SIEM e Security Analytics

1

Ho incontrato i due termini "SIEM" e "Security Analytics" molto nelle ultime settimane, purtroppo ancora non capisco la differenza.

Secondo alcune ricerche che ho fatto su questi termini SIEM aggrega i dati da diverse fonti e li visualizza in modo standardizzato agli analisti della sicurezza che setacciano i dati a mano. Le SIEM avanzate utilizzano le tecnologie dei Big Data per identificare i comportamenti degli utenti a cui è possibile confrontare i dati raccolti. L'ultima parte sembra essere la stessa definizione del termine 'Security Analytics'.

Quindi gli strumenti di analisi di sicurezza sono SIEM avanzati o qualcosa di completamente diverso?

    
posta sherhol 15.02.2018 - 15:16
fonte

2 risposte

1

SIEM è uno strumento, un oggetto. Analytics è un'azione, un verbo. Lo strumento può contenere le funzioni per le azioni (come l'analisi). L'azione non è uno strumento.

È ragionevole che gli strumenti per l'analisi non aggregino o visualizzino avvisi.

    
risposta data 15.02.2018 - 15:52
fonte
0

Un SIEM consente agli analisti della sicurezza di eseguire analisi della sicurezza. Un SIEM esegue quanto segue:

  1. Analisi e normalizzazione dei messaggi di log ricevuti

    Ad esempio, il fornitore di firewall A utilizza la chiave src_ip per registrare il indirizzo IP di origine mentre il fornitore di firewall B utilizza la chiave SOURCE in registra i messaggi. Standardizzazione delle proprietà estratte dal log i messaggi non solo semplificano la ricerca e l'ulteriore elaborazione, ma è anche efficiente perché espressioni regolari da cui estrarre dati i messaggi di registro devono essere valutati solo una volta.

  2. Analisi di sicurezza automatizzate eseguendo test configurabili contro i messaggi di registro normalizzati.

    Ad esempio, prova e avvisi per gli indicatori di compromissione, come un beaconing del server di stampa a un indirizzo IP esterno.

  3. Consentire agli analisti della sicurezza di eseguire analisi di sicurezza manuali, incl. reporting e compliance auditing.

    Un SIEM consente una facile ricerca e visualizzazione delle attività registrate nei messaggi di registro. Ciò include la memorizzazione dei messaggi di registro normalizzati e la loro ricerca in modo efficiente, il che è una sfida a causa dell'enorme quantità di dati.

Nella tua domanda, citi "comportamenti utente". Penso che sia discutibile se User Behavior Analytics (UBA) sia una parte intrinseca di un SIEM. Micro Focus ArcSight e IBM QRadar SIEM hanno aggiunto l'UBA solo due o tre anni fa.

    
risposta data 15.02.2018 - 23:47
fonte

Leggi altre domande sui tag