03 Użyj SIEM aby chronić organizację - moojpanie/CyberPodstawy GitHub Wiki

Splunk

Splunk oferuje różne opcje narzędzi SIEM: Splunk® Enterprise i Splunk® Cloud. Obydwa umożliwiają przeglądanie danych organizacji na dashboardach. Pomaga to specjalistom ds. bezpieczeństwa zarządzać wewnętrzną infrastrukturą organizacji poprzez gromadzenie, wyszukiwanie, monitorowanie i analizowanie danych dzienników z wielu źródeł w celu uzyskania pełnego wglądu w codzienne operacje organizacji.

Panel stanu zabezpieczeń

Pulpit nawigacyjny stanu zabezpieczeń jest przeznaczony dla centrów operacyjnych zabezpieczeń (SOC). Wyświetla najważniejsze wydarzenia i trendy związane z bezpieczeństwem z ostatnich 24 godzin w organizacji oraz pozwala specjalistom ds. bezpieczeństwa określić, czy infrastruktura i zasady bezpieczeństwa działają zgodnie z założeniami. Analitycy bezpieczeństwa mogą używać tego pulpitu nawigacyjnego do monitorowania i badania potencjalnych zagrożeń w czasie rzeczywistym, takich jak podejrzana aktywność sieciowa pochodząca z określonego adresu IP.

Pulpit podsumowujący kierownictwo Pulpit podsumowujący dla kadry kierowniczej analizuje i monitoruje ogólny stan organizacji w czasie. Pomaga to zespołom ds. bezpieczeństwa ulepszyć środki bezpieczeństwa, które zmniejszają ryzyko. Analitycy bezpieczeństwa mogą korzystać z tego pulpitu nawigacyjnego, aby zapewnić zainteresowanym stronom szczegółowe informacje, na przykład wygenerować podsumowanie incydentów i trendów związanych z bezpieczeństwem w określonym przedziale czasu.

Panel przeglądu incydentów Panel przeglądu incydentów umożliwia analitykom identyfikację podejrzanych wzorców, które mogą wystąpić w przypadku incydentu. Pomaga poprzez podkreślenie pozycji o podwyższonym ryzyku, które wymagają natychmiastowego przeglądu przez analityka. Ten pulpit nawigacyjny może być bardzo pomocny, ponieważ zapewnia wizualną oś czasu wydarzeń prowadzących do zdarzenia.

Panel analizy ryzyka Pulpit nawigacyjny analizy ryzyka pomaga analitykom zidentyfikować ryzyko dla każdego obiektu ryzyka (np. konkretnego użytkownika, komputera lub adresu IP). Pokazuje zmiany w aktywności lub zachowaniu związanym z ryzykiem, np. logowanie użytkownika poza normalnymi godzinami pracy lub niezwykle duży ruch sieciowy z określonego komputera. Analityk bezpieczeństwa może wykorzystać ten pulpit nawigacyjny do analizy potencjalnego wpływu luk w zabezpieczeniach zasobów krytycznych, co pomaga analitykom w ustaleniu priorytetów działań mających na celu ograniczenie ryzyka.

Kronika Chronicle to działające w chmurze narzędzie SIEM firmy Google, które przechowuje, analizuje i przeszukuje dane dzienników w celu identyfikacji potencjalnych zagrożeń, ryzyka i luk w zabezpieczeniach. Chronicle pozwala na zbieranie i analizowanie danych dziennika według:

Konkretny zasób

Nazwa domeny

Użytkownik

Adres IP

Chronicle udostępnia wiele pulpitów nawigacyjnych, które pomagają analitykom monitorować dzienniki organizacji, tworzyć filtry i alerty oraz śledzić podejrzane nazwy domen.

Przejrzyj następujące pulpity nawigacyjne Chronicle i ich przeznaczenie:

Pulpit nawigacyjny analiz przedsiębiorstwa Pulpit nawigacyjny Enterprise Insights wyróżnia ostatnie alerty. Identyfikuje podejrzane nazwy domen w dziennikach, zwane wskaźnikami naruszenia bezpieczeństwa (IOC). Każdy wynik jest oznaczony wskaźnikiem zaufania, który wskazuje prawdopodobieństwo wystąpienia zagrożenia. Zapewnia również poziom ważności, który wskazuje znaczenie każdego zagrożenia dla organizacji. Analityk bezpieczeństwa może używać tego pulpitu nawigacyjnego do monitorowania prób logowania lub dostępu do danych związanych z krytycznym zasobem – takim jak aplikacja lub system – z nietypowych lokalizacji lub urządzeń.

Panel pozyskiwania danych i stanu zdrowia Pulpit nawigacyjny pozyskiwania danych i kondycji pokazuje liczbę dzienników zdarzeń, źródła dzienników i wskaźniki powodzenia przetwarzania danych w Chronicle. Analityk bezpieczeństwa może użyć tego pulpitu nawigacyjnego, aby upewnić się, że źródła dzienników są poprawnie skonfigurowane i że dzienniki są odbierane bez błędów. Pomaga to zapewnić rozwiązanie problemów związanych z dziennikami, dzięki czemu zespół ds. bezpieczeństwa będzie miał dostęp do potrzebnych danych dziennika.

Panel meczów IOC
Panel meczów IOC wskazuje najważniejsze zagrożenia, ryzyko i słabe punkty dla organizacji. Specjaliści ds. bezpieczeństwa korzystają z tego pulpitu nawigacyjnego do obserwacji nazw domen, adresów IP i IOC urządzeń w czasie w celu identyfikacji trendów. Informacje te są następnie wykorzystywane do skierowania uwagi zespołu ds. bezpieczeństwa na zagrożenia o najwyższym priorytecie. Na przykład analitycy bezpieczeństwa mogą używać tego pulpitu nawigacyjnego do wyszukiwania dodatkowej aktywności powiązanej z alertem, takiej jak podejrzane logowanie użytkownika z nietypowej lokalizacji geograficznej.

Główny pulpit nawigacyjny Główny pulpit nawigacyjny wyświetla ogólne podsumowanie informacji związanych z pozyskiwaniem danych w organizacji, alertami i aktywnością związaną ze zdarzeniami w czasie. Specjaliści ds. bezpieczeństwa mogą korzystać z tego pulpitu nawigacyjnego, aby uzyskać dostęp do osi czasu zdarzeń związanych z bezpieczeństwem — takich jak gwałtowny wzrost liczby nieudanych prób logowania — w celu zidentyfikowania trendów zagrożeń w źródłach logów, urządzeniach, adresach IP i lokalizacjach fizycznych.

Panel wykrywania reguł Panel wykrywania reguł udostępnia statystyki związane z incydentami o największej liczbie wystąpień, wadze i wykryciach w czasie. Analitycy bezpieczeństwa mogą używać tego pulpitu nawigacyjnego, aby uzyskać dostęp do listy wszystkich alertów wywołanych przez określoną regułę wykrywania, na przykład regułę zaprojektowaną tak, aby ostrzegała za każdym razem, gdy użytkownik otworzy znany złośliwy załącznik z wiadomości e-mail. Analitycy wykorzystują następnie te statystyki do zarządzania powtarzającymi się incydentami i ustalania taktyk łagodzących w celu zmniejszenia poziomu ryzyka organizacji.

Panel przeglądu logowania użytkownika Panel przeglądu logowania użytkowników zawiera informacje o zachowaniu dostępu użytkowników w całej organizacji. Analitycy bezpieczeństwa mogą używać tego pulpitu nawigacyjnego, aby uzyskać dostęp do listy wszystkich zdarzeń logowania użytkowników w celu zidentyfikowania nietypowej aktywności użytkownika, np. zalogowania się użytkownika z wielu lokalizacji jednocześnie. Informacje te są następnie wykorzystywane do ograniczania zagrożeń, ryzyka i luk w zabezpieczeniach kont użytkowników i aplikacji organizacji.