. Tha fiosrachadh bagairt aghaidh, gu sònraichte, luachmhor leis gu bheil e a’ toirt seachad fiosrachadh fìor-ùine mu na cunnartan agus na so-leòntachd as ùire. Faodar am fiosrachadh seo a chleachdadh gus tachartasan tèarainteachd a chomharrachadh agus prìomhachas a thoirt dhaibh, agus gus ro-innleachdan freagairt èifeachdach a leasachadh agus a bhuileachadh.
    Gus comasan lorg agus freagairt bagairt fìor-ùine a leasachadh, tha buidhnean tèarainteachd a’ sireadh amalachadh gun fhiosta de fhiosrachadh bagairt agus biadhan dàta co-cheangailte ris na sruthan-obrach agus na h-innealan gnìomhachd tèarainteachd aca. Tha cathair swivel, leth-bhreac, agus aonachadh brèige eadar SIEM agus stòran intel bagairt nan drèanaichean cinneasachd agus tha droch bhuaidh aca air èifeachd na sgioba agus air eòlas luchd-anailis.
• SIEM le susbaint glèidhte
  • A bheil an SIEM a’ tabhann leabharlann farsaing de parsers le taic agus riaghailtean lorg, agus gnìomhan freagairt?
    Gliocas: Bidh cuid de luchd-reic SIEM an urra cha mhòr a-mhàin air a’ choimhearsnachd luchd-cleachdaidh aca no com-pàirtichean caidreachais theicnigeach gus parsaran a chruthachadh airson biadhan dàta mòr-chòrdte. Ged a tha coimhearsnachd luchd-cleachdaidh soirbheachail deatamach, tha cus earbsa ann gus comasan bunaiteach leithid parsadh a thoirt seachad na dhuilgheadas. Bu chòir parsairean airson stòran dàta coitcheann a bhith air an cruthachadh, air an cumail suas, agus le taic dìreach bhon neach-reic SIEM. Gabh an aon dòigh-obrach nuair a choimheadas tu air susbaint riaghailt lorg. Tha riaghailtean coimhearsnachd deatamach, ach bu chòir dhut a bhith an dùil gun cruthaich agus gun cum an neach-reic agad leabharlann làidir de phrìomh lorgan a tha air an deuchainn, a’ faighinn taic agus air an leasachadh gu cunbhalach. Tha lorg bagairt àrd-inbhe, air a leigheas, deatamach do bhuidhnean gus an suidheachadh tèarainteachd aca a riaghladh gu h-èifeachdach. Bidh Google SecOps a’ toirt seachad lorg taobh a-muigh a’ bhogsa air bagairtean ùra is a tha a’ tighinn am bàrr, a chuidicheas buidhnean gus tachartasan tèarainteachd aithneachadh agus freagairt gu sgiobalta.
• SIEM le AI
  • A bheil an SIEM a’ toirt a-steach AI, agus a bheil e ann an suidheachadh leantainn air adhart ag ùr-ghnàthachadh?
    Chan eil àite inntleachd fuadain ann an SIEM fhathast air a làn thuigsinn (mòran nas lugha air a bhuileachadh) le neach-reic sam bith. Ach, tha feartan susbainteach air an stiùireadh le AI aig prìomh SIEMan mar-thà a’ lìbhrigeadh an-diugh. Tha na feartan sin a’ toirt a-steach giollachd cànain nàdarra airson a bhith a’ cur an cèill rannsachaidhean agus riaghailtean, geàrr-chunntas cùise fèin-ghluasadach, agus gnìomhan freagairt a thathar a’ moladh. Tha a’ mhòr-chuid de luchd-ceannach agus luchd-amhairc gnìomhachais den bheachd gu bheil feartan leithid lorg bagairtean agus mion-sgrùdadh nàimhdeil ro-innseach mar cuid de na “greals naomh” de chomasan SIEM air an stiùireadh le AI. Chan eil SIEM gu h-earbsach a’ tabhann na feartan sin an-diugh. Mar a thaghas tu SIEM ùr ann an 2024, smaoinich a bheil an neach-reic a’ tasgadh nan goireasan a tha riatanach gus adhartas brìoghmhor a dhèanamh air na comasan cruth-atharrachail sin.

Tha Google Security Operations (Chronicle roimhe) na fhuasgladh SIEM stèidhichte air sgòthan a tha Google Cloud a’ tabhann. Tha e air a dhealbhadh gus buidhnean a chuideachadh sa mheadhan a’ cruinneachadh logaichean agus telemetry tèarainteachd eile, an uairsin a’ lorg, a’ sgrùdadh agus a’ dèiligeadh ri bagairtean tèarainteachd ann an àm fìor. 

• Lorg agus cuir prìomhachas air bagairtean tèarainteachd: Bidh riaghailtean lorg taobh a-muigh a’ bhogsa aig Google SecOps a’ comharrachadh agus a’ toirt prìomhachas do chunnartan tèarainteachd ann an àm fìor. Bidh seo a’ cuideachadh bhuidhnean gus dèiligeadh gu sgiobalta agus gu h-èifeachdach ris na cunnartan as deatamaiche.
• Dèan sgrùdadh air tachartasan tèarainteachd: Tha Google SecOps a’ toirt seachad àrd-ùrlar meadhanaichte airson tachartasan tèarainteachd a sgrùdadh. Bidh seo a’ cuideachadh bhuidhnean gus fianais a chruinneachadh gu sgiobalta agus gu h-èifeachdach agus gus farsaingeachd an tachartais a dhearbhadh.
• Freagairt ri tachartasan tèarainteachd: Tha Google SecOps a’ toirt seachad grunn innealan gus buidhnean a chuideachadh gus dèiligeadh ri tachartasan tèarainteachd, leithid leigheas fèin-ghluasadach. Bidh sealgairean bagairt a’ faighinn a-mach gu bheil astar an àrd-ùrlar, comasan sgrùdaidh, agus fiosrachadh bagairt gnìomhaichte air leth luachmhor ann a bhith a’ lorg luchd-ionnsaigh a dh’ fhaodadh a bhith air sleamhnachadh tro na sgàinidhean. Bidh seo a’ cuideachadh bhuidhnean gus buaidh thachartasan tèarainteachd a chumail gu sgiobalta agus gu h-èifeachdach.
  Tha grunn shanasan aig Google SecOpstags thairis air fuasglaidhean traidiseanta SIEM, a’ gabhail a-steach:
• Eòlas fuadain: Bidh Google SecOps a’ cleachdadh teicneòlas Gemini AI Google gus leigeil le luchd-dìon tòrr dàta a sgrùdadh ann an diogan a’ cleachdadh cànan nàdarrach agus co-dhùnaidhean nas luaithe a dhèanamh le bhith a’ freagairt cheistean, a’ toirt geàrr-chunntas air tachartasan, a’ sealg bagairtean, a’ cruthachadh riaghailtean, agus a’ lìbhrigeadh ghnìomhan a thathar a’ moladh stèidhichte air co-theacs nan rannsachaidhean. Faodaidh sgiobaidhean tèarainteachd cuideachd Gemini a chleachdadh ann an Obraichean Tèarainteachd gus leabhraichean-cluiche freagairt a thogail gu furasta, rèiteachadh a ghnàthachadh, agus na cleachdaidhean as fheàrr a thoirt a-steach - a’ cuideachadh le bhith a’ sìmpleachadh gnìomhan ùineail a dh’ fheumas eòlas domhainn.
• Eòlas Cunnart Gnìomhaichte: Tha Google SecOps gu dùthchasach a’ fighe a-steach le Google Threat Intelligence (GTI) a tha a’ toirt a-steach fiosrachadh aonaichte bho VirusTotal, Mandiant Threat Intelligence, agus stòran fiosrachaidh Google Threat a-staigh, gus luchd-ceannach a chuideachadh a’ lorg barrachd chunnartan le nas lugha oidhirp.
• Scalability: Is e fuasgladh stèidhichte air sgòthan a th’ ann an Google SecOps, gus an urrainn dha bun-structar sgòthan hyperscale a thoirt seachad le Google cloud gus coinneachadh ri feumalachdan comas is coileanaidh buidheann sam bith, ge bith dè am meud.
• Amalachadh le Google Cloud: Tha Google SecOps ceangailte gu teann ri toraidhean agus seirbheisean Google Cloud eile, leithid Google Cloud Security Center Command Enterprise (SCCE). Tha an aonachadh seo ga dhèanamh furasta do bhuidhnean an gnìomhachd tèarainteachd a riaghladh ann an aon àrd-ùrlar aonaichte. Is e Google SecOps an SIEM as fheàrr airson telemetry seirbheis GCP agus tha e cuideachd a ’toirt a-steach susbaint lorg taobh a-muigh a’ bhogsa airson prìomh sholaraichean sgòthan eile leithid AWS agus Azure.

Fiosrachadh Cunnart Gnìomhaichte ann an Google SecOps
Leigidh Google SecOps le sgiobaidhean tèarainteachd dàta tèarainteachd a riaghladh agus a mhion-sgrùdadh a tha gu fèin-ghluasadach ceangailte agus air a bheairteachadh le dàta bagairt. Le bhith ag amalachadh fiosrachadh bagairt gu dìreach a-steach don SIEM agad, faodaidh buidhnean:

• Leasaich lorg agus triage: Faodar dàta bagairt a chleachdadh gu dìreach gus riaghailtean a chruthachadh a chuidicheas le bhith ag aithneachadh gnìomhachd droch-rùnach ann an àm fìor. Tha an dàta seo cuideachd air a chleachdadh gus co-theacsa a chuir ri rabhaidhean eile agus gus misneachd san rabhadh atharrachadh gu fèin-ghluasadach. Bidh seo a’ cuideachadh bhuidhnean gus tachartasan tèarainteachd a lorg agus a sgrùdadh gu sgiobalta, agus na goireasan aca a chuimseachadh air na cunnartan as deatamaich.
• Leasaich rannsachadh agus freagairt: Faodar fiosrachadh bagairt a chleachdadh gus co-theacsa agus seallaidhean a thoirt seachad rè sgrùdaidhean tèarainteachd. Faodaidh seo luchd-anailis a chuideachadh gus bun-adhbhar tachartas aithneachadh gu luath agus ro-innleachdan freagairt èifeachdach a leasachadh agus a bhuileachadh.
• Fuirich air thoiseach air cruth-tìre bagairt: Faodaidh fiosrachadh bagairt buidhnean a chuideachadh gus fuireach air thoiseach air cruth-tìre bagairt le bhith a’ toirt seachad fiosrachadh mu na cunnartan is so-leòntachd as ùire. Faodar am fiosrachadh seo a chleachdadh gus ceumannan tèarainteachd for-ghnìomhach a leasachadh agus a bhuileachadh, leithid sealg chunnartan agus trèanadh mothachadh tèarainteachd.

Lorg Cunnart ann an Google SecOps
Tha lorg bagairt Google SecOps stèidhichte air sruth leantainneach de fhiosrachadh bagairt aghaidh bho sgiobaidhean tèarainteachd Google. Tha am fiosrachadh seo air a chleachdadh gus riaghailtean agus rabhaidhean a chruthachadh a dh’ aithnicheas gnìomhachd droch-rùnach ann an àm fìor. Bidh Google SecOps cuideachd a’ cleachdadh anailisean giùlain agus sgòradh cunnairt gus pàtrain amharasach ann an dàta tèarainteachd a chomharrachadh. Leigidh seo le Google SecOps bagairtean a lorg nach gabh an lorg le riaghailtean lorgaidh traidiseanta.

Tha luach lorg bagairt àrd-inbhe, air a leigheas, soilleir. Gheibh buidhnean a chleachdas Google SecOps buannachd bho:

• Lorg agus triage nas fheàrr: is urrainn do Google SecOps buidhnean a chuideachadh gus tachartasan tèarainteachd aithneachadh agus a sgrùdadh gu sgiobalta. Leigidh seo le buidhnean na goireasan aca a chuimseachadh air na cunnartan as deatamaich.
• Rannsachadh agus freagairt leasaichte: faodaidh Google SecOps co-theacsa agus seallaidhean a thoirt seachad rè sgrùdaidhean tèarainteachd. Faodaidh seo luchd-anailis a chuideachadh gus bun-adhbhar tachartas aithneachadh gu luath agus ro-innleachdan freagairt èifeachdach a leasachadh agus a bhuileachadh.
• Fuirich air thoiseach air cruth-tìre bagairt: faodaidh Google SecOps buidhnean a chuideachadh gus fuireach air thoiseach air cruth-tìre bagairt le bhith a’ toirt seachad fiosrachadh mu na cunnartan agus na so-leòntachd as ùire. Faodar am fiosrachadh seo a chleachdadh gus ceumannan tèarainteachd for-ghnìomhach a leasachadh agus a bhuileachadh, leithid sealg chunnartan agus trèanadh mothachadh tèarainteachd.

Imrich SIEM

Mar sin tha thu air co-dhùnadh an gluasad a dhèanamh. Tha an dòigh-obrach agad a thaobh imrich deatamach ann a bhith a’ dèanamh cinnteach gun cùm thu suas na comasan a tha a dhìth agus gun tòisich thu air luach a tharraing bhon àrd-ùrlar ùr cho luath ‘s a ghabhas. Tha e an urra ri prìomhachasadh. Is e malairt àbhaisteach a bhith ag aithneachadh ged a tha imrich SIEM a’ riochdachadh cothrom an dòigh-obrach iomlan agad a thaobh sgrùdadh, lorg agus freagairt ùrachadh, tha mòran de dh’ imrich SIEM a ’fàiligeadh leis gu bheil buidhnean a’ feuchainn ris “an cuan a ghoil.”

Mar sin seo na molaidhean as fheàrr againn airson an imrich SIEM soirbheachail agad a dhealbhadh agus a chuir an gnìomh:

• Mìnich na h-amasan imrich agad. Tha seo follaiseach, ach is e pròiseas fada a th’ anns an imrich SIEM agad, agus mar sin tha ceangal làidir eadar a bhith a’ mìneachadh na builean a tha thu ag iarraidh (me, lorg bagairtean nas luaithe, aithris gèillidh nas fhasa, faicsinneachd nas fheàrr, saothair luchd-anailis nas lugha, agus aig an aon àm a’ lughdachadh cosgais) le soirbheachas.
• Cleachd an imrich mar chothrom taigh a ghlanadh. Is e deagh àm a tha seo airson glanadh na riaghailtean lorgaidh agad agus na stòran log agus na imrich ach an fheadhainn a chleachdas tu. Is e deagh àm a th’ ann cuideachd airson a-rithistview na pròiseasan sgrùdaidh agus gleusadh rabhaidh agad agus dèan cinnteach gu bheil iad ùraichte.
• Na imrich a h-uile stòr log. Tha gluasad gu SIEM ùr na chothrom math airson co-dhùnadh dè na logaichean a dh’ fheumas tu, biodh sin airson adhbharan gèillidh no tèarainteachd. Bidh mòran bhuidhnean a’ cruinneachadh tòrr dàta loga thar ùine, agus chan eil sin uile gu riatanach luachmhor no buntainneach. Le bhith a’ gabhail an ùine gus na stòran log agad a mheasadh mus imrich thu iad, faodaidh tu do SIEM a sgioblachadh agus fòcas a chuir air an dàta as cudromaiche do na feumalachdan tèarainteachd is gèillidh agad.
• Na gluais a h-uile susbaint. Chan eil e an-còmhnaidh riatanach an t-susbaint lorgaidh a th’ agad mu thràth, riaghailtean, rabhaidhean, deas-bhòrdan, ìomhaighean agus leabhraichean-cluiche a ghluasad gu SIEM ùr. Gabh an ùine gus do chòmhdach lorgaidh gnàthach a mheasadh agus prìomhachas a thoirt do imrich nan riaghailtean a tha a dhìth ort. Lorgaidh tu cothroman airson riaghailtean a dhaingneachadh, cuir às do riaghailtean nach b’ urrainn losgadh gu bràth air sgàth dìth telemetry no loidsig lochtach, no riaghailtean a tha air an làimhseachadh nas fheàrr le susbaint a-mach às a’ bhogsa. Cuir ceist air neach-reic no com-pàirtiche cleachdadh sam bith a tha a’ tagradh airson imrich riaghailt aon-ri-aon.
• Dèan prìomhachas air gluasad susbaint tràth. Tòisich imrich susbaint lorg sa bhad nuair a tha na stòran log rim faighinn agus na beairteas a tha riatanach airson gach cùis cleachdaidh sònraichte. Tha an dòigh-obrach seo air a stiùireadh le dàta, a’ co-thaobhadh stòran le cùisean cleachdaidh, a’ comasachadh oidhirpean imrich co-shìnte airson an èifeachdas agus na toraidhean as fheàrr.
• Tha imrich susbaint lorg na phròiseas air a stiùireadh le daoine. Dèan ullachadh gus susbaint lorgaidh ath-thogail (riaghailtean, rabhaidhean, clàran-dannsa, modalan, msaa) (sa mhòr-chuid) bhon fhìor thoiseach, a’ cleachdadh an t-seann shusbaint agad mar bhrosnachadh. An-diugh, chan eil dòigh dìon-amadan ann airson riaghailtean a thionndadh gu fèin-ghluasadach bho aon àrd-ùrlar SIEM gu àrd-ùrlar eile. Fhad ‘s a tha cuid de luchd-reic a’ tabhann eadar-theangairean co-chòrdadh, mar as trice bidh iad a ’leantainn gu ìre leum math seach riaghailt, sgrùdadh no deas-bhòrd air eadar-theangachadh gu foirfe. Bu chòir dhut advan as àirde a ghabhailtage de na h-innealan sin, ach aithnich nach e panacea a th’ annta.
• Tha susbaint lorgaidh a’ tighinn bho iomadh stòr. Dèan sgrùdadh air na feumalachdan còmhdach lorgaidh agad, an uairsin gabh ris no cruthaich na cùisean cleachdadh lorgaidh agad mar a dh’ fheumar. Bheir an neach-reic SIEM agad cuid de shusbaint a-mach às a’ bhogsa a bu chòir dhut an-còmhnaidh a luathachadh mas urrainn dhut. Beachdaich cuideachd air stòran riaghailtean coimhearsnachd agus solaraichean susbaint lorg treas-phàrtaidh. Nuair a bhios feum air, sgrìobh na riaghailtean agad fhèin agus cuimhnich air a’ mhòr-chuid de riaghailtean, ge bith dè an tùs a th’ orra, feumar an gleusadh airson àrainneachd shònraichte na buidhne agad.
• Leasaich loidhne-tìm imrich reusanta. Tha seo a’ toirt a-steach cunntas airson gluasad dàta, deuchainn, gleusadh, trèanadh agus tar-lùbadh a dh’ fhaodadh a bhith ann far am feum thu an dà shiostam a ruith aig an aon àm. Cuidichidh plana imrich air a dheagh mhìneachadh thu gus cunnartan a chomharrachadh agus a lasachadh, agus dèanamh cinnteach gun tèid an imrich a chrìochnachadh gu soirbheachail. Bu chòir clàr-ama mionaideach, liosta ghnìomhan, goireasan agus buidseat a bhith sa phlana. Aithnich gum feumar pròiseactan mòra leithid imrich SIEM a bhriseadh sìos gu ìrean.
• Deuchainn. Tha sinn a’ moladh a bhith a’ dèanamh deuchainn air do SIEM agus susbaint lorgaidh le bhith a’ stealladh dàta gu cunbhalach a bhrosnaicheas na lorg thu, a’ sgrùdadh parsadh, agus a’ dearbhadh sruth dàta bho lorg gu leabhar-cluiche cùis gu freagairt. Is e imrich SIEM an àm foirfe airson gabhail ri teann Prògram innleadaireachd lorg tha sin a’ toirt a-steach deuchainnean mar seo.
• Dèan ullachadh airson ùine eadar-ghluasaid nuair a ruitheas tu innealan sean is ùr. Seachain dòigh-obrach draghail “rip and replace”. Bidh imrich mean air mhean, far am bi thu ag imrich stòran log agus a’ cleachdadh chùisean mean air mhean a’ cuideachadh le smachd a chumail air a’ phròiseas agus a’ lughdachadh cunnart. Cuideachd, smaoinich dà uair mu bhith ag ath-ghabhail dàta bhon t-seann SIEM agad a-steach don fhear ùr. Ann an cuid de chùisean, is dòcha gum bi e comasach dhut an SIEM roimhe seo fhàgail a’ ruith airson amannan fada gus cothrom fhaighinn air dàta eachdraidheil.
• Dèan comas air na sgiobaidhean agad. Fàilligidh an imrich SIEM agad mura h-urrainn don luchd-anailis agad an siostam ùr a chleachdadh. Bidh plana imrich math a’ toirt a-steach comas domhainn dha na sgiobaidhean agad. Smaoinich mu bhith a’ trèanadh innleadairean air bòrdadh dàta agus parsadh, a’ trèanadh luchd-anailis air riaghladh cùise/sgrùdadh/triage, sealgairean bagairt air lorg/sgrùdadh neo-riaghailteachd, agus innleadairean lorgaidh air sgrìobhadh riaghailtean. Tha an t-àm deatamach airson a bhith comasach. Tha e nas fheàrr luchd-obrach a thrèanadh fhad ‘s a tha iad a’ tòiseachadh air ìrean imrich sònraichte, seach a bhith a’ trèanadh mus bi feum air na sgilean sin.
• Faigh cuideachadh! Ma tha thu fortanach (no is dòcha mì-shealbhach?) Mar neach-dreuchd no stiùiriche, is dòcha gu bheil thu air a dhol tro aon no dhà de dh’ imrich SIEM nad chùrsa-beatha. Carson nach iarr thu cuideachadh bho eòlaichean a rinn e dusanan no ceudan de thursan? Tha sgiobaidhean seirbheisean proifeasanta bhon neach-reic agus / no sgiobaidhean comhairleachaidh bho chom-pàirtichean seirbheis teisteanasach nan deagh roghainn. Tha imrich SIEM gu ìre mhòr nan oidhirpean a tha stèidhichte air daoine.

Prìomh Phròiseas: Tagh Com-pàirtiche Cleachdaidh
Cha bhi buaidh nas motha aig co-dhùnadh sam bith air soirbheachas mu dheireadh imrich SIEM na roghainn com-pàirtiche cleachdadh. Tha àrd-ùrlaran SIEM nan siostaman iomairt mòr, iom-fhillte. Na feuch ri falbh leis fhèin; cumail ri com-pàirtiche cleachdadh a tha air a bhith tro iomadh imrich.

Is dòcha gu bheil an com-pàirtiche cleachdaidh dìreach mar mheur seirbheisean proifeasanta an neach-reic SIEM ùr. Ach, tha e nas cumanta com-pàirtiche treas-phàrtaidh a thaghadh airson an imrich a ruith. Cuimhnich gur e oidhirp air a stiùireadh le daoine a th’ ann an imrich SIEM. Tha e nas fheàrr com-pàirtiche a thaghadh le teisteanasan anns an SIEM ùr agus pailteas de chom-pàirtichean iomraidh. Bidh e cuideachd na chuideachadh ma tha eòlas aca air an SIEM air a bheil thu a’ dèanamh imrich. A bharrachd air iomraidhean, is e dòigh mhath air ìre eòlas com-pàirtiche leis an SIEM ùr agad a dhearbhadh sùil a thoirt air fòraman coimhearsnachd gus faicinn a bheil an sgioba air a bhith na chom-pàirtiche gnìomhach. Ann am beachd nan ùghdaran, tha luchd-obrach com-pàirteach a tha gu mòr an sàs ann an co-cheangal ri imrich SIEM soirbheachail. do sgìre, no na trì! Faodaidh tu coimhead airson sgilean cànain agus goireasan ann an advantagsònaichean ùine reusanta. Faodaidh tu cuideachd coimhead airson com-pàirtichean a bhios ag obrachadh an SIEM agad dhut, no a lìbhrigeas toraidhean co-chosmhail ri solaraiche seirbheis tèarainteachd fo stiùir as urrainn SIEM na buidhne agad a chuir a-mach gu ìre no gu h-iomlan.

Prìomh Phròiseas: Sgrìobhainn Cùisean Cumaidh is Cleachdaidh gnàthach
Tha cleachdadh SIEM mar as trice farsaing, a’ fàs gu cunbhalach ann an raon agus iom-fhillteachd thar bhliadhnaichean de chleachdadh. Dèan ullachadh airson glè bheag de sgrìobhainnean no gun a bhith ann. An dùil gum bi luchd-obrach a rinn rèiteachadh tùsail agus gnàthachadh an SIEM gu tric air falbh. Faodaidh clàradh mionaideach air an rèiteachadh agus na comasan tràth sa phròiseas imrich a bhith a’ ciallachadh an eadar-dhealachadh eadar soirbheachas agus fàilligeadh.

• Sgrìobhainn an dearbh-aithne agus riaghladh ruigsinneachd a bhios an SIEM a’ cleachdadh. Gu cinnteach feumaidh tu beagan ruigsinneachd stèidhichte air àite air dàta agus feartan a ghleidheadh. Air an làimh eile tha imrich na chothrom sgrùdadh a dhèanamh agus dèiligeadh ri sgaoileadh ruigsinneachd a tha a’ tachairt gu nàdarra anns a’ mhòr-chuid de bhuidhnean. Faodaidh tu cuideachd coimhead air a’ phròiseas imrich mar chothrom air dòighean dearbhaidh/ùghdarrais ùrachadh a’ gabhail a-steach a bhith a’ ceangal dearbh-aithne le inbhean corporra agus a’ cur an gnìomh dearbhadh ioma-fhactaraidh.
• Glac ainmean nan seòrsaichean dàta a thathar a’ cruinneachadh. Thoir an aire gu bheil cuid de SIEMn a’ gairm nan ainmean sin mar “sourcetype” no “logtype”. Glac na tha de dhàta de gach seòrsa dàta a’ sruthadh a’ cleachdadh gigabytes / latha mar an meatrach. Sgrìobhainn an loidhne-phìoban dàta airson gach stòr dàta (stèidhichte air àidseant, ceist API, web dubhan, toirt a-steach bucaid sgòthan, API ingest, neach-èisteachd HTTP, msaa), agus glac rèiteachadh parser SIEM còmhla ri gnàthachadh sam bith.
• Cruinnich rannsachaidhean sàbhalaidh, mìneachaidhean deas-bhòrd, agus riaghailtean lorg. Tha innealan stòraidh dàta leantainneach aig mòran SIEMn cuideachd leithid bùird sgrùdaidh. Dèan cinnteach gu bheil thu a’ tuigsinn agus a’ clàradh mar a tha iad sin gan cleachdadh agus gan cleachdadh.
• Dèan clàr de aonachadh le siostaman taobh a-muigh. Bidh mòran de SIEMn a’ fighe a-steach le siostaman riaghlaidh cùise, stòran-dàta dàimh, seirbheisean fios (post-d, SMS, msaa), agus àrd-ùrlaran fiosrachaidh bagairt.
• Glac susbaint freagairt leithid leabhraichean-cluiche, teamplaidean stiùireadh cùise, agus aonachadh gnìomhach sam bith nach deach a chlàradh mu thràth.

Seachad air na mion-fhiosrachadh teicnigeach cudromach sin a chruinneachadh, tha e deatamach ùine a ghabhail airson eadar-theachdview luchd-cleachdaidh an SIEM a th’ ann mar-thà gus na sruthan-obrach aca a thuigsinn. Faighnich mar a chleachdas iad an SIEM, dè na modhan obrachaidh àbhaisteach a tha an urra ris an SIEM. Tha e cudromach cuideachd ceistean farsaing fhaighneachd leithid dè na sgiobaidhean taobh a-muigh tèarainteachd a dh’ fhaodadh an SIEM a chleachdadh. Airson example, chan eil e neo-chumanta gum bi sgiobaidhean gèillidh no luchd-obrach gnìomhachd IT an urra ris an SIEM. Mura tèid na cùisean cleachdaidh sin a ghlacadh faodaidh dùilean a chall nas fhaide air adhart sa phròiseas imrich.

Prìomh Phròiseas: Imrich Stòr Log
Tha imrich stòr log a’ toirt a-steach gluasad na stòran dàta bhon t-seann SIEM chun SIEM ùr. Tha am pròiseas seo an urra ri sgrìobhainnean an config gnàthach a chaidh a chruinneachadh san fhaidhle Pròiseas: Sgrìobhainn an rèiteachadh agus an cleachdadh gnàthach earrann.

Mar as trice bidh na ceumannan a leanas an sàs sa phròiseas imrich stòr log:

1. Lorg agus tasgadh: Is e a’ chiad cheum a bhith a’ faighinn a-mach agus a’ clàradh a h-uile stòr log a tha an-dràsta gan toirt a-steach leis an t-seann SIEM. Faodar seo a dhèanamh a’ cleachdadh diofar dhòighean, leithid reviewann an rèiteachadh SIEM files no a’ cleachdadh APIan agus innealan co-cheangailte riutha.
2. Prìomhachas: Aon uair ‘s gu bheil na stòran log air an lorg agus air an innleachadh, feumaidh iad a bhith air am prìomhachasadh airson imrich. Faodar seo a dhèanamh stèidhichte air grunn nithean, leithid an anailis air a stiùireadh leis an stòr log, meud an dàta, cho cudromach sa tha an dàta, riatanasan gèillidh, agus iom-fhillteachd a’ phròiseas imrich.
3. Planadh imrich: Aon uair ‘s gu bheil na stòran log air an prìomhachasadh, feumar plana imrich a leasachadh.
4. Cur an gnìomh imrich: Faodar am pròiseas imrich an uairsin a chuir an gnìomh a rèir a’ phlana. Dh’ fhaodadh seo a bhith a’ toirt a-steach grunn ghnìomhan, leithid a bhith a’ rèiteachadh biadhan san SIEM ùr, a’ stàladh riochdairean, a’ rèiteachadh APIan, msaa.
5. Deuchainn agus dearbhadh: Aon uair ‘s gu bheil an imrich deiseil, tha e cudromach deuchainn agus dearbhadh gu bheil an dàta log air a shlaodadh gu ceart. Cleachd seo mar chothrom gus rabhaidhean a rèiteachadh airson tobraichean dàta a tha air a dhol sàmhach.
6. Sgrìobhainnean: Mu dheireadh, tha e cudromach an rèiteachadh stòr log ùr a chlàradh.

Prìomh Phròiseas: Imrich susbaint lorgaidh is freagairt
Tha susbaint lorg agus freagairt SIEM a’ toirt a-steach riaghailtean, rannsachaidhean, leabhraichean-cluiche, clàran-dash, agus rèiteachaidhean eile a tha a’ mìneachadh na tha na rabhaidhean SIEM agad a’ toirt a-steach agus mar a chuidicheas e le sgrùdairean na rabhaidhean sin a làimhseachadh. Às aonais susbaint a tha air a dhealbhadh gu ceart, chan eil anns an SIEM ach dòigh inntinneach airson sgrùdadh. Is e “grep daor” a th’ ann – teirm a chaidh a chruthachadh le co-obraiche de na h-ùghdaran o chionn grunn bhliadhnaichean. Tha prìomh àite aig susbaint SIEM ann a bhith a’ mìneachadh còmhdach lorg na buidhne agad.

• Tha riaghailtean lorgaidh gan cleachdadh gus tachartasan tèarainteachd a chomharrachadh. Bidh innleadairean lorgaidh aig a bheil eòlas domhainn air cleasaichean bagairtean tèarainteachd agus na innleachdan, dòighean-obrach agus modhan-obrach (TTPn) a tha cumanta dhaibh gan sgrìobhadh. Bidh riaghailtean lorgaidh a’ coimhead airson pàtrain a tha a’ riochdachadh na TTPn sin anns an dàta loga. Bidh riaghailtean lorgaidh gu tric a’ ceangal diofar stòran log ri chèile agus a’ cleachdadh dàta fiosrachaidh bagairt.
• Bithear a’ cleachdadh leabhraichean-cluiche freagairt gus am freagairt gu rabhaidhean tèarainteachd a dhèanamh fèin-ghluasadach. Faodaidh iad a bhith a’ toirt a-steach gnìomhan leithid a bhith a’ cur fiosan, a’ dealachadh luchd-aoigheachd ann an cunnart, a’ beairteachadh rabhaidhean le dàta co-theacsail / fiosrachadh bagairt, agus a’ ruith sgriobtaichean leigheas.
• Bithear a’ cleachdadh deas-bhòrdan gus dàta tèarainteachd fhaicinn agus sùil a chumail air inbhe tachartasan tèarainteachd. Faodar an cleachdadh gus sùil a chumail air suidheachadh tèarainteachd iomlan na buidhne agus gus gluasadan agus pàtrain a chomharrachadh.
• Tha leasachadh susbaint lorg agus freagairt ùr na phròiseas ath-aithriseach. Tha e cudromach sùil leantainneach a chumail air an SIEM agus atharrachaidhean a dhèanamh air an t-susbaint mar a dh’ fheumar. Is e deagh àm a th’ ann an imrich SIEM airson do phròiseasan a leasachadh a’ cleachdadh dòighean-obrach leithid lorg mar chòd (DaC).

Prìomh Phròiseas: Trèanadh agus Comasachadh
Is e pròiseas air a bheilear a’ dearmad gu tric rè imrich SIEM trèanadh luchd-cleachdaidh. Is dòcha gur e an SIEM an inneal singilte as cudromaiche a bhios sgioba gnìomhachd tèarainteachd a’ cleachdadh. Bidh pàirt mòr aig an comas a bhith ga chleachdadh gu h-èifeachdach agus gu cinneasach ann an soirbheachas na h-imrich, agus an comas air do bhuidheann a dhìon. Cuir earbsa anns an t-solaraiche SIEM agad agus an com-pàirtiche cleachdadh gus susbaint trèanaidh agus lìbhrigeadh a thoirt seachad. Seo liosta ghoirid de chuspairean air am bu chòir do sgiobaidhean a bhith air an comasachadh.

• Log a-steach biadhadh agus parsadh
• Rannsachadh / Rannsachadh
• Stiùireadh cùise
• Ùghdarrachadh Riaghailt
• Leasachadh deas-bhòrd
• Leabhar-cluiche / Automation

Co-dhùnadh

• Aig a’ cheann thall, tha imrich bho SIEM dìleab gu fuasgladh ùr-nodha do-sheachanta. Ged a dh’ fhaodadh na dùbhlain a bhith eagallach, faodaidh imrich air a dheagh phlanadh agus air a dheagh choileanadh leantainn gu leasachaidhean mòra ann an lorg bagairtean, comasan freagairt, agus suidheachadh tèarainteachd iomlan.
• Le bhith a’ beachdachadh gu faiceallach air taghadh SIEM ùr, a’ faighinn buannachd bho neartan ailtireachd dùthchasach sgòthan, a’ toirt a-steach fiosrachadh bagairt adhartach, agus a’ cleachdadh feartan air an stiùireadh le AI, faodaidh buidhnean cumhachd a thoirt do na sgiobaidhean tèarainteachd aca dìon gu for-ghnìomhach an-aghaidh bagairtean a tha a’ sìor atharrachadh. Tha am pròiseas imrich soirbheachail a’ toirt a-steach dealbhadh mionaideach, sgrìobhainnean coileanta, stòr log ro-innleachdail agus imrich susbaint, deuchainn mionaideach, agus trèanadh luchd-cleachdaidh coileanta.
• Faodaidh com-pàirteachadh le eòlaichean cleachdadh eòlach a bhith air leth luachmhor ann a bhith a’ seòladh nan iom-fhillteachd agus a’ dèanamh cinnteach à gluasad rèidh. Le dealas airson leasachadh leantainneach agus fòcas air innleadaireachd lorgaidh, faodaidh buidhnean feum a dhèanamh de làn fheum
• comas an SIEM ùr aca agus neartaich an dìonan tèarainteachd airson bliadhnaichean ri thighinn.

Leughadh a bharrachd

• “Mar as urrainn do Google SecOps do chuideachadh le bhith ag àrdachadh do phàipear SIEM Stack”.
• “Ri teachd an SOC: mean-fhàs no Optimization - Tagh do shlighe” pàipear
• Blog Coimhearsnachd Tèarainteachd Google Cloud
• Cuairt-litir seachdaineil Innleadaireachd Lorgaidh
• lorg.fyi - Molaidhean stèidhichte air cleachdaiche air innleadaireachd lorg
• A’ tòiseachadh le lorg-mar-còd agus gnìomhachd tèarainteachd Google - Dàibhidh French (Pàirt a h-aon, pàirt a dhà)
• A’ cur an gnìomh sruth-obrach innleadaireachd lorgaidh ùr-nodha - Dan Lussier (Pàirt a h-aon, pàirt a dhà, pàirt a trì)

Airson tuilleadh fiosrachaidh tadhal air sgòth.google.com

Ceistean Cumanta

C: Dè an adhbhar a tha aig an iùl mòr SIEM Imrich?
F: Tha an iùl ag amas air buidhnean a chuideachadh a’ gluasad bho fhuasglaidhean SIEM seann-fhasanta gu roghainnean nas ùire, nas èifeachdaiche airson lorg agus freagairt chunnartan.

C: Ciamar a gheibh mi buannachd bho SIEM dùthchasach sgòthan?
A: Bidh SIEMan dùthchasach sgòthan a’ toirt seachad scalability, cosg-èifeachdas, agus tèarainteachd èifeachdach airson eallach obrach sgòthan air sgàth an ailtireachd agus an comasan.