SIEM
Last updated
Last updated
Təhlükəsizlik məlumatı və hadisələrin idarə edilməsi (SIEM) müəssisələr üçün təhlükəsizlik təhdidlərini proaktiv şəkildə müəyyən etmək, idarə etmək və zərərsizləşdirmək üçün vacibdir. SIEM həlli kibertəhlükəsizlik təhdidlərini aşkar etmək, yoxlamaq və onlara qarşı mübarizə aparmaq üçün hadisələrin korrelyasiyası, süni intellektə əsaslanan anomaliyaların aşkarlanması və maşın öyrənməsi ilə dəstəklənən istifadəçi və qurum davranış analitikası (UEBA) kimi mexanizmlərdən istifadə edir. Bu imkanlar SIEM sistemlərinə real vaxt rejimində təhlükəsizlik xəbərdarlığı verməyə və təşkilatın insidentlərə tez və effektiv cavab vermək qabiliyyətini gücləndirməyə imkan verir.
Məlumatların toplanması:
SIEM sistemləri serverlər, şəbəkə cihazları, proqramlar və təhlükəsizlik cihazları daxil olmaqla, təşkilat daxilində müxtəlif mənbələrdən log məlumatlarını toplayır.
Normallaşdırma və təhlil:
Toplanmış məlumatlar ardıcıl formatı təmin etmək üçün normallaşdırılır və təhlil edilir.
Xəbərdarlığın yaradılması:
Əvvəlcədən müəyyən edilmiş qaydalar və hədlər əsasında SIEM sistemi potensial şübhəli fəaliyyətlər və ya təhlükəsizlik insidentləri üçün xəbərdarlıqlar yaradır.
Hadisənin araşdırılması:
SOC analitikləri xəbərdarlıqları və insidentləri araşdırmaq üçün SIEM konsolundan istifadə edirlər. Bu, jurnal qeydlərini nəzərdən keçirmək, əlaqəli hadisələri təhlil etmək və hadisənin şiddətini və əhatə dairəsini müəyyən etməkdən ibarətdir.
Hesabat və Təhlil:
SIEM, SOC analitiklərinə təhlükəsizlik tendensiyaları haqqında anlayışlar əldə etməyə, təhlükəsizlik tədbirlərinin effektivliyini qiymətləndirməyə və uyğunluq məqsədləri üçün hesabatlar yaratmağa kömək etmək üçün hesabat və təhlil alətləri təqdim edir.
Axtarış sorğuları:
SOC analitikləri vaxt diapazonu, mənbə IP, təyinat IP və ya hadisə növü kimi meyarlara əsaslanan xüsusi jurnal məlumatlarını əldə etmək üçün axtarış sorğularından istifadə edirlər.
search source IP="192.168.1.1"
Filtrləmə:
Analitiklər axtarış nəticələrini daraltmaq üçün filtrlərdən istifadə edə bilərlər.
search eventCategory="Firewall" AND action="Deny"
Xəbərdarlıq Araşdırması:
Əlaqədar hadisələri və qeydləri sorğulayaraq xəbərdarlıqları araşdırın.
search correlationID="123456"
İdarə panelinin qarşılıqlı əlaqəsi:
Analitiklər təhlükəsizlik hadisələrini vizuallaşdırmaq və başa düşmək üçün SIEM idarə panelləri ilə qarşılıqlı əlaqədə olurlar. Onlar daha ətraflı məlumat əldə etmək üçün xüsusi elementlərə klikləyə bilərlər.
search timeRange="last 24 hours"
Hadisələrin Növü üzrə Axtarın:
Analitiklər bu əmrdən zərərli proqram infeksiyaları kimi müəyyən növ hadisələri axtarmaq üçün istifadə edə bilərlər.
search eventType="Malware Infection"
İstifadəçi fəaliyyətini araşdırın:
SOC analitikləri tez-tez müəyyən istifadəçi adı ilə əlaqəli hadisələri axtararaq istifadəçi fəaliyyətini araşdırırlar.
search username="john.doe"
İmtiyazların artırılması cəhdlərini yoxlayın:
Analitiklər imtiyazların artırılması cəhdləri ilə bağlı hadisələri axtara bilərlər.
search eventCategory="Authentication" AND action="Privilege Escalation"
Search for Suspicious File Access:
SOC analysts can investigate file access events, focusing on specific files and actions.
search fileAccess="SuspiciousFile.txt" AND action="Read"
VPN Fəaliyyətini yoxlayın:
Analitiklər potensial təhlükəsizlik insidentlərini müəyyən etmək üçün uğursuz VPN bağlantısı cəhdlərini araşdıra bilərlər.
search eventSource="VPN" AND connectionStatus="Failed"
Sistem İdarəçiliyi Fəaliyyətini nəzərdən keçirin:
Bu əmr sistem administratoru rolları ilə əlaqəli giriş hadisələrini müəyyən etməyə kömək edir.
search role="System Administrator" AND action="Login"
Brute Force Attacks üçün axtarış:
SOC analitikləri çoxsaylı uğursuz giriş cəhdləri kimi kobud güc hücumlarını göstərən nümunələri axtara bilərlər.
search eventCategory="Authentication" AND action="Failed" AND count > 5
Qeyri-adi şəbəkə trafikini yoxlayın:
Analitiklər qeyri-standart portlarda trafik kimi qeyri-adi şəbəkə trafiki ilə bağlı hadisələri axtara bilərlər.
search protocol="TCP" AND destinationPort="666"
