Enhver bruger, enhed eller ethvert system i et netværk efterlader et virtuelt spor af sikkerhedsoplysninger. Dette kaldes også logdata. SIEM-produkter er designet til at bruge logdata til at hjælpe analytikerne med at identificere trusler i realtid, undersøge brud og generere indsigt i angreb og hændelser. En SIEM-løsning indsamler, klassificerer, registrerer, korrelerer og analyserer sikkerhedsoplysninger ét samlet sted. Det gør det nemmere for cybersikkerhedsteams at overvåge og udføre fejlfinding på IT-infrastrukturen i realtid. Uden en SIEM-løsning har cybersikkerhedsanalytikerne den umulige opgave at gennemgå millioner af ikke-sammenlignelige og siloopdelte data. SIEM-produkter forbedrer effektiviteten og nøjagtigheden, når de registrerer og reagerer på trusler.

Det skal du kigge efter i et godt SIEM-produkt

En god SIEM-løsning er kendetegnet ved fire vigtige egenskaber:

  1. Den indsamler og analyserer data fra alle kilder i realtid

Organisationer i dag genererer og forbruger flere data end nogensinde før. For at holde trit med denne markante stigning i mængden af information skal SIEM-værktøjer være i stand til at indtage data fra alle kilder – herunder clouddata og interne logdata – for effektivt at overvåge, registrere og reagere på potentielle trusler. Moderne SIEM-produkter har ikke kun evnen til at indtage og analysere flere data, de lærer også af dataene. Jo flere data en organisation kan levere til SIEM, desto højere grad af synlighed får analytikerne i aktiviteterne. Det hjælper dem med at være mere effektive til at opdage og reagere på trusler.

  1. Den bruger machine learning til at tilføje kontekst og situationsbevidsthed for at øge effektiviteten

Nutidens angreb bliver mere og mere sofistikerede, og organisationer har brug for værktøjer, der er lige så avancerede. Angriberne er ofte afhængige af kompromitterede akkreditiver eller af at tvinge brugerne til at udføre handlinger, der skader deres egen organisations aktiviteter. For hurtigere og mere præcist at identificere disse typer angreb bør SIEM-værktøjer udstyres med machine learning til overvågning af mistænkelig adfærd. Med bruger- og enhedsadfærdsanalyser (UEBA) får organisationer en markant forbedring af deres SIEM’s evne til at spore og identificere trusler. Derudover eliminerer UEBA falske positiver. Analytikerne får derfor større situationsbevidsthed, før, under og efter at en trussel opstår. Færre falske positiver betyder, at analytikerne er mere effektive og kan bruge deres begrænsede tid på trusler, der rent faktisk vil påvirke driften.

  1. Den fleksible og skalerbare arkitektur forbedrer time-to-value

Ældre SIEM-løsninger kan ikke sammenlignes med dem, der tilbydes i dag. Mængden af data, der produceres og indsamles af organisationer, er steget voldsomt i løbet af de seneste par år. Det betyder, at organisationer har brug for big data-arkitekturer, der er fleksible og skalerbare, så de kan tilpasse sig og vokse med virksomheden. Med muligheden for at håndtere store og komplekse implementeringer kan virksomheder udrulle nutidens moderne SIEM-løsninger i fysiske eller virtuelle miljøer, lokalt eller i skyen. Nogle SIEM’er har en meget kort implementeringstid og et lavt behov for vedligeholdelsesressourcer. Dette resulterer i, at SIEM leverer værdi inden for ganske få dage.

  1. Den leveres med en virkelig forudsigelig licens og prissætning

SIEM-prismodeller, der er baseret på databrug, er forældede. Datamængderne stiger konstant, og organisationerne bør ikke straffes, når de ønsker at overvåge flere data. Moderne SIEM-prismodeller bør i stedet være baseret på antallet af enheder, der sender logfiler, eller det samlede antal enheder. Med en forudsigelig prismodel behøver virksomhederne ikke at bekymre sig om, at deres dataforbrug øger omkostningerne. De kan i stedet fokusere på skalering til fremtidige forretningsmæssige behov. Virksomhederne skal også tage højde for de samlede ejeromkostninger. Når SIEM-løsningen skal skaleres, har nogle leverandører ekstra omkostninger til at øge hardwarekapaciteten eller antallet af medarbejdere, der har adgang til SIEM-løsningen.

Implementering af SIEM

Når det er tid til at implementere en SIEM-løsning, er der flere aspekter, man bør have med i sine overvejelser:

Definer omfanget af udrulningen

Når virksomhederne vælger et SIEM-produkt, bør de overveje at arrangere en workshop, enten internt eller sammen med en SIEM-partner. Dette vil være en hjælp til at definere og fastlægge projektets omfang og tidslinje. For at definere implementeringens omfang skal virksomhederne identificere – og endnu vigtigere prioritere – en indledende liste over use cases for at fastlægge de nødvendige logkilder. Derudover er det vigtigt at blive lægge sig fast på en tidsplan for implementeringen for at sikre, at SIEM-løsningen er i overensstemmelse med virksomhedens overordnede mål.

Fastlæg de prioriterede datakilder

Når teamet har aftalt det ideelle projektomfang, kan de identificere de logkilder, der er nødvendige for at opfylde de valgte use cases. Firewalls, systemer til opsporing af indtrængende gæster og antivirussoftware fungerer f.eks. alle som primære datakilder for SIEM. Men der er mange flere. Det er vigtigt, at virksomhederne prioriterer datakilderne og vælger en SIEM-leverandør, der understøtter alle de applikationer, virksomheden bruger. Dette vil sikre den mest nøjagtige sikkerhedsbeskyttelse.

Tip: Læs mere i vores blogindlæg om dimensionering af dit SIEM

Identificer hændelser og alarmer med høj prioritet

Når det drejer sig om at beskytte en organisation mod både insidertrusler og eksterne trusler, har IT- og sikkerhedsteams ofte en stadigt voksende liste over sikkerhedshændelser, som de skal analysere og handle på. SIEM-løsninger kan bryde igennem støjen og hjælpe analytikerne med at fokusere på de mest kritiske hændelses- og alarmdata. Virksomhederne skal først identificere deres højprioritetshændelser, og hvilke applikationer og enheder der er forbundet med hændelserne. Dernæst kan de bruge SIEM til at identificere de hændelser, der er mest skadelige for virksomheden. På den måde ved de, hvor de skal undersøge.

Udpeg de vigtigste succesparametre

En vellykket SIEM-implementering og -udrulning er direkte forbundet med virksomhedens mål. Det er vigtigt, at de primære succesparametre fastlægges før implementeringen for at sikre et maksimalt investeringsafkast. Mange virksomheder har parametre, der er relateret til at reducere informationstyveri eller forbedre identifikationen af potentielle indtrængende eller infektioner. Men der er mange andre. Det er vigtigt, at virksomhederne afgør, hvad succes betyder for dem, og hvordan SIEM kan bruges til at opnå det.

Fremtiden for SIEM-produkter

SIEM-markedet udvikler sig hele tiden, og nye funktioner kommer til, f.eks. de relativt nylige fremskridt inden for UEBA og incident response. Nye funktioner er altid velkomne for at øge effektiviteten og hjælpe med at håndtere huller i cybersikkerheden, og virksomhederne bør vælge den SIEM-løsning, der opfylder deres behov. Virksomhederne skal sikre, at de sender alle de nødvendige logfiler til deres SIEM. På den måde ender de ikke med blinde vinkler i deres analysefunktioner.

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser