SOC Visibility Triad

securitybeztabu.pl 2 lat temu

Ułatwienie życia zespołom Blue Team

W przypadku infrastruktury o choćby niewielkim rozmiarze i złożoności gwałtownie okazuje się, iż do skutecznego wykrywania i reagowania wymagana jest dedykowana funkcja. Jednym z wczesnych problemów, stającym przed SOC jest możliwość uzyskania pełnego wglądu w każdą część infrastruktury.

Trzy filary triady widoczności SOC

Model SOC Visibility Triad opracowany przez Gartnera wykorzystuje dane z trzech podstawowych filarów:

  • Logi użytkowników i z urządzeń wejściowych dzięki informacji o zabezpieczeniach i zarządzania zdarzeniami (SIEM)
  • Dane ruchu sieciowego poprzez network detection and response (NDR)
  • Wykrywanie i reagowanie w punktach końcowych (EDR)

Model ten kieruje nas abyśmy uzyskali wszechstronny wgląd w te trzy filary operacji bezpieczeństwa. Ma to ogromne znaczenie w umożliwieniu zespołowi ds. bezpieczeństwa wczesnego wykrywania ataków. Dane zagregowane z tych trzech podstawowych dziedzin bezpieczeństwa mogą dać SOC ogólny obraz najbardziej krytyczna aktywność w całym środowisku, a także ważne wskazówki dotyczące najwcześniejszych i najsilniejszych wskaźników oczekującego kompromisu.

Jakie problemy Twojego zespołu bezpieczeństwa rozwiąże triada?

Stosowana triada widoczności SOC znacznie ułatwia utrzymanie bezpieczeństwa.

Robi to poprzez:

  • Automatyzacje – Wykorzystując sztuczną inteligencję triada daje ci możliwość prowadzenia i wspierania zautomatyzowanych bądź rozszerzonych dochodzeń.
  • Integracje – dzięki produktom NDR, zespoły ds. bezpieczeństwa mogą integrować dane z ruchu sieciowego z produktami SIEM i EDR, a także między zespołami IT , zmniejszając złożoność i rozrost narzędzi.
  • Usprawnianie informatyki śledczej – dzięki produktom NDR, analitycy mają pełen zakres informacji przydatnych w trakcie przeprowadzenia analizy po włamaniowej. Dodatkowo zapewnia ona również dostęp do logów z narzędzi SIEM oraz danych od agentów EDR.
  • Zwiększanie wykrywalności– triada łączy reguły i wykrywanie oparte na sygnaturach produktów SIEM i EDR z wykrywaniem behawioralnym w czasie rzeczywistym, opartym na uczeniu maszynowym z rozwiązań NDR. Rezultatem jest możliwość szybkiego wykrywania anomalii w zrachowaniach i zagrożeń na punktach końcowych oraz w ruchu wewnętrznym.
  • Zapewnienie widoczności – łącząc widoczność w komunikacji sieciowej, punktach końcowych i zdarzeniach. Triada pozwala zobaczyć co dzieje się w naszej sieci.

Podsumowanie

SOC Visibility Triad jest bardzo pomocne kiedy planujemy lub sprawdzamy działanie naszego SOC.

Jako aspekty triady widoczności SOC, SIEM, EDR i NDR mają obszary mocne i słabe. Celem triady widoczności SOC jest to, iż każdy składnik wzmacnia pozostałe.

Niestety istnieje kilka przeszkód, które specjaliści ds. bezpieczeństwa muszą pokonać, aby uzyskać widoczność we wszystkich trzech filarach. Wiele rozwiązań punktowych może nie zapewnić pełnej widoczności lub agregować dane z dodatkowym szumem lub złożonością.

Niektórzy dostawcy systemu SIEM wymagają żmudnej konfiguracji i regularnego dostrajania alertów. Oznacza to, iż ​​nie mogą zapewnić niezbędnej widoczności bez większej ilości czasu i pracy. Z praktyki wiem, iż większość SOC po prostu tego czasu nie ma.

Idź do oryginalnego materiału
  1. Strona główna
  2. Podsłuchy
  3. SOC Visibility Triad

Powiązane

Security Bite: krótka historia prawnej batalii Apple z NSO

Security Bite: krótka historia prawnej batalii Apple z NSO

3 dni temu
CBA blokuje działania komisji śledczej ds. Pegasusa Jest odpowiedź służb

CBA blokuje działania komisji śledczej ds. Pegasusa Jest odp...

2 tygodni temu
Thailand: Amicus curiae submitted by Amnesty global to the Bangkok civilian Court in the case of Jatupat Boonpattararaksa vs. NSO Group Technologies Ltd.

Thailand: Amicus curiae submitted by Amnesty global to the ...

2 tygodni temu
Citadel II encryption in sync/async MS-110A transmissions (Algerian AF)

Citadel II encryption in sync/async MS-110A transmissions (A...

2 tygodni temu
About the unid 32-bit protocol utilized in S-4538 + MS-110A transfers

About the unid 32-bit protocol utilized in S-4538 + MS-110A...

3 tygodni temu
Kupa wiedzy, w kupie...;))

Kupa wiedzy, w kupie...;))

3 tygodni temu
Poznajcie Airis, zanim on pozna Was

Poznajcie Airis, zanim on pozna Was

1 miesiąc temu
Pracownik odchodzi? Dopilnuj bezpieczeństwa danych!

Pracownik odchodzi? Dopilnuj bezpieczeństwa danych!

1 miesiąc temu
Unid FSK 300Bd/300 bursts

Unid FSK 300Bd/300 bursts

1 miesiąc temu

Polecane

Bitwia pod Boratyczami! Zwycięstwo wojsk polskich w kampanii wrześniowej – 14.IX.1939 r.

Bitwia pod Boratyczami! Zwycięstwo wojsk polskich w kampanii...

1 godzina temu
Niemieccy żołnierze w Polsce. Mamy nieoficjalne informacje

Niemieccy żołnierze w Polsce. Mamy nieoficjalne informacje

10 godzin temu
Oszust w mundurze grozi wysadzeniem wałów. Poszukuje go ABW

Oszust w mundurze grozi wysadzeniem wałów. Poszukuje go ABW

12 godzin temu
Ukraińcy nie chcą być na froncie. Nie są gotowi zabijać

Ukraińcy nie chcą być na froncie. Nie są gotowi zabijać

13 godzin temu
Niemieccy żołnierze w Polsce. Tusk: "Proszę nie wpadać w panikę"

Niemieccy żołnierze w Polsce. Tusk: "Proszę nie wpadać w pan...

14 godzin temu
Premier: Namierzono człowieka przebranego za wojskowego, który informował o wysadzaniu wałów

Premier: Namierzono człowieka przebranego za wojskowego, któ...

15 godzin temu
W jaki sposób jesteśmy oszukiwani?

W jaki sposób jesteśmy oszukiwani?

1 dzień temu
Co łączy Ziemię z Saturnem? Zaskakująco dużo!

Co łączy Ziemię z Saturnem? Zaskakująco dużo!

2 dni temu
Tutaj Rosja wygrywa z Zachodem

Tutaj Rosja wygrywa z Zachodem

2 dni temu