02 Eki Test: Kendi Data Lake’inizi Getirin: Doğru Şekilde Yapın
Kuruluşunuz siber güvenlik tehditlerini ortaya çıkarmak için verilerini verimli bir şekilde nasıl inceleyebilir?
– Christophe Briguet, Ürün Yönetimi, Yapay Zeka/Makine Öğrenimi, Yıldız Siber
San Jose, Kaliforniya – 2 Ekim 2024
SIEM sektöründe önemli miktarda zaman geçirmiş biri olarak, manzarayı tanımlayan kalıpları ve evrimleri gördüm. En dikkate değer değişikliklerden biri, geleneksel, monolitik SIEM dağıtımlarından, kuruluşların önemli revizyonlar olmadan uyum sağlamasına ve büyümesine olanak tanıyan daha esnek, ölçeklenebilir çözümlere geçiş oldu.
SIEM Depolamanın Gelişimi
Geçmişte ArcSight gibi SIEM çözümlerinin çalışması için özel bir Oracle Veritabanı gerekiyordu. Oracle çalıştıran büyük bir SUN sunucusunun yalnızca günlükleri ve güvenlik olaylarını depolamaya adandığı günleri hatırlıyorum. Bu dikey ölçeklendirme, artan veri yüklerini yönetmenin tek yoluydu. Ancak veri hacimleri büyüdükçe pazar, yatay ölçeklendirmeye olanak tanıyan amaca yönelik tasarlanmış günlük yönetimi çözümlerinin ortaya çıktığını gördü.
Splunk, Loglogic ve ArcSight Logger depolama için ilk veri gölü katmanlarını yaratan öncüler arasındaydı. Bu çözümler veri depolamayı merkezileştirerek SIEM platformlarının veri yönetiminin karmaşıklığı yerine korelasyon ve analize odaklanmasını sağladı.
Çoklu Veri Platformu SIEM Çağına Girin
15 yıl ileri sardığımızda artık çoklu veri platformu SIEM çağındayız. Bu çözümler, uzaydaki büyük bir nesnenin yerçekimi kuvvetiyle diğerlerini çekmesine benzer şekilde, verilerin diğer verileri ve uygulamaları kendine çektiği metaforik bir kavram olan veri yerçekiminin gücünü tanır.
Modern SIEM çözümleri, sök ve değiştir işlemlerinin karmaşıklığından ve masrafından kaçınmak için veri çekimi kavramını benimser. Bunun yerine önemli bir değer teklifi sunuyorlar: mevcut veri göllerine sorunsuz bir şekilde bir analiz katmanı eklemek. Bu yaklaşım, verileri ve uygulamaları kökenlerine yakın tutarak optimum performans, daha düşük depolama/saklama maliyetleri ve basitleştirilmiş veri yönetimi sağlar.
Optimum performans ve maliyet verimliliği için Uygulamalar ve Hizmetler Veri Gölü’ne yönelir.
Kendi Veri Gölünüzü Getirin (BYODL)
Stellar Cyber’ın yakın zamanda yaptığı “Kendi Veri Gölünü Getir” (BYODL) desteği duyurusu, bu evrimde önemli bir dönüm noktasına işaret ediyor. Veri depolamalarını Splunk, Snowflake, Elastic veya AWS gibi platformlarda standartlaştıran kuruluşlar artık Stellar Cyber’in yapay zeka odaklı Open XDR platformunu söküp değiştirmeye gerek kalmadan bu verilerle sorunsuz bir şekilde entegre edebilir. Mevcut veri gölünden yararlanmak, makine öğrenimi veya bağlamsallaştırılmış uyarı araştırması yoluyla otomatik tehdit tespiti için veriler tam olarak kullanılmadan önce optimize edilmiş veri alımının, normalleştirme ve zenginleştirme gibi veri ön işlemenin önemini vurgulamaktadır.
Bu yapılandırılmış yaklaşımın geleneksel yöntemlere göre beş belirgin avantaj sunmasının nedeni budur:
1. Optimize Edilmiş Kayıt ve Anahtar Teslimi Entegrasyon
Stellar Cyber’ın ayrıştırılmış dağıtımı, optimize edilmiş veri toplama ve filtrelemeyle başlar. Bu, yalnızca güvenlikle ilgili ve yüksek kaliteli verilerin sisteme girmesini sağlayarak gürültüyü azaltır ve sinyal-gürültü oranını artırır. Anında sağlanan faydalar şunları içerir:
- Geliştirilmiş Performans: İlgili olmayan verileri sürecin erken safhalarında filtreleyerek sistem daha verimli çalışabilir ve sonraki süreçler üzerindeki yükü azaltabilir.
- Gelişmiş Veri Kalitesi: Yalnızca temiz, ilgili verilerin alınmasını sağlamak, hatalı pozitif sonuç olasılığını azaltır ve analizlerin doğruluğunu artırır.
2. Normalleştirme ve Zenginleştirme
Veriler toplandıktan sonra Stellar Cyber platformu, tehdit istihbaratı, coğrafi konum, kullanıcı bilgileri ve güvenlik açığı ayrıntıları gibi değerli bağlamları ekleyerek verileri normalleştirir ve zenginleştirir. Bu adım birkaç nedenden dolayı önemlidir:
- Bağlamsallaştırılmış Veriler: Zenginleştirilmiş veriler, güvenlik olayları için daha zengin bir bağlam sağlayarak potansiyel tehditlerin ilişkilendirilmesini ve analiz edilmesini kolaylaştırır.
- Kolaylaştırılmış Analiz: Normalleştirilmiş veriler tutarlı ve doğru sorgulamaya olanak tanıyarak güvenlik analistlerinin daha etkili soruşturmalar gerçekleştirmesine olanak tanır. Aynı makine öğrenimi algoritmalarının farklı orijinal formatlara sahip birçok veri kaynağına uygulanmasına da olanak tanır.
3. Tespit ve Analiz
Stellar Cyber’in yaklaşımı, tespit ve analiz araçları için temiz, zenginleştirilmiş verilerin kullanımını en üst düzeye çıkarır. Bu şunları sunar:
- Kullanıma Hazır Analitik: Makine öğrenimi tarafından desteklenen kullanıma hazır analiz araçları, yapılandırılmış verileri hızlı bir şekilde alıp analiz edebilir, böylece hızlı tehdit algılama ve yanıt verme olanağı sağlanır.
- Azaltılmış Karmaşıklık: Standartlaştırılmış bir veri formatına sahip olunması sayesinde, veri gölü ile analitik araçlar arasındaki entegrasyon basit hale gelir ve özel entegrasyonlara ve geçici çözümlere olan ihtiyaç azalır.
4. Esnek Veri Yönetimi
Stellar Cyber’ın esnek veri yönetimi yaklaşımı, kuruluşların üçüncü taraf bir veri gölüne yalnızca uyarıları mı yoksa tüm normalleştirilmiş ve zenginleştirilmiş olayları mı göndereceğine karar vermesine olanak tanır. Bu esneklik, özellikle Splunk gibi yüksek maliyetli olan üçüncü taraf veri göllerinin tüketimini optimize etmek için gereklidir. Temel faydalar şunları içerir:
- Maliyet Verimliliği: Kuruluşlar, yalnızca yüksek kaliteli ve yararlı verileri seçerek depolayarak gereksiz veri depolama maliyetlerini önemli ölçüde azaltabilir. Bu depolama yatırımlarının optimize edilmesi, büyük miktarda alakasız verinin saklanmasından kaynaklanan harcamaları önler.
- Gelişmiş Veri Kalitesi: Yalnızca normalleştirilmiş ve zenginleştirilmiş verilerin depolanması, veri gölünün yüksek bütünlüğe sahip, değerli bilgiler içermesini sağlar. Bu, sorgulama ve veri alma verimliliğini artırır, anlamlı içgörüler elde etmeyi kolaylaştırır ve genel veri analitiği yeteneklerini geliştirir.
5. Gelişmiş Özel Uygulamalar
Veri gölündeki yapılandırılmış ve zenginleştirilmiş veriler, güvenlik verilerine erişim gerektirebilecek özel uygulamalara da fayda sağlar. Temel avantajlar şunları içerir:
- Optimize Edilmiş Tehdit Avcılığı: Bağlamla birlikte yüksek kaliteli, standartlaştırılmış veriler, ilgili bilgilerin sorgulanması ve alınması sürecini basitleştirir.
- Daha İyi Raporlama: Raporlama gibi özel uygulamaların temiz, zenginleştirilmiş veriler almasını sağlamak, performanslarını ve doğruluğunu artırarak genel güvenlik sonuçlarının daha iyi olmasını sağlar.
Geleneksel Yöntemlerle İlgili Zorluklar
Bu evrime bakmanın diğer yolu, onu geleneksel hibrit SIEM dağıtımlarıyla karşılaştırmaktır. Bu yöntemler genellikle önemli zorlukları beraberinde getirir:
- Geçici Entegrasyon: Ham verileri tespit ve analiz araçlarıyla entegre etmek genellikle özel, geçici çözümler gerektirir, karmaşıklığı artırır ve operasyonel ek yükü artırır.
- Özel Tespitler: Normalleştirilmiş ve zenginleştirilmiş veriler olmadan, makine öğrenimi aracılığıyla etkili tespit kuralları ve analitikler oluşturmak daha zorlu hale gelir ve özel, özel çözümler gerektirir.
- Ham Veri Sorunları: Ham veri göllerinin tespit araçlarıyla doğrudan entegre edilmesi, veriler gerekli bağlam ve normalizasyondan yoksun olduğundan verimsizliklere ve yanlışlıklara yol açabilir.
Verileri tüketimden ve depolamadan önce işlemek ve analiz etmek için BYODL’nin kullanılması performans, doğruluk ve operasyonel verimlilik açısından açık avantajlar sunar. Bu yaklaşım, bir kuruluşun güvenlik duruşunu önemli ölçüde geliştirebilir ve birleştirilmiş veri depolama ile SIEM operasyonlarını düzene sokabilir; verilerin depolanmadan önce ve/veya makine öğrenimi aracılığıyla algılama ve analiz sonrasında temiz, normalleştirilmiş ve zenginleştirilmiş olmasını sağlar. Bu yöntem aynı zamanda karmaşıklığı ve maliyeti azaltır ve güvenlik verilerinden elde edilen değeri en üst düzeye çıkararak etkili tehdit tespiti ve yanıtı için sağlam bir temel sağlar.
Böyle yapılandırılmış bir yaklaşımı benimsemek, güvenlik operasyonlarını optimize etmek ve veri göllerinin tüm potansiyelinden yararlanmak isteyen kuruluşlar için oyunun kurallarını değiştirebilir.
– Christophe Briguet, Stellar Cyber’de AI/ML ürün yönetimi başkanıdır.
Stellar Cyber Hakkında
Stellar Cyber’ın Open XDR Platformu, karmaşıklık olmadan kapsamlı, birleştirilmiş güvenlik sunarak her beceri seviyesindeki yalın güvenlik ekiplerine ortamlarını başarılı bir şekilde güvence altına almalarını sağlar. Stellar Cyber ile kuruluşlar, tehditleri erken ve kesin bir şekilde tespit edip düzelterek riski azaltırken maliyetleri düşürür, mevcut araçlara yapılan yatırımları korur ve analist üretkenliğini artırır, MTTD’de 8 kat ve MTTR’de 20 kat iyileşme sağlar. Şirketin merkezi Silikon Vadisi’nde bulunuyor. Daha fazla bilgi için https://stellarcyber.ai adresini ziyaret edin.