Если вы читали первую часть этой тематической серии https://medium.com/@Anvilogic/the-future-state-of-siems-part-1-the-what-149056482fef, то, вероятно, вам интересно, почему должно быть будущее состояние SIEM, кроме обычной причины, по которой все должно развиваться/улучшаться с течением времени. Тем не менее, это более ужасно и революционно, чем это.
SIEM долгое время были основной системой сбора данных, оповещения и сортировки с технологической точки зрения, но всегда зависели от знаний, приоритетов и интеллекта людей, управляющих SOC, для основного контента — обнаружение и сортировка. логика — которая приводит все в движение. Это — контент — основная ценность центральной части SOC, которая требует знаний в предметной области, а не только технологий. К сожалению, большая часть ресурсов тратится на ввод данных, соответствие «моделям данных» (хотя это слишком комплиментарный термин) и кодирование базовых правил, которые генерируют шумные оповещения. Эти задачи должны быть ставками — средством достижения цели, а не самой целью. Но слишком часто внедрение SIEM начинается и заканчивается этими необходимыми, но недостаточными задачами. И в итоге выгорают аналитики и делают невозможной автоматизацию последующей сортировки/ответа.
Пришло время улучшить игру, чтобы улучшить обнаружение и, следовательно, лучшие методы реагирования. Это не обязательно недостаток поставщиков SIEM; они делают то, что у них получается лучше всего — собирают данные, помогают анализировать/расследовать, помогают автоматизировать, но основной контент для обнаружения должен исходить от экспертов в предметной области и предметной области, которые «были там и сделали это», а не от поставщиков технологий, которые хорошо разбираются в инженерии, но не обязательно хорошо разбираются в динамической среде безопасности. Таким образом, состояние SIEM необходимо изменить, чтобы усилить ядро — контент для обнаружения — и, следовательно, обеспечить значительный прирост производительности для SOC, где бюджеты для систем или людей не обязательно увеличиваются соразмерно потребностям. .
Есть три явления, которые происходят, чтобы компенсировать слабость контента SIEM:
1. Отсутствие лучшего обнаружения, ведущего к точным инцидентам, которые действительно требуют принятия мер, является причиной того, что EDR реализуют свою собственную разрозненную логику обнаружения/реагирования на конечных точках, а другие аналогичные технологии делают то же самое. в основном из-за отсутствия эффективной и точной логики в SIEM, а иногда и из-за стоимости лицензирования. Мир становится децентрализованным для удобства, но за счет отсутствия корреляции корпоративных данных для получения самых полных сигналов, ведущих к наиболее точным оповещениям об инцидентах.
2. Проблема на этом не заканчивается — она продолжается и на стороне оркестровки и автоматизации SOC. По этой причине практические инструкции систем SOAR в основном содержат обогащение (больше контекстуальных данных), чтобы лучше понять предупреждение и отклонить его как ложное срабатывание или принять как инцидент, заслуживающий принятия мер. В результате SOAR-системы компенсируют недостаточную эффективность SIEM-системы, а это неразумное использование ресурсов и приводит к неадекватной автоматизации. В двух словах, другие системы компенсируют отсутствие функциональности SIEM — основной логики обнаружения, которая обеспечит более высокие показатели предсказуемой, воспроизводимой и успешной автоматизации.
3. Наконец, если нет базовой системы учета, которая фактически оценивает зрелость, невозможно по-настоящему узнать состояние готовности предприятия к обеспечению безопасности. Как CISO может эффективно ответить на вопрос «как выглядит наше обеспечение безопасности?». Чтобы правильно ответить на этот вопрос, необходима система, которая распределяет содержимое обнаружения по корпоративным приоритетам и средам, таким как среда MITRE ATT&CK, и может генерировать показатели эффективности, охвата, пробелов, сравнения с аналогами, оценки зрелости и т. д. SIEM не могут выполнять все эти функции — им просто нужно выполнять свою основную функцию. хорошо, то есть внедрить релевантную, реализуемую, высокоэффективную логику обнаружения, которая будет поступать из других источников (обсуждается в следующей части этой серии сообщений в блоге), и действительно добиться высокого уровня автоматизации в SOC.
Люди не должны гоняться за данными и шумными оповещениями и сортировать основы, а другие системы не должны компенсировать это. Кроме того, руководители SOC не должны пытаться оценить свой уровень зрелости и безопасности. Эксперты предметной области SOC не должны компенсировать отсутствие экспертного контента в SIEM, а должны тратить свое время на повышение и настройку его для своих сред, легко, без необходимости быть экспертами по программированию или экспертами по ландшафту угроз. Необходимо главное изменение в SOC, чтобы добавить в SIEM сильный, актуальный и высокоэффективный контент — это отвечает невысказанной, подразумеваемой потребности в повышении производительности SOC. так отчаянно нуждается сегодня. Это также описано в предыдущем сообщении в блоге https://medium.com/@Anvilogic/being-a-soc-content-platform-4ccd27c2472a.
Это верные ответы на вопрос «Зачем SIEM нужно будущее состояние». В двух словах, SIEM нуждаются в улучшении обнаружения контента (предупреждений), и это не должно по-прежнему происходить вручную, спонтанно и сложно со стороны команд SOC — платформа контента должна стимулировать эти изменения. И это основа для следующей части этой серии, в которой будет обсуждаться «Как»…
