SOC Visibility Triad

securitybeztabu.pl 2 lat temu

Ułatwienie życia zespołom Blue Team

W przypadku infrastruktury o choćby niewielkim rozmiarze i złożoności gwałtownie okazuje się, iż do skutecznego wykrywania i reagowania wymagana jest dedykowana funkcja. Jednym z wczesnych problemów, stającym przed SOC jest możliwość uzyskania pełnego wglądu w każdą część infrastruktury.

Trzy filary triady widoczności SOC

Model SOC Visibility Triad opracowany przez Gartnera wykorzystuje dane z trzech podstawowych filarów:

  • Logi użytkowników i z urządzeń wejściowych dzięki informacji o zabezpieczeniach i zarządzania zdarzeniami (SIEM)
  • Dane ruchu sieciowego poprzez network detection and response (NDR)
  • Wykrywanie i reagowanie w punktach końcowych (EDR)

Model ten kieruje nas abyśmy uzyskali wszechstronny wgląd w te trzy filary operacji bezpieczeństwa. Ma to ogromne znaczenie w umożliwieniu zespołowi ds. bezpieczeństwa wczesnego wykrywania ataków. Dane zagregowane z tych trzech podstawowych dziedzin bezpieczeństwa mogą dać SOC ogólny obraz najbardziej krytyczna aktywność w całym środowisku, a także ważne wskazówki dotyczące najwcześniejszych i najsilniejszych wskaźników oczekującego kompromisu.

Jakie problemy Twojego zespołu bezpieczeństwa rozwiąże triada?

Stosowana triada widoczności SOC znacznie ułatwia utrzymanie bezpieczeństwa.

Robi to poprzez:

  • Automatyzacje – Wykorzystując sztuczną inteligencję triada daje ci możliwość prowadzenia i wspierania zautomatyzowanych bądź rozszerzonych dochodzeń.
  • Integracje – dzięki produktom NDR, zespoły ds. bezpieczeństwa mogą integrować dane z ruchu sieciowego z produktami SIEM i EDR, a także między zespołami IT , zmniejszając złożoność i rozrost narzędzi.
  • Usprawnianie informatyki śledczej – dzięki produktom NDR, analitycy mają pełen zakres informacji przydatnych w trakcie przeprowadzenia analizy po włamaniowej. Dodatkowo zapewnia ona również dostęp do logów z narzędzi SIEM oraz danych od agentów EDR.
  • Zwiększanie wykrywalności– triada łączy reguły i wykrywanie oparte na sygnaturach produktów SIEM i EDR z wykrywaniem behawioralnym w czasie rzeczywistym, opartym na uczeniu maszynowym z rozwiązań NDR. Rezultatem jest możliwość szybkiego wykrywania anomalii w zrachowaniach i zagrożeń na punktach końcowych oraz w ruchu wewnętrznym.
  • Zapewnienie widoczności – łącząc widoczność w komunikacji sieciowej, punktach końcowych i zdarzeniach. Triada pozwala zobaczyć co dzieje się w naszej sieci.

Podsumowanie

SOC Visibility Triad jest bardzo pomocne kiedy planujemy lub sprawdzamy działanie naszego SOC.

Jako aspekty triady widoczności SOC, SIEM, EDR i NDR mają obszary mocne i słabe. Celem triady widoczności SOC jest to, iż każdy składnik wzmacnia pozostałe.

Niestety istnieje kilka przeszkód, które specjaliści ds. bezpieczeństwa muszą pokonać, aby uzyskać widoczność we wszystkich trzech filarach. Wiele rozwiązań punktowych może nie zapewnić pełnej widoczności lub agregować dane z dodatkowym szumem lub złożonością.

Niektórzy dostawcy systemu SIEM wymagają żmudnej konfiguracji i regularnego dostrajania alertów. Oznacza to, iż ​​nie mogą zapewnić niezbędnej widoczności bez większej ilości czasu i pracy. Z praktyki wiem, iż większość SOC po prostu tego czasu nie ma.

Idź do oryginalnego materiału