增強你的SIEM網絡安全在雲的規模

在過去的十年裏,安全事故和事件管理(siem)工具已經成為一個標準在企業安全操作。siem總是有他們的批評者。但雲足跡的爆炸導致這個問題,siem正確的策略在雲級別的世界?安全領導人彙豐不這麼認為。在最近一次講話中,授權Splunk和其他與磚Lakehouse siem網絡安全,彙豐強調的局限性遺留siem和磚Lakehouse平台是如何改變網絡防禦。Beplay体育安卓版本以3萬億美元的資產,彙豐的權證一些探索。

在這篇文章中,我們將討論改變景觀和網絡攻擊的威脅,SIEM的好處,磚的優點Lakehouse為什麼SIEM + Lakehouse成為新的戰略安全運營團隊。當然,我們將談論我最喜歡的SIEM !但我警告你,這不是一篇關於批評“遺留技術構建一個on-prem世界。“這篇文章是關於如何安全操作團隊可以武裝自己最好的捍衛自己的企業對先進的持續威脅。

企業科技的足跡

有些人稱之為雲等人稱之為cloud-smart。不管怎樣,人們普遍認為每個組織參與某種形式的雲轉換或評價——甚至在公共部門,新員工培訓技術不是一個光的決定。結果,主要我們雲服務提供商排名在前5名之內市值最大公司在世界上。隨著科技的足跡遷移到雲上,網絡安全團隊的要求也是如此。檢測、調查和狩獵行為都受到威脅新足跡的複雜性,以及大量的數據。根據IBM,平均需要280天來檢測和包含一個安全漏洞。根據彙豐銀行的數據+人工智能峰會上的講話280天就意味著在一個字節的數據,隻是網絡和EDR(端點威脅檢測和響應)的數據源。

當一個組織需要這麼多的數據檢測和響應,他們要做什麼?許多企業想保持雲中的數據雲。但是從一個雲來另一個呢?我跟一位大型金融服務機構本周說,“我們支付了100萬美元的出口成本我們的雲提供商。“為什麼?因為他們目前SIEM工具是在一個雲服務和他們最大的生產商在另一個數據。他們SIEM不是多重雲。多年來,他們已經建立了複雜的運輸管道讓數據從一個雲提供商。從技術這類並發症已經扭曲他們的期望。例如,他們認為5分鍾延遲實時數據。我現在在這裏作為一個現代企業所麵對的現實——我相信我與集團並不是唯一一個並發症。

安全分析雲計算的世界

雲的地形是改變每一個安全操作團隊的郵件。10年前所謂的大數據是微不足道的數據以今天的雲計算標準。與今天的網絡流量的規模,g現在pb,過去需要幾個月來生成現在發生在時間。棧是新的和安全團隊不得不學習他們。一般性的任務,比如,“我們見過這些IPs”正在變成小時或在SIEM是否搜索和日誌記錄工具。更為複雜的語境化的任務,如用戶名添加到網絡事件,附近正在變成不可能的折磨。如果人想做流媒體充實每天的外部威脅情報tb的數據——祝你好運,希望你有一個小的軍隊和深口袋裏。,我們甚至還沒異常檢測或威脅狩獵用例。這決不是在SEIMs注射。在現實中,地形變化和時間去適應。安全團隊需要最好的工具。

雲中的安全團隊需要什麼能力?首先,一個開放的平台,可以與它集成和安全工具鏈和不需要你Beplay体育安卓版本提供專有數據存儲你的數據。另一個關鍵因素是一個多重雲平台,所以它可以運行在您選擇的雲(複數)。Beplay体育安卓版本另外,一個可伸縮的和高性能分析平台,計算和存儲是解耦的,可以支持端到端流和批處理。Beplay体育安卓版本最後,一個統一的平台,讓數據科學家、工程師、數Beplay体育安卓版本據SOC分析師和業務分析師,所有數據的人。這些功能的磚Lakehouse平台。Beplay体育安卓版本

磚的SaaS和伸縮功能簡化這些複雜功能的使用。磚安全的客戶在pb級的數據處理beplay体育app下载地址子十分鍾。一個客戶可以收集從15 +百萬端點和分析指標在一個小時內的威脅。全球石油和天然氣生產商,關於ransomware偏執,運行多個分析群體塑造每一個powershell執行他們的環境——分析師隻看到高信心警報。

Lakehouse + SIEM:雲級別的安全操作的模式

網絡安全科學和分析主管喬治·韋伯斯特,彙豐銀行(HSBC)描述了Lakehouse + SIEM安全操作的模式。它利用兩個組件的優勢:lakehouse multicloud-native存儲和分析架構,和SIEM安全操作工作流。磚的客戶,有兩個這種集成的模式beplay体育app下载地址。但是他們都是支撐韋伯斯特所說,網絡安全數據與Lakehouse湖。

第一個模式:lakehouse最大停留時間存儲的所有數據。發送數據的一個子集的SIEM和存儲時間的一小部分。這種模式的優點是分析師可以使用SIEM查詢近期數據雖然有能力做磚的曆史分析和更複雜的分析。和管理任何許可或SIEM部署的存儲成本。

第二個模式是把體積數據源數據磚最高,(例如雲本地日誌,端點威脅檢測和響應日誌,DNS數據和網絡事件)。相對較低體積數據源SIEM,(如提醒、郵件日誌和漏洞掃描數據)。這種模式使一級SIEM分析師快速處理高優先級警報。威脅狩獵團隊和磚的調查人員可以利用先進的分析功能。這種模式的成本效益卸載處理,SIEM的攝取和儲存。

整合與Splunk Lakehouse

一個工作示例看起來像什麼?由於客戶需求,磚中小企業網絡安全團隊創建了磚Splunk插件。插件允許安全分析運行數據磚查詢和筆記本回Splunk Splunk和接收結果。查詢Splunk同伴磚筆記本使磚,讓Splunk結果和轉發事件和結果Splunk磚。

通過這兩個功能,分析師Splunk搜索欄可以與磚不離開Splunk UI交互。和Splunk搜索建築商或指示板可以包括磚作為搜索的一部分。但最令人興奮的是,安全團隊可以創建雙向分析自動化管道Splunk和磚之間。例如,如果有一個警報,Splunk Splunk可以自動搜索數據磚相關事件,然後將結果添加到一個警報指數或儀表板或隨後的搜索。或者相反,磚筆記本的代碼塊可以查詢Splunk並使用結果作為輸入後續代碼塊。

參考架構,組織可以維持目前的流程和過程,而現代化的基礎設施,成為滿足多重雲本機的網絡安全風險擴大數字足跡。

實現規模、速度、安全性和協作

與磚合作以來,彙豐銀行降低了成本,加速威脅檢測和響應,提高了安全性。金融機構不僅可以處理所有必需的數據,但他們增加在線查詢保留在PB從幾天到幾個月。攻擊者的速度之間的差距和彙豐的能力來檢測惡意活動和關閉進行調查。通過執行高級分析對手的節奏和速度,彙豐銀行(HSBC)更接近他們的目標移動速度比糟糕的演員。

由於數據保留能力,彙豐威脅捕獵的範圍大大擴展。彙豐銀行現在可以執行好幾次狩獵/分析師更多威脅,沒有硬件的限製。通過磚筆記本,狩獵是可重用的和自我記錄,保存曆史數據為未來的狩獵完好無損。這些信息,以及調查和威脅狩獵生命周期,現在可以共享彙豐團隊之間的迭代檢測和自動化的威脅。以效率、速度和機器學習/人工智能創新目前,彙豐能夠簡化成本,重新分配資源,更好地保護他們的關鍵業務數據。

接下來是什麼

看授權Splunk和其他與磚Lakehouse siem網絡安全聽到直接從彙豐銀行和磚關於他們是如何解決他們的網絡安全的需求。

了解更多Splunk的磚附加。

---

引用

市場限製:https://www.visualcapitalist.com/the-biggest-companies-in-the-world-in-2021/

違反生命周期:https://www.ibm.com/security/digital-assets/cost-data-breach-report/ /