增强你的SIEM网络安全在云的规模
2021年7月23日 在bob体育客户端下载平台的博客
在过去的十年里,安全事故和事件管理(siem)工具已经成为一个标准在企业安全操作。siem总是有他们的批评者。但云足迹的爆炸导致这个问题,siem正确的策略在云级别的世界?安全领导人汇丰不这么认为。在最近一次讲话中,授权Splunk和其他与砖Lakehouse siem网络安全,汇丰强调的局限性遗留siem和砖Lakehouse平台是如何改变网络防御。bob体育客户端下载以3万亿美元的资产,汇丰的权证一些探索。
在这篇文章中,我们将讨论改变景观和网络攻击的威胁,SIEM的好处,砖的优点Lakehouse为什么SIEM + Lakehouse成为新的战略安全运营团队。当然,我们将谈论我最喜欢的SIEM !但我警告你,这不是一篇关于批评“遗留技术构建一个on-prem世界。“这篇文章是关于如何安全操作团队可以武装自己最好的捍卫自己的企业对先进的持续威胁。
企业科技的足迹
有些人称之为云等人称之为cloud-smart。不管怎样,人们普遍认为每个组织参与某种形式的云转换或评价——甚至在公共部门,新员工培训技术不是一个光的决定。结果,主要我们云服务提供商排名在前5名之内市值最大公司在世界上。随着科技的足迹迁移到云上,网络安全团队的要求也是如此。检测、调查和狩猎行为都受到威胁新足迹的复杂性,以及大量的数据。根据IBM,平均需要280天来检测和包含一个安全漏洞。根据汇丰银行的数据+人工智能峰会上的讲话280天就意味着在一个字节的数据,只是网络和EDR(端点威胁检测和响应)的数据源。
当一个组织需要这么多的数据检测和响应,他们要做什么?许多企业想保持云中的数据云。但是从一个云来另一个呢?我跟一位大型金融服务机构本周说,“我们支付了100万美元的出口成本我们的云提供商。“为什么?因为他们目前SIEM工具是在一个云服务和他们最大的生产商在另一个数据。他们SIEM不是多重云。多年来,他们已经建立了复杂的运输管道让数据从一个云提供商。从技术这类并发症已经扭曲他们的期望。例如,他们认为5分钟延迟实时数据。我现在在这里作为一个现代企业所面对的现实——我相信我与集团并不是唯一一个并发症。
安全分析云计算的世界
云的地形是改变每一个安全操作团队的邮件。10年前所谓的大数据是微不足道的数据以今天的云计算标准。与今天的网络流量的规模,g现在pb,过去需要几个月来生成现在发生在时间。栈是新的和安全团队不得不学习他们。一般性的任务,比如,“我们见过这些IPs”正在变成小时或在SIEM是否搜索和日志记录工具。更为复杂的语境化的任务,如用户名添加到网络事件,附近正在变成不可能的折磨。如果人想做流媒体充实每天的外部威胁情报tb的数据——祝你好运,希望你有一个小的军队和深口袋里。,我们甚至还没异常检测或威胁狩猎用例。这决不是在SEIMs注射。在现实中,地形变化和时间去适应。安全团队需要最好的工具。
云中的安全团队需要什么能力?首先,一个开放的平台,可以与它集成和安全工具链和不需要你bob体育客户端下载提供专有数据存储你的数据。另一个关键因素是一个多重云平台,所以它可以运行在您选择的云(复数)。bob体育客户端下载另外,一个可伸缩的和高性能分析平台,计算和存储是解耦的,可以支持端到端流和批处理。bob体育客户端下载最后,一个统一的平台,让数据科学家、工程师、数bob体育客户端下载据SOC分析师和业务分析师,所有数据的人。这些功能的砖Lakehouse平台。bob体育客户端下载
砖的SaaS和伸缩功能简化这些复杂功能的使用。砖安全的客户在pb级的数据处理子十分钟。一个客户可以收集从15 +百万端点和分析指标在一个小时内的威胁。全球石油和天然气生产商,关于ransomware偏执,运行多个分析群体塑造每一个powershell执行他们的环境——分析师只看到高信心警报。
Lakehouse + SIEM:云级别的安全操作的模式
网络安全科学和分析主管乔治·韦伯斯特,汇丰银行(HSBC)描述了Lakehouse + SIEM安全操作的模式。它利用两个组件的优势:lakehouse multicloud-native存储和分析架构,和SIEM安全操作工作流。砖的客户,有两个这种集成的模式。但是他们都是支撑韦伯斯特所说,网络安全数据与Lakehouse湖。
第一个模式:lakehouse最大停留时间存储的所有数据。发送数据的一个子集的SIEM和存储时间的一小部分。这种模式的优点是分析师可以使用SIEM查询近期数据虽然有能力做砖的历史分析和更复杂的分析。和管理任何许可或SIEM部署的存储成本。
第二个模式是把体积数据源数据砖最高,(例如云本地日志,端点威胁检测和响应日志,DNS数据和网络事件)。相对较低体积数据源SIEM,(如提醒、邮件日志和漏洞扫描数据)。这种模式使一级SIEM分析师快速处理高优先级警报。威胁狩猎团队和砖的调查人员可以利用先进的分析功能。这种模式的成本效益卸载处理,SIEM的摄取和储存。
整合与Splunk Lakehouse
一个工作示例看起来像什么?由于客户需求,砖中小企业网络安全团队创建了砖Splunk插件。插件允许安全分析运行数据砖查询和笔记本回Splunk Splunk和接收结果。查询Splunk同伴砖笔记本使砖,让Splunk结果和转发事件和结果Splunk砖。
通过这两个功能,分析师Splunk搜索栏可以与砖不离开Splunk UI交互。和Splunk搜索建筑商或指示板可以包括砖作为搜索的一部分。但最令人兴奋的是,安全团队可以创建双向分析自动化管道Splunk和砖之间。例如,如果有一个警报,Splunk Splunk可以自动搜索数据砖相关事件,然后将结果添加到一个警报指数或仪表板或随后的搜索。或者相反,砖笔记本的代码块可以查询Splunk并使用结果作为输入后续代码块。
参考架构,组织可以维持目前的流程和过程,而现代化的基础设施,成为满足多重云本机的网络安全风险扩大数字足迹。
实现规模、速度、安全性和协作
与砖合作以来,汇丰银行降低了成本,加速威胁检测和响应,提高了安全性。金融机构不仅可以处理所有必需的数据,但他们增加在线查询保留在PB从几天到几个月。攻击者的速度之间的差距和汇丰的能力来检测恶意活动和关闭进行调查。通过执行高级分析对手的节奏和速度,汇丰银行(HSBC)更接近他们的目标移动速度比糟糕的演员。
由于数据保留能力,汇丰威胁捕猎的范围大大扩展。汇丰银行现在可以执行好几次狩猎/分析师更多威胁,没有硬件的限制。通过砖笔记本,狩猎是可重用的和自我记录,保存历史数据为未来的狩猎完好无损。这些信息,以及调查和威胁狩猎生命周期,现在可以共享汇丰团队之间的迭代检测和自动化的威胁。以效率、速度和机器学习/人工智能创新目前,汇丰能够简化成本,重新分配资源,更好地保护他们的关键业务数据。
接下来是什么
看授权Splunk和其他与砖Lakehouse siem网络安全听到直接从汇丰银行和砖关于他们是如何解决他们的网络安全的需求。
BOB低频彩Splunk的砖附加。
引用
市场限制:https://www.visualcapitalist.com/the-biggest-companies-in-the-world-in-2021/
违反生命周期:https://www.ibm.com/security/digital-assets/cost-data-breach-report/ /