Elastic 利用 Tines 实现 SIEM 调查自动化
Elastic 的信息安全团队最近详细介绍了他们使用 Tines 实现的工作流程自动化,旨在提高他们识别和应对网络安全威胁的能力。该系统会自动对来自其安全信息和事件管理 (SIEM) 系统的警报进行分类,从而增强了识别和优先处理真实威胁的能力。 亚伦·杰维特Elastic 首席信息安全分析师 II 详细阐述了实施 在博客文章中. 通过这种简化的工作流程,该团队在一个月内调查并解决了超过 50,000 条警报,每条警报在触发后几秒钟内即可得到处理。这种方法使团队能够专注于调查复杂的威胁,从而改善整体安全态势。 此前,Elastic InfoSec 团队创建了规则包,用于检测 用户和实体行为分析(UEBA). 用户和实体行为分析(UEBA)分析来自用户和设备的活动数据,以建立正常行为标准。 安全团队意识到,如果 UEBA 警报来自受信任的设备,则可能会被忽略。他们的调查通常涉及根据 Elasticsearch 数据库检查警报的详细信息。如果发现匹配的活动,则警报可能是误报。 处理大量误报会导致分析师疲劳并错过威胁。因此,该团队考虑自动进行初始警报调查,排除误报并升级真正的威胁。 目前,Elastic 的系统将安全警报传输到 SOAR(安全编排、自动化和响应) 系统。然后,该 SOAR 系统使用查询自动对每个警报进行调查。根据结果,它会解决警报或将其上报给安全分析师进行进一步审查。 Jewitt 进一步解释了 叉齿 构建自动化分类工作流程。Elastic 的安全团队利用 Elastic Security 中的 Alert Actions 将警报数据传输到他们的 SOAR 解决方案。这是通过内置的 Tines 连接器或 webhook 实现的,该连接器或 webhook 以 ndjson 格式单独或批量发送警报。 自动分类标签(例如 Triage:All、Triage:Asset、Triage: Workstation)用于将规则路由到适当的分类路径。使用 […]
SIEM 工具如何适应医疗保健组织的安全策略
对于考夫曼来说, 托管服务提供第一道防线。 该供应商可以提供全天候监控,并且能够解决威胁,而无需在半夜叫醒 Amedisys 安全人员。 除了立即响应安全事件外, 与托管服务提供商的关系 考夫曼说,可以让组织在招聘方面占据优势。 “你不仅仅是为安全运营中心引进人员,”他说。 “你可以投资于更高级别的员工。 您可以聘请高级工程师。 您可以聘请具有制定企业范围安全策略的专业知识。” SIEM 如何帮助发现网络攻击? 美国国税局的指导 建议评估 SIEM 系统的组织应寻求自动化数据分析、近乎实时的警报、可操作的信息以及几乎不需要培训的快速启动时间。 格雷戈里说,鉴于网络攻击日益复杂,这些功能非常重要。 过去,通过相对容易检测的暴力攻击需要几个月的时间才能获得访问权限,而如今的攻击者可以在几秒钟内破解身份。 “他们正在收集情报,并闯入正确的帐户以获得适当的特权,”他补充道。 Forrester 首席分析师 Allie Mellen 表示,这些攻击通常跨越多种资源。 例如,攻击者可能会瞄准基于云的应用程序,访问员工 ID,访问与该 ID 关联的端点,然后通过网络横向移动。 探索: 渗透测试人员分享了医疗保健安全改进的地方。 “这涉及很多控制措施。 你需要一个整体的图片,而不是关于个人活动的警报,”梅伦说。 为此,组织还可以从用户行为分析中受益,该分析可以构建与网络交互的员工或设备的配置文件,以发现可能表明攻击的异常行为。 为了获得这种洞察力,SIEM 系统需要与安全工具紧密集成。 Abraham 说,毕竟,SIEM 平台只能发送与其接收到的数据相关的警报。 如果这些连接不存在,SIEM 提供商可能会根据请求添加它们,或者安全团队可能会自行创建它们。 1708673595 #SIEM #工具如何适应医疗保健组织的安全策略 2024-02-22 17:57:38
“虚拟瞭望塔”:深入研究 SIEM 工具的世界
贾森·亚历山大,弗吉尼亚联邦大学健康部副总裁兼首席信息安全官 再次大家好,我那些疲惫不堪的数字守护者和网络愤世嫉俗的鉴赏家们! 我在这里,你的脾气暴躁的 CISO,准备好揭开我们正在进行的传奇的新篇章。 今天,我们正在涉足 SIEM(安全信息和事件管理)工具领域。 这些是我们网络安全王国中警惕的瞭望塔,虽然它们偶尔会增加我的白发收藏,但我必须承认它们赢得了勉强的尊重。 想象一下我们庞大的网络帝国:一座由高耸的数据堡垒、蜿蜒的信息流和茂密的网络路径组成的迷宫。 在这个复杂的环境中,我们坚定的数字哨兵——从防火墙到端点保护——在他们的岗位上保持警惕。 然而,正如任何经历过数字冲突的老手都会告诉你的那样,拥有勇敢的战士只是战略难题的一部分。 我们国防的真正力量在于这些力量的团结和协调。 这就是我们的 SIEM 工具占据中心舞台的地方,从高处的有利位置像灯塔一样闪闪发光,提供网络战场的鸟瞰图。 这些 SIEM 工具不仅是被动的观察者,而且是被动的观察者。 他们是我们数字领域的最高战略大师。 他们不知疲倦地从各个角落收集情报:服务器日志、防火墙警报、端点保护报告等等。 想象一下一位古代圣人,仔细研究无穷无尽的信息卷轴,从单纯的数字聊天中辨别出有价值的见解,发现可能会被普通人忽视的模式和异常现象。 “镇上的喊叫者” 不过,他们的职责不仅仅是监视。 这些工具是我们的城市宣传员,大胆地宣告数字威胁的到来,在危险出现时集结我们的防御力量。 在我们复杂的数字生态系统的日常喧嚣中,每种工具都唱着自己的曲调,SIEM 巧妙地指挥这个管弦乐队进入和谐的叙述,从而能够对新出现的危险做出快速、精确的反应。 在这里,我们将深入了解使用 SIEM 工具的日常现实:胜利、挫折,是的,将计算机扔出窗外的那些时刻似乎是一个合理的选择。 因此,拿起你的杯子(上面自豪地印有世界上最脾气暴躁的 CISO 的杯子),让我们深入研究 SIEM 工具的世界,在这里,健康的怀疑态度与网络安全的前线相遇。 内部运作 让我们首先了解 SIEM 工具的内部工作原理。 这有点像解开一个巨大的、缠结的电线球。 这是一项复杂且常常令人抓狂的任务,但是非常重要。 将您的网络想象成一座广阔、繁华的大都市,数据像高峰时段交通中的汽车一样快速移动。 在这座数字城市中,SIEM 工具类似于超复杂的交通控制中心。 他们监视着每一个动作、每一次嘟嘟声、每一个潜伏在阴影中的可疑人物。 他们从无数来源获取数据,就像从交通摄像头网络、勤奋的警察巡逻和警惕的公民提示中接收报告一样。 这种数据洪流包括从防火墙生成的日志到入侵检测系统的信号,甚至网络流量和用户活动的日常潮起潮落的一切内容。 在 SIEM 工具的复杂世界中,关联过程正是神奇发生的地方。 这就像一位目光敏锐的侦探将来自城市各地的不同线索拼凑在一起,形成一个连贯的叙述。 这位侦探筛选来自不同来源的事件——这里是防火墙日志,那里是防病毒警报——对它们进行统一分析,以发现可能引发“安全威胁”的模式或异常情况。 这是一个复杂的难题,每条数据都经过仔细检查、比较,并与已知的恶意活动模式进行匹配。 当这些部件就位时,就会触发警报; 这是一个危险信号,可以很好地阻止网络犯罪分子的狡猾计划。 这种关联技巧将 SIEM […]