Siem ueba туралы түсінік

2021 жылы қымбат төлемдік бағдарламалық жасақтама шабуылдарына ұшыраған ірі компаниялардың барлығында киберқауіпсіздік жүйесінің қандай да бір түрі болды, шабуылдаушылар жүйені өшіретін бағдарламалық құралды іске қоспас бұрын еніп үлгерді. Мүмкін, шабуылдаушылар мінсіз шабуылға дайындалу үшін тіпті бірнеше күн бойы желі арқылы тыныш қозғалды. Бүгінгі заманауи қауіп-қатер ландшафтында сізге желіңіздің сыртындағы құлып пен дабыл ғана емес. Сондай-ақ жұмыс ортаңызда орын алатын әрекеттерді қорғаудың жоғары деңгейі қажет.

Бұл жерде SIEM және UEBA суретке кіреді. Кибершабуыл жасаушылардың күн сайын көбірек технологиялық білім алып, күрделі қауіп-қатер тактикасына ие болып жатқаны рас болса да, киберқауіпсіздік технологиясы да дәл солай тез дамып келеді. Киберқауіпсіздік бағдарламалық құралы зиянды әрекеттерді алдын ала болжап, оларды зақымдар алдында тоқтату үшін заманауи шабуылдаушылардан әрқашан бір қадам алда болу үшін жасалған. SIEM және UEBA - киберқауіпсіздік саласындағы ең заманауи жетістіктердің кейбірі күдікті әрекеттерді қымбат шабуылдарға айналмай тұрып анықтауға арналған.
SIEM UEBA туралы түсінік
SIEM дегеніміз не?
SIEM – бұл екі түрлі қауіпсіздік технологиясының қосындысы:Жүйеңіздегі күдікті оқиғаларға негізделген киберқауіпсіздік қатерлері туралы бизнесті бақылауға және хабарлауға тырысатын қауіпсіздік оқиғаларын басқару (SEM).
Қауіпсіздік ақпаратын басқару (SIM), ол негізінен журнал деректері туралы есеп беруге, ескертулерді жасауға және қауіпсіздік сәйкестік есептерін шығаруға қызмет етеді.
SIEM – қауіпсіздік операцияларында пайдаланылатын деректерді жинайтын және санаттайтын жүйе. UEBA бұл деректерді қауіпсіздік мамандарына инсайдерлік қауіптерді анықтауға және оларға жауап беруге көмектесетін маңызды талдауларды орындау үшін пайдаланады. Бұл жерде инсайдерлік қауіптер тек желіңізді пайдаланатын қызметкерлер ойлап табылмайтынын ескеру маңызды. Бұл термин желіге зиян келтіру ниетімен кірген кез келген нысанды сипаттау үшін қолданылады. Көбінесе инсайдерлік қауіп-қатерлер жоғарырақ қол жеткізу деңгейлеріне қол жеткізу немесе құпия деректерді алу үшін желіңіз арқылы сақтықпен қозғалатын шабуылдаушылар болып табылады. SIEM және UEBA қалай жұмыс істейтінін білу бұл құралдардың ішкі қауіптерді қалай анықтап, оларға жауап беруін сипаттауға көмектеседі.
Қауіпсіздік туралы ақпарат және оқиғаларды басқару (SIEM) қауіпсіздік оқиғаларын зерттеу және нақты уақыттағы киберқауіпсіздік оқиғаларына жауап беру үшін пайдаланылатын деректерді жинайтын құрал. Сіздің SIEM жүйеңіз желі арқылы орындалатын әрекеттерді толық көруді қамтамасыз ету үшін қолданбалардан, құрылғылардан, желілерден, инфрақұрылымнан және жүйелерден жасалған журнал және оқиға деректерін жинайды. Көптеген бұрынғы SIEM құрылғылары жергілікті шешімдер болғанымен, Next-Gen SIEM шешімдері гибридті және бұлтқа негізделген орталарды жақсырақ қорғау үшін бұлтқа негізделген. Желілік ортаға дұрыс оңтайландырылған кезде SIEM нақты уақыт режимінде деректердің үлкен көлемін жинап, талдай алады және озық қауіптерді анықтау және AI негізіндегі қауіпсіздік инциденттеріне жауап беру мүмкіндіктерін қамтамасыз ету үшін машиналық оқыту алгоритмдерін пайдалана алады.

Басқаша айтқанда, сіздің SIEM жүйеңіз желіңізде орын алатын барлық әрекеттерді үнемі жазып отырады және талдайды. Әдеттен тыс әрекеттер орын алғанда, жүйе күдікті (ықтимал зиянды)

Өзіңіз ойлағандай, SIEM деректердің үлкен көлемін жинаған кезде, күдікті деп белгіленуі мүмкін күн сайын мыңдаған әрекеттер орын алуы мүмкін. Дәл осы жерде дұрыс оңтайландырылмаған немесе басқа құралдармен тураланбаған SIEM жалған ескертулердің тасқынын жіберу арқылы сәтсіздікке ұшырауы мүмкін. Бұл мәселені жою үшін сарапшылар жалған ескертулерді жою үшін SIEM жүйесіне үнемі жаңа ақпаратты беруі керек.

UEBA әрбір пайдаланушыны сәйкестендіріп, авторизация деңгейлері, орналасқан жері, рұқсаттары және т.б. туралы ақпарат беру арқылы ақпаратқа контекст қосады. Бұл қосымша ақпарат жүйеге пайдаланушыны анықтауға және қарастырылып отырған әрекеттің рұқсаттар деңгейіне және типтік түріне қатысты күдікті екенін анықтауға мүмкіндік береді. жұмыс үрдістері. Рұқсат етілген пайдаланушының әрекетін қалыпты деп қабылдаудың орнына, жүйе енді мінез-құлықтың белгілі бір пайдаланушы үшін күдікті екенін көрсететін автоматтандырылған дабыл беруі мүмкін. Бұл кеңейтілген мүмкіндіктің көмегімен жүйе тіркелгі деректері бұзылған немесе тіркелгілер бұзылған болуы мүмкін жағдай туралы сигнал беру үшін ескертулер береді.
UEBA SIEM-пен бірге қалай жұмыс істейді
SIEM желідегі барлық құрылғылардан келетін деректерді жинайды және санаттарға бөледі. Ол қандай ақпарат қосымша талдауды қажет ететінін анықтау үшін машиналық оқытуды пайдаланады және сол деректерді қауіпсіздік тобына жібереді. UEBA SIEM ақпаратына контекст қосады, ол пайдаланушы мен нысан қолтаңбаларына негізделген әдеттен тыс әрекетті анықтау үшін маңызды. Сонымен, екеуі бірге қалай жұмыс істейді?

Көптеген қауіпсіздік жеткізушілері бірін-бірі толықтыруға арналған SIEM жүйелері мен UEBA жүйелерін ұсынады. SIEM ережеге негізделген қауіпті анықтауды пайдаланады, ал UEBA бұл анықтауды өздігінен үйренетін қауіпті анықтаумен толықтырады. UEBA тиімді SIEM өнімділігі үшін өте маңызды, сондықтан Gartner UEBA-ны SIEM мүмкіндігі ретінде қарастырады, оның көмегімен жеткізушілер қауіпсіздік ақпараты мен оқиғаларды басқаруға арналған сиқырлы квадрантта бағаланады.