Siber güvenlikte, mümkün olduğunca fazla veri toplama dürtüsü vardır. Günlükler, uyarılar, metrikler, her şey. Ancak daha fazla veri mutlaka daha iyi güvenliğe dönüşmez.
SOCS her gün on binlerce uyarı ile ilgileniyor. Herhangi bir insanın gerçekçi bir şekilde ayak uydurabileceğinden daha fazlasıdır. Bir kerede çok fazla veri geldiğinde, işler kaçırılır. Yanıtlar yavaşlar ve zamanla sabit basınç tükenmişliğe yol açabilir.
Bir Vectra AI araştırmasına göre, SOC uygulayıcılarının% 71’i bir uyarı seli içinde gömülü gerçek bir saldırıyı kaçıracaklarından endişe ediyor ve% 51’i artan güvenlik tehdidine ayak uyduramayacaklarına inanıyor.
Neyin önemli olduğuna odaklanın
Çoğu uyarı ciddi bir şeye yol açmaz. Bazıları tasarıma göre gürültülüdür, diğerleri kötü yapılandırılmıştır. Her şeyi acil olarak görmeye çalışırsanız, önemli olanı özleyeceksiniz.
İşin püf noktası, modelleri tespit etmeye başlamaktır. Geçmiş araştırmalarda neyin yardımcı olduğuna bakın. Garip bir konumdan bir giriş miydi? Normalde yapmadıkları bir yönetici çalıştırır mı? Bir cihaz aniden garip alan adlarına ulaşıyor mu?
Bunlar, tipik sistem davranışının nasıl göründüğünü anladıktan sonra göze çarpan ayrıntılar. İlk başta olmazsın. Sorun değil. Eski olay raporlarını okumak için zaman harcayın. Ekibin gerçek uyarılara nasıl tepki verdiğini izleyin. Hangilerinin gerçekten soruşturmalara yol açtığını ve hangilerinin ikinci bir bakış olmadan reddedildiğini öğrenin.
Ayrıca bazı uyarıların tekrar tekrar geldiğini fark edeceksiniz. Devo Technology’den yapılan bir anket, kuruluşların% 84’ünün analistlerinin aynı olayları fark etmeden ayda birkaç kez araştırdığını söyledi. Bu, çok fazla gürültü, çok az bağlam ve neyin önemli olduğu konusunda yeterli netlik olmadığı için olur.
Bu, gerçek hayatta neyin önemli olduğunu görerek yargı oluşturmakla ilgilidir. Sinyalleri tanımaya başlayacaksınız – bir şeyin kapalı olduğu küçük işaretler – ve gerisini filtrelemede daha iyi olacaksınız.
Meraklı kalmak yardımcı olur. Bir uyarı neden yükseltildiğini, neyin önemli olduğunu, neyin göz ardı edildiğini ve nedenini sorun. Bağlamı ne kadar çok anlarsanız, faydalı sinyalleri kendiniz tespit etmeye başlayacaksınız.
İyi analistler her şeyi bilmiyorlar. Sadece nereye bakacaklarını biliyorlar.
Veri hijyeni uygulamak
Değer katmayan günlükleri ve uyarıları kaldırarak başlayın. Yararlı bilgiler içermedikleri için birçok kütük asla bakılmaz. Her başarılı girişi gösteren günlükler, bu girişler normalse yardımcı olmayabilir. Bazı günlükler sistem durum mesajları gibi aynı bilgileri tekrarlar. Bir günlük tehditleri bulmaya veya araştırmaya yardımcı olmazsa, genellikle toplamayı bırakmanız uygundur.
Ardından, farklı günlük türlerinin ne kadar sürdürüleceğini düşünün. Tüm kütüklerin aynı süre için kaydedilmesi gerekmez. Ağ trafik günlükleri yalnızca birkaç gün için yararlı olabilir, çünkü tehditler genellikle hızlı bir şekilde ortaya çıkar. Ancak, soruşturmalara yardımcı olmak veya kuralları karşılamak için giriş kayıtlarının veya yönetici eylemlerinin aylarca tutulması gerekebilir. Her veri türünün ne kadar tutulması gerektiğine karar vermek için ekibinizle birlikte çalışın. Bu, sistemlerinizin sorunsuz çalışmasına yardımcı olur ve çok fazla veri depolamaktan kaçınır.
Bir güvenlik olayı gerçekleşirse, hangi günlüklerin ve uyarıların tehdidi bulmaya veya durdurmasına yardımcı olduğunu incelemek için zaman ayırın. Hangi kaynakların olağandışı faaliyet gösterdiğine ve hangi uyarıların gerçek soruşturmalara yol açmasına bakın. Gelecekte onlara daha fazla dikkat edebilmeniz için bunları önemli olarak işaretleyin.
Çoğu güvenlik aracı, uyarıları filtrelemenize veya ne kadar önemli olduklarını değiştirmenize izin verir. Örneğin, sisteminiz başarısız oturum açma denemesi için birçok uyarı gönderirse, bunu yalnızca her biri yerine kısa sürede birkaç başarısızlık olduğunda uyarabilirsiniz. Bu yanlış alarmları ve uyanık yorgunluğu azaltır. Bu özelliklerin nasıl kullanılacağını öğrenmek için zaman ayırın. Ekibinizin gerçek sorunlar bulmasına ve dikkat dağıtıcı şeylerden kaçınmasına yardımcı olacaklar.
AI rolü
AI araçları güvenlik ekiplerine yardım etmede daha iyi hale geliyor. Bir kişinin kaçırabileceği büyük miktarda veriye ve spot kalıplara bakabilirler.
AI iyi yapar:
- Verileri insanlardan daha hızlı işler
- Yüksek riskli kalıpları işaretleyerek uyarı yorgunluğunu azaltır
- Manuel incelemelerde kaçırılabilecek anormallikler bulur
Ne için dikkat edilmelidir:
- AI hala tehditleri kaçırabilir veya yanlış sınıflandırabilir
- Sonuçlar giriş verilerinin kalitesine bağlı
- İnsan gözetimi ve ayarlama esastır
AI sihir değil. Sadece giriş temiz olduğunda iyi çalışır. Giren verilerin kalitesini artırırsanız, AI size daha iyi sonuçlar verecektir. Yaptığınız küçük değişiklikler bile gerçekleştirme şeklini geliştirebilir.