Controllo dell'accesso fisico Registrazione su SIEM - Ne vale la pena?

0

La società per cui lavoro (Manufacturing) sta aggiornando il proprio sistema di controllo di accesso fisico (PAC) e verrà fornita con la registrazione che può essere inserita nel nostro strumento SIEM (LogRhythm).

Qualcuno ha prove aneddotiche o casi d'uso che questi dati di registrazione aggiuntivi si sono dimostrati utili / preziosi per loro?

Posso prevedere di usarlo per controllare regole come; se un utente accede a un terminale di HO, anch'essi lo avranno inserito. Non sono convinto che questo sia infallibile, dato che le persone potrebbero essere remote sulle macchine.

Punti da sottolineare: siamo un'azienda globale che raccoglie i log di tutto il mondo. Il sistema PAC è solo su un sito. Con un budget limitato, e voglio assicurarmi di non perdere tempo.

Grazie

    
posta Callum McCormick 30.06.2016 - 17:08
fonte

1 risposta

3

Questi dati sono utili quando (se) dovresti eseguire una risposta agli incidenti. Si consideri il seguente scenario: "Il dipendente John Doe ha effettuato l'accesso a un sistema in HO e immediatamente dopo la cancellazione dei dati." Il tuo SIEM dovrebbe essere in grado di descrivere cosa è successo:

date: 06/30/16 11:45EST
username jdoe
MAC ADDR 00:00:00:00:00:0a
HOST IP 192.168.1.100
ACCESSED -> This machine, that machine

Questi dati vengono correlati e dovresti essere in grado di determinare chi, cosa, quando, dove e come. Questo è SIEM. Ora immagina lo stesso scenario in cui il nome utente jdoe crea il caos, senza essere nell'edificio. Che cosa è successo, qualcun altro ha usato le sue credenziali, il suo account è stato compromesso. Con PAC inviato a SIEM, l'appliance SIEM dovrebbe essere in grado di correlare tutti gli eventi:

date 06/30/2016 11:45EST
Employee John Doe
Door Front Door East Wing
date: 06/30/16 11:45EST
username jdoe
MAC ADDR 00:00:00:00:00:0a
HOST IP 192.168.1.100
ACCESSED -> This machine, that machine

Da una prospettiva di risposta agli incidenti / analisi forense (DFIR), sei garantito (legalmente in alcuni casi), che hai le informazioni necessarie per agire sulle informazioni. "John Doe dovrebbe essere arrestato / licenziato / ecc. Quando vediamo che ha usato la sua carta per entrare nell'edificio e cancellare i dati" (dati intelligenti raccolti rapidamente) Versus: "John Doe dovrebbe essere arrestato / licenziato / etc da quando ha cancellato i dati. questo tramite il suo login utente. " Potresti aprirti a potenziali legalità. Se ce l'hai, registralo.

    
risposta data 30.06.2016 - 17:38
fonte

Leggi altre domande sui tag