Siems, olayları ilişkilendirme ve ateşleme uyarılarında mükemmeldir, ancak yutma boru hatları ölçeklendirildiğinde bunalabilir. Ve çoğu SIEMS, daha düşük maliyetli arşiv katmanları ile bile genel amaçlı günlük depolama platformlarına güvendiğinden, tam sadakatte uzun süreli tutma pahalıdır ve ekipleri görünürlük ve bütçe arasında seçim yapmaya zorlar.
Yapay zeka, tehdit manzarasını daha karmaşık hale getirirken ve şirketlerin olayları hızlı bir şekilde bildirmelerini gerektiren görevler veren yetkilerle, savunucular olayları daha hızlı tespit etmelerine ve yorumlamalarına yardımcı olan araçlara ihtiyaç duyarlar. Bunu yapmanın anahtarı evrensel bir dil konuşmaktır: zaman. Zaman sadece verilerin bir boyutu değildir. Ham telemetriyi hem insanların hem de makine öğrenme modellerinin akıl yürütebileceği bir anlatıya dönüştüren güvenlik operasyonlarının organizasyon ilkesidir.
Statükonun sorunu nedir?
Siems, olayların sistemler arasında ilişkilendirilebilmesi için yutuldukları gibi günlükleri ayrıştırmalı, normalleştirmeli ve zenginleştirmelidir. Ancak, bu gecikme ekler ve hesaplama ek yükünü artırır. Veriler indikten sonra, genellikle hızlı arama için oluşturulan günlük platformlarında oturur… ucuz, yıllar süren depolama için değil. Bu yüzden ekiplerin tutabilmeleri istedikleri verileri arşivlemeleri veya düşürmeleri çok yaygındır.
Bu büyük bir sorun. Güvenlik olayları saniyeler, haftalar veya aylar ve neler olduğu ve ne zaman kesin ve iyi korunması gerektiğiyle ilgili ayrıntılar (hem saldırı tespiti hem de uyumluluk için) ile ortaya çıkabilir. Güvenlik verilerinin zaman damgalı noktalar olarak depolanması, bütçeyi yakmadan yıllarca kronolojik olarak organize etmeyi, sorguyu ve depolamayı kolaylaştırır. Bu bağlam olmadan, en sofistike analitik veya AI modelleri bile neden ve sonuçta tahmin bırakılır.
Siems ölmedi. SaaS günlükleri işe yaramaz. Ancak her ikisi de zaman serisi verileri ile eşleştirilmesinden faydalanabilir. İşte nasıl:
1. Anomalileri daha hızlı tespit edin
Çoğu güvenlik etkinliği küçük başlar. Belirli bir sistemde birkaç olağandışı giriş, trafik artışı veya anormal aktiviteler fark edersiniz. Ham kütük boru hatlarının veriler analize hazır olmadan önce ayrıştırma veya zenginleştirme gecikmeleri eklediğinde, zaman serileri tutarlı bir şekilde yapılandırılmış ve hemen sorgulamaya hazır gelir.
Bu, davranışsal taban çizgileri oluşturmayı ve hatta anormallikleri hızlı bir şekilde tespit etmek için yuvarlama ortalamaları ve standart sapmalar gibi istatistiksel modelleri uygulamayı kolaylaştırır. Yüksek hassasiyetli zaman damgaları, savunucuların kaba kuvvet, yanal hareket veya pesfiltrasyon girişimlerini tespit etmek için kritik olan oran değişikliklerini gözlemlemelerini sağlar. Bu taban çizgilerini makine öğrenimi tespiti ile eşleştirin ve reaktif uyarıdan tahmini savunmaya geçersiniz.
Ekibim zaman serisi güvenlik izleme sistemlerinin değerini ilk elden gördü. Bir mühendisin boru hattımıza ücretsiz bir üçüncü taraf aracı entegre ettikten sonra 2021’de bir güvenlik olayıyla karşılaştık. Bu araç daha sonra ihlal edildi ve bilgilendirilmemiz dört ay sürdü. SaaS sağlayıcılarımızdan bizi anormal davranışa karşı uyaramayantan bıktık ve bu hayal kırıklığı, kapsamlı bir araştırma yapmak için ihtiyacımız olan günlüklere erişmeye çalışırken ödeme duvarlarına çarptığımızda büyüdü. Böylece meseleleri kendi ellerimize aldık.
Zaman serisi verileri tarafından desteklenen bir dahili güvenlik izleme aracı oluşturduk ve SaaS denetim günlüğü olaylarını yapılandırılmış zaman serisi verilerine toplama ve dönüştürme gücünü gördük. Örneğin, erişim belirteci kullanılan kullanıcının normal çalışma saatlerine uymayan saatlerde bazı dahili IP’mizin anormal bir indirimini fark ettik.
Başka bir vesileyle, kısa bir zaman penceresinde coğrafi olarak ayrılmış konumlardan birkaç farklı SaaS çözümüne bağlanmak için bir çalışanın hesabının kullanıldığı bir “imkansız giriş” senaryosu keşfettik. Olayları bir sıralı zaman serisi olay akışına toplayarak, bu bağlantılar tek başına görülürse imkansız olacak görünürlük kazandık. Her iki vakada soruşturma, çözülen konuları ortaya çıkarmıştır.
Doğru veriler, doğru yapı ve doğru motorla, zaman serisi telemetri güçlü bir güvenlik izleme sisteminin temelini oluşturur.
2. Uzun vadeli tehdit avını destekleyin
SIEM’ler uzun zaman dilimlerinde olayları ilişkilendirebilir, ancak bunu yapmak için gereken verilerin korunması çoğu SaaS günlük platformunda hala pahalıdır. Zaman serisi veritabanları, sadakatini veya kırılma bütçelerini azaltmadan aylar veya yıllar boyunca verileri depolamak için sıkıştırma ve verimli dizin kullanır. Bu, güvenlik ekiplerinin aksi takdirde tutma penceresinden düşecek bu sinir bozucu “düşük ve yavaş” saldırıları araştırmasına izin verir. Ayrıca doğal olarak bir zaman makinesi kapasitesini sağlar, burada yeni bir algılama kuralı ekledikten sonra aylar hatta yıllar içinde geriye gidebilir ve olayları tekrarlayabiliriz.
Öyleyse avlayın. Haftada bir kez saat 4’te ortaya çıkan bir IP adresini bulun. Sadece Salı günü Patch’ten sonra 90 saniyede bir işaretlemeye başlayan bir sistemi tespit edin. Aksi takdirde fark edilmeyecek çoklu farklı SaaS çözümlerinde olağandışı erişimi veya faaliyetleri tanımlayın ve ilişkilendirin. Günlüklerin zaten kızartılıp temizlenmediğini asla göremeyeceğiniz hikaye bu.
3. Yanıtları gerçek zamanlı olarak otomatikleştirin
Tespit savaşın sadece yarısıdır. Zaman serisi sistemleri, yeni veri noktaları geldikçe uyarıların ve tetikleyicilerin gerçek zamanlı olarak ateşlenmesine izin vererek düşük gecikme yutulmasını ele alır. Bir cihazın karantinaya alınması gerektiğinde, yanal hareketi önlemek için bir adli tıp iş akışına dönüştüğü, erişim belirteçleri iptal edilir veya bir saldırganın davranışı bunu gerçek zamanlı olarak yapabilir.
Çoğu SaaS günlük platformu, tamamen sorgulanmadan önce parti ve dizin olaylarını, SIEM güdümlü yanıtlar yapılandırma ve veri hacmine bağlı olarak dakikalar kadar gecikebilir. Zaman Serisi Sistemleri veri noktalarını gerçek zamanlı olarak işleyerek bu gecikmeyi azaltır.
4. Raporlama ve program gerekçesini basitleştirin
CISOS, güvenli bütçelere yanıt vermek ve program performansını göstermek için ortalama zaman ve ortalama zaman gibi metriklere ihtiyaç duyar. Günlükler adli arama için mükemmeldir ve Siems korelasyonda mükemmeldir, ancak ikisi de zaman içinde sürekli KPI izleme ve trend analizi için tasarlanmıştır. Zaman serisi veritabanları parlıyor.
Güvenlik liderlerinin iyileştirme ve veri odaklı kararlar almalarına izin vererek performans verilerini toplar ve görselleştirirler.
SIEM’ler vazgeçilmez kalır ve günlükler soruşturmalar ve uyumluluk için temeldir. Sürekli olarak yutulan ve analiz edilen yüksek hassasiyetli zaman serileri, daha hızlı algılama, daha uzun tutma ve gerçek zamanlı yanıt sağlar. Hepsi tek başına kütüklere güvenmenin maliyeti ve performans ödünleşmeleri olmadan.
Zaman serisi veritabanları SIEM’lerin yerini almaz, ancak büyük bir kanatçı olabilir. Olayları geri sarmayı ve tekrar oynatmayı, aksi takdirde kütüklerde kaybolabilecek doğru davranışsal taban çizgileri ve spot hikayeleri oluşturmayı mümkün kılarlar. Bu zamanında ileri geri seyahat etme ve işletme genelindeki varlıkların nasıl davrandığını görme yeteneği olmadan, güvenlik operasyonları reaktif kalacaktır.