Gil Shua için, Tel Aviv Menkul Kıymetler Borsası için güvenlik bilgileri olay yönetimi (SIEM) sisteminden en iyi şekilde yararlanmak, sinyal-gürültü oranını doğru bir şekilde elde etmekten geçiyor. Bu ve doğru kuralları yazmak.
Sinyal-gürültü oranı, her radyofrekans mühendisinin bildiği gibi, gerçek içeriğin (sinyal) statik ve diğer sonik bozulmaya (gürültü) miktarlarına indirgenir. Shua için amaç, işlem yapılabilir içerik lehine SIEM’e gönderilen gürültü miktarını en aza indirmektir. “Bir sorunumuz var; şimdi ele almak ve düzeltmek istediğimiz bir şey var” bilinciyle masasından kalkmasına neden olacak bir şey arıyor.
Shua, on yılı aşkın bir süredir Tel Aviv Menkul Kıymetler Borsası’nda (TASE) çeşitli güvenlik pozisyonlarında çalıştı ve 2022’de CISO olarak atandı. gürültü oranı, borsanın SIEM’inin yeteneklerini ve faydalarını en üst düzeye çıkarmak için sinyal verileri lehine çarpıktır.
Gürültüyü Filtreleme
Çoğu SIEM’de “çok fazla gürültü ve çok fazla sinyal görmediğiniz” için Shua ve ekibinin işi onlar için biçilmiş kaftan. Bu, yanlış pozitiflere ve yanlış yapılandırmalara yol açar, bu da SOC ekibi için fazladan iş yaratır, üretkenliği azaltır ve bir SIEM’i çalıştırmaya çalışmak için bir engeldir.
Bunu en aza indirmek için Shua, SOC ekibinin SIEM’in gelen verileri nasıl ele aldığına ilişkin kurallar yazabileceğini, ancak bu kuralların oluşturulmasının da SOC ekibinin değerli zamanını aldığını söylüyor.
Ancak Shua, SIEM çözümünün önceden tanımlanmış günlük ayrıştırma ve raporlama uygulaması için kuralları varsa, SIEM korelasyon kurallarını yazmanın nispeten kolay olduğunu söylüyor. Ancak kurallar yazılmadan önce SOC ekibi şunları yapmalıdır:
- Veri yapısını anlayın ve kural için gereken ilgili alanları belirleyin.
- Raporlama sistemlerinin mantığını anlayın, çünkü kendi günlük standartlarına sahip olabilirler.
- Tam bir kural korelasyonu oluşturun ve istisnaları analiz edin.
- Kalite güvencesi ve testi gerçekleştirin.
Shua, bu eylem öğelerinin her birinin birkaç saat sürebileceğini, ancak daha karmaşıksa tamamlanmasının günler sürebileceğini ekliyor.
“SIEM kurduğunuzda iki endişeniz olur. Birincisi, ‘Beni ilgili saldırılara karşı koruyan kurallarım var mı? Etkili kurallarla korunuyor muyum?’ İkincisi ise ‘Bu kuralları tetikleyecek bilgileri raporlama sistemlerinden alıyor muyum?’.
CardinalOps platformunun yakın zamanda eklenmesi, TASE’deki Splunk Enterprise’ı geliştirdi; Shua, bu özel teknolojinin kullanımda olduğu birkaç ay içinde 85 kural üretilerek, kural yazma sürecinin büyük ölçüde azaltıldığını söylüyor. “Ekip, kuralları uygulamaya ve onları test etmeye daha fazla odaklanıyor ve bu, bağlantıdaki en çok zaman alan süreçti,” diye ekliyor.
Öyleyse SIEM’ler, korelasyon ve kural yazmaya harcanan zaman ve paraya değer mi? Shua, sürekli güncellemeler ve değişikliklere ihtiyaç olduğu için SIEM’i sürdürmenin zorlu bir görev olduğunu kabul ediyor. Tüm çabalara rağmen, bazı saldırılar görünürlük eksikliği veya eşleştirme kuralları nedeniyle fark edilmeyebilir.
Shua, “Gelecekteki çözümlerin otonom kural oluşturma ve yanıtlama için otomatikleştirme yeteneklerini benimsemesini bekliyorum” diyor Shua.
SIEM’ler birçok kaynaktan veri aldığından, farklı biçimlerdeki verileri işleme, analiz etme ve depolama konusunda daha verimli hale gelmeleri gerekir. Shua, “Sürdürmek için ayarlamalar yapmanız gerekiyor” diyor ve uygun olmayan değişiklik yönetiminin bir kuruluşun bazı güvenlik olaylarını kaçıracağı anlamına geldiğini ekliyor.