Los SIEM actuales ahora pueden aplicar nuevas respuestas para su área de seguridad a las que no se podía acceder con los SIEM heredados. Sin embargo, numerosos SIEM garantizan ser «futuros», pero no tienen lo que se espera para abordar los problemas que enfrentan la mayoría de los grupos de seguridad en la actualidad. Qué aspectos destacados se requieren para haber sido un SIEM de vanguardia.
Sin embargo, la era principal de los SIEM requería una investigación de datos maestra y un grupo talentoso listo para filtrar el creciente tobogán torrencial de puntos alentadores engañosos para encontrar los verdaderos peligros de seguridad.
SIEM (Security Information and Event Management) es una solución que ayuda con la detección de amenazas y la respuesta a incidentes de seguridad mediante la recopilación y el análisis de eventos de seguridad en tiempo real a partir de una variedad de fuentes de datos contextuales y de eventos.
Desafíos iniciales de SIEM:
- Dado que los conjuntos de datos eran inflexibles, ciertos SIEM no pudieron procesar los datos esenciales, lo que limitó su eficiencia.
- Eran complicados de mantener y operar, lo que aumentaba la complejidad y agotaba los recursos de personal.
- Los SIEM generaron una gran cantidad de falsos positivos, lo que aumentó la carga de trabajo de los equipos de seguridad.
- Los SIEM lucharon por mantenerse al día con las amenazas emergentes a medida que la tecnología mejoraba y, como resultado, aumentó el riesgo cibernético para las empresas.
SIEM con capacidades de última generación:
1-Detección avanzada de amenazas: y priorización de incidentes:
La cantidad de información que los SOC necesitan examinar es vacilante. Es típico que las organizaciones enormes creen innumerables secciones de registro de manera consistente.
Los SIEM modernos están destinados a disminuir la proporción de señal a clamor para que pueda recuperar el control del área. La capacidad de deshacerse de las ventajas engañosas y destacar solo en ocasiones con prácticas extrañas es fundamental para una seguridad sólida, un desempeño eficiente del personal y mantener bajos los costos.
La detección de anomalías ayuda a descubrir actividades, comportamientos y patrones inusuales o sospechosos que podrían representar una amenaza para las empresas. A diferencia de los SIEM tradicionales, los SIEM de próxima generación cuentan con capacidades de detección de amenazas que permiten a las empresas identificar y anticipar amenazas e intentos de ataque.
El motor de aprendizaje automático basado en anomalías evalúa el entorno y genera reglas y líneas base específicas. Este mecanismo de aprendizaje permite que el sistema aprenda de su entorno y desarrolle la capacidad de reconocer comportamientos anómalos y potencialmente peligrosos. sabemos que alrededor del 60% de las agresiones incluyen movimiento lateral. Este es el lugar donde los agresores intentan eludir la identificación u obtener mayores honores mediante la evolución de acreditaciones, ubicaciones de IP y recursos. Para seguir con éxito los desarrollos horizontales de principio a fin, su SIEM debe tener la opción de vincular eventos relacionados.
Una línea de base SIEM avanzada se realiza a través de inteligencia artificial, investigación de hechos y demostración social aludida como cliente y examen de conducta.
2-Gestión de alertas de falsos positivos:
Cuando se utiliza un SIEM heredado, los equipos de TI se ven abrumados por las muchas alertas de seguridad que son difíciles de administrar a diario. Como resultado, muchos equipos etiquetan las alertas como falsos positivos para evitar la fatiga de las alertas. Los analistas de seguridad, por otro lado, pierden las señales críticas que identifican los riesgos y las empresas se vuelven vulnerables.
Para encontrar los verdaderos peligros de seguridad, la primera generación de SIEM requería un análisis de datos sofisticado y una fuerza laboral capacitada capaz de filtrar la creciente avalancha de falsos positivos.
Los filtros que estandarizan los campos de registro y un motor de correlación de eventos impulsado por IA que depende de varias reglas de correlación se utilizan en la plataforma SIEM de próxima generación para abordar este problema. Como resultado, solo las alertas significativas desglosadas por detalles de origen y destino de IP se envían a los expertos en seguridad cibernética, lo que facilita el análisis forense y la detección de amenazas. Con un desbordamiento de información mejorada en un modelo de datos razonable, un SIEM avanzado puede introducir todas las configuraciones adecuadas en una interfaz de usuario breve y bien dispuesta.
3-SIEM NG nativo de la nube:
Un SIEM típico no puede monitorear y proteger adecuadamente contra las amenazas de seguridad modernas debido al uso creciente de infraestructuras basadas en la nube, nuevos diseños orientados a servicios y cantidades sin precedentes de tráfico de Internet y de usuarios. La entrega más rápida de inteligencia de amenazas se proporciona a través de un SIEM de próxima generación basado en la nube. También representa el tiempo requerido por el servidor para manejar grandes cantidades de datos de registro.
Todos los usuarios, aplicaciones, dispositivos, servidores y otros puntos finales pueden monitorearse y controlarse de manera efectiva y eficiente con SIEM basado en la nube. También podemos obtener registros de una variedad de lugares, incluidos Syslog, API, servicios web, etc. La plataforma Next-Gen será compatible con Azure, AWS y Google Cloud, así como con aplicaciones SaaS y PaaS como Office365 y AWS Lamda.
4-Orquestación de seguridad y respuesta de automatización (SOAR) :
El equipo de respuesta a incidentes se ocupa y gestiona las infracciones de seguridad de una empresa. El proceso de incidentes de seguridad generalmente lo manejan los proveedores de la plataforma SIEM de próxima generación a través de un plan de respuesta a incidentes personalizado según las demandas del cliente. Las empresas SIEM de próxima generación están integrando la Orquestación, Automatización y Respuesta de Seguridad (SOAR) para ayudar a habilitar las capacidades más recientes. Utilizar manuales de incidentes para clasificar la mejor respuesta a las amenazas. En resumen, SOAR tiene dos características principales: permite introducir más datos en un SIEM para su análisis y ayuda en la automatización de la respuesta a incidentes. La capacidad de controlar todos sus aparatos desde un solo lugar.
5-Capacidades comunes:
- Incorpore herramientas de visualización en tiempo real para comprender las actividades más críticas y de alto riesgo
- Para registrar escenarios bien entendidos y resaltar cambios importantes en el comportamiento, use análisis de escenarios y comportamiento
- Integre la inteligencia de amenazas de fuentes personalizadas, de código abierto y comerciales y aplíquela
- Proporcione un marco flexible que permita la creación de flujos de trabajo personalizados para casos de uso clave de la organización
6- Ingestión de datos con tarifa plana:
La mayoría de los SIEM heredados acompañan a la evaluación basada en el volumen. Cuanta más información recopile, más le costará a su asociación. Esto significa que incluso sin expandir el número de fuentes de información, sus costos probablemente se hayan expandido esencialmente en solo unos pocos años.
Por ejemplo, reemplazar sus fuentes de registro, como un firewall, con un modelo actualizado podría incrementar el registro diez veces. Con la evaluación basada en la utilización, las tarifas de su licencia SIEM aumentan naturalmente. Sin embargo, con SIEM moderno con un modelo de evaluación de tasa de nivel, puede ingerir información de todas las fuentes y mantenerse asequible para usted.
Conclusión:
A pesar de estas dificultades, los arreglos NG-SIEM transmiten adecuadamente una nueva era verdaderamente necesaria de escenarios centrales para brindar a las empresas las capacidades de detección, investigación y respuesta a amenazas.