XDR Cybereason a triada SOC – SIEM

Home / Aktualności / XDR Cybereason a triada SOC – SIEM

Organizacje nie od dziś mają problem z priorytetyzacją wdrożeń nowych technologii. Od czasu pandemii, katalizatora transformacji cyfrowej, mają z tym ogromny problem. Na początku naszej serii artykułów, mówiliśmy o triadzie SOC – NDR, EDR i SIEM. Dotychczas widzieliśmy jedynie próby priorytetyzacji NDR, jako technologii nadrzędnej. Jednak dzięki Cybereason okazuje się, że vendorzy wychodzący z poziomu EDR nie powiedzieli ostatniego słowa…

Poniżej kilka argumentów popierających rozpoczęcie wdrożenia triady SOC od technologii opartej na EDR, który łączy w sobie pewne funkcjonalności NDR i SIEM. Właśnie dlatego z powodzeniem konkuruje z całym stack’iem SOC.

Jeżeli chodzi o SIEM dzieje się tak ponieważ…

1. Dla wielu organizacji jeszcze zbyt wcześnie na SIEM…

Nawet średniej wielkości organizacja może mieć setki różnych odmian systemów operacyjnych, aplikacji i urządzeń sieciowych, tworząc monumentalne zadanie polegające na zebraniu wszystkich danych w jednym miejscu i ich normalizacji (sprowadzenia różnych logów do jednego standardu). Ponadto tempo, w jakim firmy rozwijają IT oraz urządzenia i aplikacje, sprawia, że ​​zespoły obsługujące SIEM często zwyczajnie nie nadążają.

2. SIEM’om brakuje automatyzacji

Gdy patrzysz na setki różnych urządzeń, z których każde ma swój własny sposób informowania o tym, co się dzieje – ciężko wprowadzić precyzyjne zapytanie. Oczywiście możesz ustawić kilka reguł, takich jak „powiedz mi, kiedy zobaczysz pięć nieudanych logowań, a następnie udane logowanie”. Ale to wymaga wiedzy w zakresie tworzenia zapytań SIEM. Późniejsze skorelowanie wszystkich tych odmiennych zdarzeń z różnych platform i wyciągnięcie znaczących wniosków wykracza poza możliwości jakiegokolwiek SIEM.

3. Skalowalność SIEM’ów

Zbieranie, normalizowanie, kategoryzowanie, analizowanie, raportowanie i archiwizowanie danych z dziesiątek, a nawet setek tysięcy zdarzeń na sekundę wymaga dużej mocy obliczeniowej procesora, pamięci i operacji I/O. Żaden z graczy SIEM nie wyszedł z technologią, która może analizować w czasie rzeczywistym i szybko pobierać dane w razie potrzeby, a także efektywnie je przechowywać.

4. Niewystarczająca widoczność

Nikt nie używa SIEM, aby zrozumieć, co dzieje się na punktach końcowych — czyli tam, gdzie hakerzy wykonują większość swojej pracy. Obecnie żaden system SIEM nie jest w stanie obsłużyć ilości dzienników potrzebnych do analizy danych punktów końcowych. Kiedy więc punkt końcowy jest poza siecią firmową – jak to często bywa w dzisiejszych czasach w przypadku zdalnych i podróżujących pracowników – Twoja widoczność jest zerowa.

Biorąc pod uwagę powyższe należy zastanowić się czy masz wystarczające zasoby kapitału ludzkiego by zapewnić sobie udane wdrożenie technologii SIEM. W porównaniu z typowym Security Information & Event Management Cybereason pozwoli Ci uzyskać:

1. Widoczność. Sensory punktów końcowych Cybereason monitorują – w czasie rzeczywistym – każdy proces, każde połączenie, każdego użytkownika na każdym punkcie końcowym w całym przedsiębiorstwie, niezależnie od tego, czy jest to serwer w centrali Twojej firmy, czy laptop w Starbucks z dostępem do Salesforce.

2. Prawdziwą analizę behawioralną dzięki Hunting Engine firmy Cybereason. Zbiera on wszystkie dane z czujników punktów końcowych i wykorzystuje specjalnie zbudowany wykres do identyfikowania zagrożeń. Hunting Engine analizuje w czasie rzeczywistym i wykorzystuje uczenie maszynowe oraz analizę statystyczną i behawioralną, aby uzyskać niezrównane wykrywanie wszystkich elementów ataku, zwłaszcza zagrożeń typu zero-day.

3. Łatwość wdrożenia. Cybereason został zaprojektowany od podstaw, aby był łatwy do wdrożenia. Endpoint Sensor firmy Cybereason działa w przestrzeni użytkownika, eliminując ryzyko wystąpienia „niebieskiego ekranu” i wykładniczo ułatwiając wdrażanie. Serwery Cybereason działają w chmurze lub lokalnie, w zależności od preferencji, skracając czas planowania wdrożenia. Wreszcie, Cybereason jest wstępnie skonfigurowany z modelami behawioralnymi, dzięki czemu możesz uzyskać wartość natychmiast po wprowadzeniu czujnika.

4. Łatwość wdrożenia. Cybereason został zaprojektowany od podstaw, aby był łatwy do wdrożenia. Endpoint Sensor firmy Cybereason działa w przestrzeni użytkownika, eliminując ryzyko wystąpienia „niebieskiego ekranu” i wykładniczo ułatwiając wdrażanie. Serwery Cybereason działają w chmurze lub lokalnie, w zależności od preferencji, skracając czas planowania wdrożenia. Wreszcie, Cybereason jest wstępnie skonfigurowany z modelami behawioralnymi, dzięki czemu możesz uzyskać wartość natychmiast po wprowadzeniu czujnika.

5. Automatyzację rekacji. W przeciwieństwie do SIEM, dzięki Cybereason, gdy zidentyfikujesz zagrożenie, możesz je automatycznie wyłączyć, zapobiec rozprzestrzenianiu się w innych miejscach, odizolować je i przeprowadzić pełną zdalną analizę śledczą na komputerze.

Nasi klienci mówią nam, że wydają mniej pieniędzy, mniej czasu i wysiłku oraz uzyskują znacznie więcej korzyści z platformy Cybereason niż jakiekolwiek inne narzędzie, które wdrożyli – w tym SIEM. Jasne, jeśli nie masz nic innego, co zapewniłoby Ci wgląd w to, co dzieje się w Twoim środowisku, SIEM to milowy krok. Jednak pamiętać, że SIEM to mnożnik wartości poszczególnych technologii bezpieczeństwa – tylko dzięki czasochłonnej integracji zdołasz uzyskać prawdziwą wartość.

A i tak prędzej czy później większość ludzi zaczyna kwestionować wartość, jaką otrzymują, biorąc pod uwagę pieniądze i wysiłek, jaki wkładają we wdrożenia SIEM…

Powiązane artykuły

Krótko o ROI w cybersecurity - chodzi o to co możesz pokazać.
Alert (AA22-110A) - jak radzić sobie z rosyjskimi APT
A pamiętasz czasy z bezpiecznym internetem? Czyli… do 3 razy sztuka ataku na użytkowników WWW.
Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.
Akceptuję Więcej informacji