Risk Context Alerting u Infigo SIEM-u, spas za sigurnosne analitičare

Treba odmah reći na početku da Risk Context Alerting nije jedna od onih seksi mogućnosti na koje svi polude, radi kojih kupci dolaze na vaše prezentacije i bacaju novac pred vaše noge, ni blizu nečeg takvog.
Ipak, radi se o nečemu što je izuzetno korisno za ljude koji se stvarno bave sigurnosnim problemima, SOC timovima, koji jednostavno obožavaju Risk Context Alerting. Zašto? Zato što smanjuje broj alerata na upravljivu razinu bez da ljudi polude od količine posla.

Alerti su veliki problem jer bez obzira što radite, bez obzira na automatizaciju, tehnološki stack, konfiguraciju, alerti će i dalje dolaziti. Jer sigurnosni stručnjaci se bore protiv cijelog svijeta tako da je navala velika.
Normalno da želite alerte, oni su dobra stvar, obavještavaju vas da morate djelovati. Ali ako ih dolazi tisuće, kad su neumorni, to nije situacija u kojoj možete normalno funkcionirati. Risk Context Alerting pokušava smanjiti broj alerata, ali bez žrtvovanja sigurnosti. To uglavnom čini smanjivanjem buke i povećanjem točnosti – rizik nije uvijek isti, ovisi o mnogim faktorima. U sustavu bez Risk Context Alertinga svaki sumnjivi login se tretira isto te aktivira alert. No, sumnjivi login na admin računu bi trebao biti važniji! Kao i sumnjivi login na produkciju, ali ne i na testnom okruženju.

Risk Context Alerting daje ocjenu rizika temeljenu na korisniku, assetu i ponašanju. Na primjer, sumnjivi login može imati osnovnu ocjenu rizika od 30. I to nije dovoljno da se okine alert. No, za admin račun, ocjena rizika bi se udvostručila. Na testom okruženju, možemo je smanjiti za pola. Međutim, na produkciji, ona bi drastično skočila.
Kad se sve to izračuna, zbroji, oduzme, pomnoži i podijeli, ako prijeđe određeni prag, tek tada se okine alert i sigurnosni analitičari mogu pregledati sve korake koji su doveli do upozorenja. Dok se to ne dogodi, svi događaji su telemetrija.

Ocjena rizika je kumulativna i može opadati tokom vremena, ali to sve ovisi o vama i vašoj organizaciji.

Normalno, svaki broj, korisnik, svaki prag, sve se to može konfigurirati prema vašoj organizaciji. Baš to fino podešavanje je ono što razdvaja OK sigurnost od nevjerojatne sigurnosti!
Svi podaci su i dalje zabilježeni, može im se pristupiti, obrađivati, ali okidanje alerata je više u skladu s načinom na koji vaša organizacija funkcionira. Kad to vidite u akciji, kad osjetite kako su vaši SOC timovi najednom prodisali, prisustvovat ćete pravom malom čudu.
To je kao da vam netko opisuje ukusan kolač, postoji limit koliko možete zamisliti okus. Morate ga probati! Isto je s Risk Context Alertingom.

Zato smo napravili kratko objašnjenje, ili, kao i uvijek, možete zatražiti demo ili trial licencu za Infigo SIEM i isprobati sami.
< Natrag na insights