Google Cloud SIEM միգրացիայի հրահանգներ

Google Cloud SIEM միգրացիա

Ապրանքի մասին տեղեկատվություն

Տեխնիկական պայմաններ:

• Ապրանքի անվանումըSIEM միգրացիոն ուղեցույց
• Հեղինակ: Անհայտ
• Հրապարակվել է ՏարիՉի նշվում

Ապրանքի օգտագործման հրահանգներ

• Ընտրելով նոր SIEM
  Սկսեք ինքներդ ձեզ և ձեր թիմին մի քանի հիմնական հարցեր տալով, որոնք կօգնեն բացահայտել յուրաքանչյուր առաջարկի ուժեղ և թույլ կողմերը: Արագորեն բացահայտեք յուրաքանչյուր SIEM-ի գերհզորությունը և պլանավորեք, թե ինչպես կարող է ձեր կազմակերպությունը առաջադիմելtagդրանցից էլ.
• Ամպային բնիկ SIEM
  Մտածեք, թե արդյոք SIEM-ն առաջարկվում է առաջնային ամպային ծառայությունների մատակարարի կողմից (CSP), որը կարող է ապահովել համաշխարհային մասշտաբի ենթակառուցվածք մեծածախ գներով: Cloud-ի SIEM տեղակայման մոդելները թույլ են տալիս ընդլայնելիություն և ամպային ծանրաբեռնվածության դինամիկ կառավարում:
• SIEM հետախուզությամբ
  Ստուգեք՝ արդյոք SIEM վաճառողն առաջարկում է շարունակական առաջնագծի սպառնալիքների հետախուզություն՝ նոր և առաջացող սպառնալիքների բացահայտման համար:

SIEM-ը մեռավ, կեցցե SIEM-ը

Եթե ​​դուք մեզ նման եք, կարող եք զարմանալ, որ 2024 թվականին անվտանգության տեղեկատվության և իրադարձությունների կառավարման (SIEM) համակարգերը դեռևս հանդիսանում են անվտանգության գործառնությունների կենտրոնների (SOC) մեծ մասի ողնաշարը: SIEM-ները միշտ օգտագործվել են ձեր կազմակերպությունից անվտանգության տվյալները հավաքելու և վերլուծելու համար՝ օգնելու ձեզ արագ և արդյունավետ կերպով բացահայտել, հետաքննել և արձագանքել սպառնալիքներին: Բայց իրականությունն այն է, որ այսօրվա ժամանակակից SIEM-ները քիչ նմանություն ունեն 15+ տարի առաջ կառուցվածներին՝ նախքան ամպային ճարտարապետության, օգտագործողների կազմի և վարքագծի վերլուծության (UEBA), անվտանգության կազմակերպման, ավտոմատացման և արձագանքման (SOAR), հարձակման մակերեսի կառավարումը: և, իհարկե, AI, մի քանիսը նշելու համար:
Ժառանգական SIEM-ները հաճախ դանդաղ են, ծանր և դժվար է օգտագործել: Նրանց հնացած ճարտարապետությունը հաճախ թույլ չի տալիս նրանց մեծացնել մեծ ծավալի տեղեկամատյանների աղբյուրները, և նրանք կարող են չկարողանալ հետևել վերջին սպառնալիքներին կամ աջակցել վերջին հնարավորություններին և հնարավորություններին: Նրանք կարող են չառաջարկել ճկունություն՝ աջակցելու ձեր կազմակերպության հատուկ պահանջներին կամ համապատասխանեն բազմաամպ ռազմավարությանը, որն այսօր իրականություն է շատ կազմակերպությունների համար: Վերջապես, նրանք կարող են վատ դիրքեր ունենալ առաջ տանելու համարtagե վերջին տեխնոլոգիական զարգացումներից, ինչպիսիք են արհեստական ​​ինտելեկտը (AI):
Այսպիսով, չնայած ցանկացած այլ անունով SIEM-ը կարող է նույնքան քաղցր հնչել, անվտանգության օպերատիվ թիմերը կշարունակեն ապավինել
«անվտանգության գործառնությունների հարթակներ» (կամ ինչ անվանում են դրանք) տեսանելի ապագայում սպառնալիքների հայտնաբերման, հետաքննության և արձագանքման համար:

Մեծ SIEM միգրացիան սկսվել է

SIEM միգրացիան նոր չէ: Կազմակերպությունները սիրահարվել են իրենց գոյություն ունեցող SIEM-ին և տարիներ շարունակ փնտրել ավելի նոր և ավելի լավ տարբերակներ: Թերևս ավելի հաճախ, կազմակերպություններն ավելի երկար են համակերպվում իրենց ցածր կատարողական և/կամ չափազանց թանկ SIEM-ի հետ, քան կցանկանային, մասամբ կապված SIEM միգրացիայի հետ կապված բարդության հետ կապված մտահոգությունների հետ:
Սակայն վերջին ամիսները SIEM տարածության մեջ տեկտոնական տեղաշարժեր են մտցվել, որոնք հնարավոր չէ թերագնահատել: Կասկած չկա, որ SIEM-ի լանդշաֆտն ամբողջությամբ կվերափոխվի մի քանի կարճ տարի հետո՝ ծնունդ տալով շուկայի նոր առաջնորդներին և տեսնելով «դինոզավրերի» անկումը և, հնարավոր է, նույնիսկ մահը, որոնք տասնամյակներ շարունակ կառավարել են SIEM երկիրը (կամ « դարեր» կիբերանվտանգության առումով): Այս զարգացումները, անկասկած, կարագացնեն միգրացիան SIEM-ի ժառանգական հարթակներից դեպի ժամանակակից հարթակներ, քանի որ շատ կազմակերպություններ այժմ բախվում են իրականությանը, թե երբ պետք է միգրանան, այլ ոչ թե միգրացիան:

Ահա միայն վերջին 9 ամիսների ընթացքում կատարված հիմնական քայլերի ամփոփագիրը.

Ձեր ընթացիկ SIEM-ում թերությունների հայտնաբերումը շատ ավելի հեշտ է, քան լավագույն փոխարինողն ընտրելը և հաջող միգրացիան իրականացնելը: Կարևոր է նաև նշել, որ SIEM-ի տեղակայման ձախողումները կարող են առաջանալ նաև գործընթացներից (և երբեմն մարդկանցից), և ոչ միայն տեխնոլոգիայից: Ահա թե որտեղ է այս հոդվածը գալիս: Հեղինակները տեսել են հարյուրավոր SIEM միգրացիաներ որպես պրակտիկ մասնագետներ, վերլուծաբաններ և վաճառողներ մի քանի տասնամյակների ընթացքում: Այսպիսով, եկեք ամփոփենք SIEM-ի միգրացիայի լավագույն խորհուրդները 2024-ի համար: Մենք այս ցուցակը կբաժանենք կատեգորիաների և կցրենք դասերը, որոնք սովորել ենք խրամատներից:

Ընտրելով նոր SIEM

Սկսեք ինքներդ ձեզ և ձեր թիմին մի քանի հիմնական հարցեր տալով, որոնք կօգնեն բացահայտել յուրաքանչյուր առաջարկի ուժեղ և թույլ կողմերը: Մենք խորհուրդ ենք տալիս արագ բացահայտել յուրաքանչյուր SIEM-ի «գերհզորությունները» և պլանավորել, թե ինչպես կարող է ձեր կազմակերպությունը առաջ տանելtagդրանցից էլ. Նախampլե:

• Ամպային բնիկ SIEM
  
  • Արդյո՞ք SIEM-ն առաջարկվում է առաջնային ամպային ծառայությունների մատակարարի կողմից (CSP), որը կարող է ապահովել համաշխարհային մասշտաբի ենթակառուցվածք մեծածախ գներով:
    Մեր փորձը ցույց է տալիս, որ SIEM պրովայդերները, որոնք աշխատում են ամպերի մեջ, որոնք իրենց չեն պատկանում, դժվարությամբ են հաղթահարելու նման մոդելների հետ կապված անխուսափելի «մարժային կուտակումը»: Այս հարցը անքակտելիորեն կապված է ծախսերի հետ:
    Ամպային SIEM-ի տեղաբաշխման մոդելը նաև թույլ է տալիս SIEM-ին ընդլայնել և իջեցնել՝ ի պատասխան նոր սպառնալիքների, ինչպես նաև կառավարել կազմակերպության ամպային ծանրաբեռնվածության դինամիկ բնույթը: Ամպային ենթակառուցվածքը և հավելվածները կարող են կտրուկ աճել րոպեների ընթացքում: Ամպային բնիկ SIEM ճարտարապետությունը թույլ է տալիս անվտանգության թիմերի կարևորագույն գործիքակազմը մեծացնել նույն արագությամբ, ինչպես նաև ավելի մեծ կազմակերպության կարիքներին:
    Cloud-ի բնիկ SIEM-ները նույնպես լավ դիրքավորված են ամպային ծանրաբեռնվածությունն ապահովելու համար: Նրանք տրամադրում են ցածր ուշացման տվյալների կլանում ամպային ծառայություններից և առաքվում են հայտնաբերման բովանդակությամբ՝ օգնելու բացահայտել ամպում տարածված հարձակումները:
• SIEM հետախուզությամբ
  • Արդյո՞ք SIEM վաճառողն ունի առաջնագծի սպառնալիքների հետախուզության շարունակական հոսք՝ նոր և առաջացող վտանգների հայտնաբերման համար:
    Այս ոսկե աղբյուրները սովորաբար առաջանում են միջադեպերի արձագանքման ամենաբարձր մակարդակի պրակտիկաներից, սպառողական IaaS կամ SaaS զանգվածային ամպային առաջարկներից կամ անվտանգության ծրագրային ապահովման արտադրանքի կամ օպերացիոն համակարգերի գլոբալ տեղադրման բազաներից:
    Սպառնալիքների հետախուզությունը կարևոր է կազմակերպությունների համար՝ արդյունավետորեն հայտնաբերելու, ստուգելու, հետաքննելու և անվտանգության միջադեպերին արձագանքելու համար: Առջևի սպառնալիքների հետախուզությունը, մասնավորապես, արժեքավոր է, քանի որ այն իրական ժամանակում տեղեկատվություն է տրամադրում վերջին սպառնալիքների և խոցելիության մասին: Այս տեղեկատվությունը կարող է օգտագործվել անվտանգության միջադեպերը արագ բացահայտելու և առաջնահերթություն տալու, ինչպես նաև արդյունավետ արձագանքման ռազմավարություններ մշակելու և իրականացնելու համար:
    Իրական ժամանակում սպառնալիքների հայտնաբերման և արձագանքման կարողությունները բարելավելու համար անվտանգության կազմակերպությունները փնտրում են սպառնալիքների հետախուզության և հարակից տվյալների հոսքերի անխափան ինտեգրում իրենց անվտանգության գործառնությունների աշխատանքային հոսքերում և գործիքներում: Պտտվող աթոռը, copy-paste-ը և փխրուն ինտեգրումները SIEM-ի և սպառնալիքների ինտել աղբյուրների միջև արտադրողականության արտահոսք են և բացասաբար են ազդում թիմի արդյունավետության և վերլուծաբանների փորձի վրա:
• SIEM ընտրված բովանդակությամբ
  • Արդյո՞ք SIEM-ն առաջարկում է աջակցվող վերլուծիչների և հայտնաբերման կանոնների և արձագանքման գործողությունների ընդարձակ գրադարան:
    Հուշում. Որոշ SIEM վաճառողներ գրեթե բացառապես ապավինում են իրենց օգտատերերի համայնքին կամ տեխնիկական դաշինքի գործընկերներին՝ հանրահայտ տվյալների հոսքերի համար վերլուծիչներ ստեղծելու համար: Թեև օգտատերերի բարգավաճ համայնքը կարևոր է, դրա վրա չափից ավելի ապավինելը հիմնարար հնարավորություններ ապահովելու համար, ինչպիսին է վերլուծությունը, խնդիր է: Ընդհանուր տվյալների աղբյուրների վերլուծիչները պետք է ստեղծվեն, պահպանվեն և աջակցվեն ուղղակիորեն SIEM վաճառողի կողմից: Վերցրեք նույն մոտեցումը, երբ դիտեք հայտնաբերման կանոնների բովանդակությունը: Համայնքի կանոնները կարևոր են, բայց դուք պետք է ակնկալեք, որ ձեր վաճառողը կստեղծի և պահպանի հիմնական հայտնաբերումների ամուր գրադարան, որը պարբերաբար փորձարկվում, աջակցվում և բարելավվում է: Բարձր որակի, ընտրված սպառնալիքների հայտնաբերումը կարևոր նշանակություն ունի կազմակերպությունների համար՝ արդյունավետորեն կառավարելու իրենց անվտանգության կեցվածքը: Google SecOps-ն ապահովում է նոր և ի հայտ եկած սպառնալիքների հայտնաբերում, ինչը կարող է օգնել կազմակերպություններին արագ բացահայտել և արձագանքել անվտանգության միջադեպերին:
• SIEM AI-ով
  • Արդյո՞ք SIEM-ը ներառում է AI, և արդյոք այն պատրաստ է շարունակել նորարարությունները:
    Արհեստական ​​ինտելեկտի դերը SIEM-ում դեռևս լիովին չի հասկացվում (առավել ավելի քիչ իրականացված) որևէ վաճառողի կողմից: Այնուամենայնիվ, առաջատար SIEM-ներն արդեն այսօր ունեն AI-ի վրա հիմնված շոշափելի գործառույթներ, որոնք առաքվում են այսօր: Այս առանձնահատկությունները ներառում են բնական լեզվի մշակում՝ որոնումների և կանոնների արտահայտման համար, դեպքերի ավտոմատ ամփոփում և առաջարկվող պատասխան գործողություններ: Հաճախորդների և ոլորտի դիտորդների մեծամասնությունը համարում են այնպիսի առանձնահատկություններ, ինչպիսիք են սպառնալիքների հայտնաբերումը և կանխատեսող հակառակորդի վերլուծությունը, որպես AI-ի վրա հիմնված SIEM կարողությունների «սուրբ գծերը»: Այսօր ոչ մի SIEM հուսալիորեն չի առաջարկում այս հնարավորությունները: Երբ դուք ընտրում եք նոր SIEM 2024 թվականին, մտածեք, թե արդյոք վաճառողը ներդնում է այն ռեսուրսները, որոնք անհրաժեշտ են այս փոխակերպման հնարավորությունների վրա զգալի առաջընթաց գրանցելու համար:

Google Security Operations-ը (նախկինում Chronicle) ամպի վրա հիմնված SIEM լուծում է, որն առաջարկվում է Google Cloud-ի կողմից: Այն նախատեսված է օգնելու կազմակերպություններին կենտրոնացված կերպով հավաքել տեղեկամատյանները և անվտանգության այլ հեռաչափությունը, այնուհետև իրական ժամանակում հայտնաբերել, հետաքննել և արձագանքել անվտանգության սպառնալիքներին: 

• Հայտնաբերել և առաջնահերթություն տալ անվտանգության սպառնալիքներինGoogle SecOps-ի բացահայտման կանոնները իրական ժամանակում բացահայտում և առաջնահերթություն են տալիս անվտանգության սպառնալիքներին: Սա օգնում է կազմակերպություններին արագ և արդյունավետ արձագանքել ամենակարևոր սպառնալիքներին:
• Հետաքննել անվտանգության միջադեպերը. Google SecOps-ն ապահովում է կենտրոնացված հարթակ անվտանգության միջադեպերի հետաքննության համար: Սա օգնում է կազմակերպություններին արագ և արդյունավետ կերպով հավաքել ապացույցներ և որոշել միջադեպի շրջանակը:
• Անվտանգության միջադեպերին արձագանքել. Google SecOps-ը տրամադրում է մի շարք գործիքներ՝ օգնելու կազմակերպություններին արձագանքել անվտանգության միջադեպերին, օրինակ՝ ավտոմատացված վերականգնմանը: Սպառնալիքների որսորդները գտնում են, որ հարթակի արագությունը, որոնման հնարավորությունները և կիրառական սպառնալիքների հետախուզությունը անգնահատելի են՝ հետևելու հարձակվողներին, ովքեր կարող էին սայթաքել ճեղքերից: Սա օգնում է կազմակերպություններին արագ և արդյունավետ կերպով զսպել և մեղմել անվտանգության միջադեպերի ազդեցությունը:
  Google SecOps-ն ունի մի շարք առավելություններtagավանդական SIEM լուծումների համեմատ, ներառյալ՝
• Արհեստական ​​ինտելեկտ. Google SecOps-ն օգտագործում է Google-ի Gemini AI տեխնոլոգիան, որը պաշտպաններին հնարավորություն է տալիս վայրկյանների ընթացքում բնական լեզվով որոնել հսկայական քանակությամբ տվյալներ և ավելի արագ որոշումներ կայացնել՝ պատասխանելով հարցերին, ամփոփելով իրադարձությունները, որոնելով սպառնալիքները, ստեղծելով կանոններ և կատարելով առաջարկվող գործողություններ՝ հիմնվելով հետաքննության համատեքստի վրա: Անվտանգության թիմերը կարող են նաև օգտագործել Gemini-ն Անվտանգության օպերացիաներում՝ հեշտությամբ ստեղծելու պատասխան խաղային գրքույկներ, հարմարեցնելու կոնֆիգուրացիաները և ներառելու լավագույն փորձը, ինչը կօգնի պարզեցնել ժամանակատար առաջադրանքները, որոնք պահանջում են խորը փորձաքննություն:
• Կիրառական սպառնալիքների հետախուզությունGoogle SecOps-ը սկզբնապես ինտեգրվում է Google Threat Intelligence-ին (GTI), որը ներառում է VirusTotal-ի, Mandiant Threat Intelligence-ի և Google Threat ներքին հետախուզական աղբյուրների համակցված հետախուզությունը՝ օգնելու հաճախորդներին ավելի շատ սպառնալիքներ հայտնաբերել ավելի քիչ ջանքերով:
• ՄասշտաբայնությունGoogle SecOps-ը ամպի վրա հիմնված լուծում է, ուստի այն կարող է օգտագործել Google cloud-ի կողմից տրամադրված հիպերմասշտաբային ամպային ենթակառուցվածքը՝ բավարարելու ցանկացած կազմակերպության կարողությունները և կատարողականի կարիքները՝ անկախ չափից:
• Ինտեգրում Google Cloud-ի հետ. Google SecOps-ը սերտորեն ինտեգրված է Google Cloud-ի այլ արտադրանքների և ծառայությունների հետ, ինչպիսիք են Google Cloud Security Command Center Enterprise-ը (SCCE): Այս ինտեգրումը հեշտացնում է կազմակերպություններին կառավարել իրենց անվտանգության գործողությունները մեկ միասնական հարթակում: Google SecOps-ը լավագույն SIEM-ն է GCP ծառայության հեռաչափության համար, ինչպես նաև ներառում է տուփից դուրս հայտնաբերման բովանդակություն այլ խոշոր ամպային մատակարարների համար, ինչպիսիք են AWS-ը և Azure-ը:

Կիրառական սպառնալիքների հետախուզություն Google SecOps-ում
Google SecOps-ը թույլ է տալիս անվտանգության թիմերին կառավարել և վերլուծել անվտանգության տվյալները, որոնք ավտոմատ կերպով փոխկապակցված և հարստացված են սպառնալիքների տվյալների հետ: Անմիջապես ձեր SIEM-ի մեջ ինտեգրելով սպառնալիքների հետախուզությունը՝ կազմակերպությունները կարող են.

• Բարելավել հայտնաբերումը և տրաֆիկը. Սպառնալիքների տվյալները կարող են ուղղակիորեն օգտագործվել կանոններ ստեղծելու համար, որոնք կարող են օգնել իրական ժամանակում բացահայտել վնասակար գործողությունները: Այս տվյալները նաև օգտագործվում են այլ ծանուցումներին համատեքստ ավելացնելու և ահազանգի նկատմամբ վստահությունը ավտոմատ կերպով կարգավորելու համար: Սա օգնում է կազմակերպություններին արագ հայտնաբերել և ստուգել անվտանգության միջադեպերը և կենտրոնացնել իրենց ռեսուրսները ամենակարևոր սպառնալիքների վրա:
• Ընդլայնել հետաքննությունը և արձագանքը. Սպառնալիքների հետախուզությունը կարող է օգտագործվել անվտանգության հետաքննության ընթացքում համատեքստ և պատկերացումներ տրամադրելու համար: Սա կարող է օգնել վերլուծաբաններին արագ բացահայտել միջադեպի հիմնական պատճառը և մշակել և իրականացնել արդյունավետ արձագանքման ռազմավարություններ:
• Մնացեք սպառնալիքի լանդշաֆտից առաջ. Սպառնալիքների հետախուզությունը կարող է օգնել կազմակերպություններին առաջ մնալ սպառնալիքների լանդշաֆտից՝ տրամադրելով տեղեկատվություն վերջին սպառնալիքների և խոցելի կողմերի մասին: Այս տեղեկատվությունը կարող է օգտագործվել անվտանգության ակտիվ միջոցառումներ մշակելու և իրականացնելու համար, ինչպիսիք են սպառնալիքների որսը և անվտանգության իրազեկման ուսուցումը:

Վտանգների հայտնաբերում Google SecOps-ում
Google SecOps սպառնալիքների հայտնաբերումը հիմնված է Google-ի անվտանգության թիմերի առաջնագծի սպառնալիքների հետախուզության շարունակական հոսքի վրա: Այս ինտելեկտն օգտագործվում է կանոններ և ծանուցումներ ստեղծելու համար, որոնք կարող են իրական ժամանակում բացահայտել վնասակար գործողությունները: Google SecOps-ը նաև օգտագործում է վարքագծի վերլուծություն և ռիսկերի գնահատում՝ անվտանգության տվյալների մեջ կասկածելի օրինաչափությունները հայտնաբերելու համար: Սա թույլ է տալիս Google SecOps-ին հայտնաբերել սպառնալիքներ, որոնք հնարավոր չէ հայտնաբերել հայտնաբերման ավանդական կանոններով:

Վտանգների բարձր որակի հայտնաբերման արժեքը պարզ է: Google SecOps օգտագործող կազմակերպությունները կարող են օգտվել հետևյալից.

• Բարելավված հայտնաբերում և տրաֆիկ. Google SecOps-ը կարող է օգնել կազմակերպություններին արագ հայտնաբերել և ստուգել անվտանգության միջադեպերը: Սա թույլ է տալիս կազմակերպություններին կենտրոնացնել իրենց ռեսուրսները ամենակարևոր սպառնալիքների վրա:
• Ընդլայնված հետաքննություն և պատասխան. Google SecOps-ը կարող է ապահովել համատեքստ և պատկերացումներ անվտանգության հետաքննության ընթացքում: Սա կարող է օգնել վերլուծաբաններին արագ բացահայտել միջադեպի հիմնական պատճառը և մշակել և իրականացնել արդյունավետ արձագանքման ռազմավարություններ:
• Մնացեք սպառնալիքի լանդշաֆտից առաջ. Google SecOps-ը կարող է օգնել կազմակերպություններին առաջ մնալ սպառնալիքների լանդշաֆտից՝ տրամադրելով տեղեկատվություն վերջին սպառնալիքների և խոցելիության մասին: Այս տեղեկատվությունը կարող է օգտագործվել անվտանգության ակտիվ միջոցառումներ մշակելու և իրականացնելու համար, ինչպիսիք են սպառնալիքների որսը և անվտանգության իրազեկման ուսուցումը:

SIEM միգրացիա

Այսպիսով, դուք որոշել եք քայլ կատարել: Միգրացիայի նկատմամբ ձեր մոտեցումը կարևոր է ապահովելու համար, որ դուք պահպանում եք անհրաժեշտ հնարավորությունները և սկսեք որքան հնարավոր է շուտ արժեք կորզել նոր հարթակից: Դա վերաբերում է առաջնահերթություններին: Տիպիկ փոխզիջում է այն գիտակցումը, որ թեև SIEM միգրացիան հնարավորություն է արդիականացնելու հետաքննության, հայտնաբերման և արձագանքման ձեր ողջ մոտեցումը, շատ SIEM միգրացիաներ ձախողվում են, քանի որ կազմակերպությունները փորձում են «եռացնել օվկիանոսը»:

Այսպիսով, ահա մեր լավագույն խորհուրդները՝ ձեր հաջողակ SIEM միգրացիան պլանավորելու և իրականացնելու համար.

• Սահմանեք ձեր միգրացիոն նպատակները: Սա ակնհայտ է թվում, բայց ձեր SIEM միգրացիան երկար գործընթաց է, ուստի ձեր ցանկալի արդյունքների սահմանումը (օրինակ՝ սպառնալիքների ավելի արագ հայտնաբերում, համապատասխանության ավելի հեշտ հաշվետվություն, տեսանելիության բարելավում, վերլուծաբանների աշխատանքի կրճատում, միաժամանակ ծախսերի իջեցում) խիստ փոխկապակցված է հաջողության հետ:
• Միգրացիան օգտագործեք որպես տուն մաքրելու հնարավորություն։ Սա լավ ժամանակ է մաքրելու համար ձեր հայտնաբերման կանոնները և մատյանների աղբյուրները և տեղափոխեք միայն դրանք, որոնք իրականում օգտագործում եք: Լավ ժամանակ է նաև կրկինview ձեր ազդանշանային տրաֆիկի և թյունինգի գործընթացները և համոզվեք, որ դրանք արդիական են:
• Մի տեղափոխեք գրանցամատյանների յուրաքանչյուր աղբյուր: Նոր SIEM-ին անցնելը հիանալի հնարավորություն է որոշելու, թե ինչ տեղեկամատյաններ են ձեզ անհրաժեշտ՝ լինի դա համապատասխանության, թե անվտանգության նկատառումներով: Շատ կազմակերպություններ ժամանակի ընթացքում կուտակում են գրանցամատյանների հսկայական քանակություն, և դրանք ոչ բոլորն են անպայման արժեքավոր կամ համապատասխան: Ժամանակ հատկացնելով գնահատելու ձեր մատյան աղբյուրները, նախքան դրանք տեղափոխելը, դուք կարող եք պարզեցնել ձեր SIEM-ը և կենտրոնանալ այն տվյալների վրա, որոնք ամենակարևորն են ձեր անվտանգության և համապատասխանության կարիքների համար:
• Մի տեղափոխեք ամբողջ բովանդակությունը: Ձեր ամբողջ առկա հայտնաբերման բովանդակությունը, կանոնները, ծանուցումները, վահանակները, վիզուալիզացիաները և խաղային գրքերը նոր SIEM տեղափոխելը միշտ չէ, որ անհրաժեշտ է: Ժամանակ հատկացրեք գնահատելու ձեր ընթացիկ հայտնաբերման ծածկույթը և առաջնահերթություն տվեք ձեզ անհրաժեշտ կանոնների միգրացիային: Դուք հնարավորություններ կգտնեք համախմբելու կանոնները, վերացնելու կանոնները, որոնք երբեք չեն կարող գործել հեռաչափության բացակայության կամ սխալ տրամաբանության պատճառով, կամ կանոններ, որոնք ավելի լավ են մշակվում առանց բովանդակության: Հարցրեք ցանկացած վաճառողի կամ տեղակայման գործընկերոջ, ով պաշտպանում է մեկ առ մեկ կանոնների միգրացիան:
• Առաջնահերթություն տվեք բովանդակության վաղ միգրացիային: Անմիջապես սկսեք հայտնաբերման բովանդակության միգրացիան, երբ առկա են տեղեկամատյանների աղբյուրները և հարստացումները, որոնք անհրաժեշտ են օգտագործման յուրաքանչյուր կոնկրետ դեպքի համար: Տվյալների վրա հիմնված այս մոտեցումը, աղբյուրները համապատասխանեցնելով օգտագործման դեպքերին, հնարավորություն է տալիս զուգահեռ միգրացիոն ջանքեր գործադրել օպտիմալ արդյունավետության և արդյունքների համար:
• Բովանդակության հայտնաբերման միգրացիան մարդու կողմից ղեկավարվող գործընթաց է: Պատրաստվեք վերականգնելու հայտնաբերման բովանդակությունը (կանոններ, ծանուցումներ, վահանակներ, մոդելներ և այլն) (հիմնականում) զրոյից՝ օգտագործելով ձեր հին բովանդակությունը որպես ոգեշնչում: Այսօր գոյություն չունի կանոնները մի SIEM հարթակից մյուսը ավտոմատ կերպով փոխակերպելու անխոհեմ մեթոդ: Թեև որոշ վաճառողներ առաջարկում են շարահյուսական թարգմանիչներ, դրանք սովորաբար հանգեցնում են լավ ցատկելու կետի, այլ ոչ թե կատարյալ թարգմանված կանոնների, որոնման կամ վահանակի: Դուք պետք է առավելագույն առաջնահերթություն վերցնեքtagայս գործիքներից, բայց գիտակցեք, որ դրանք համադարման չեն:
• Հայտնաբերման բովանդակությունը գալիս է բազմաթիվ աղբյուրներից: Վերլուծեք ձեր հայտնաբերման ծածկույթի կարիքները, ապա ընդունեք կամ ստեղծեք ձեր հայտնաբերման օգտագործման դեպքերը, ըստ անհրաժեշտության: Ձեր SIEM վաճառողը կտրամադրի որոշակի բովանդակություն, որը դուք միշտ պետք է օգտագործեք, եթե կարող եք: Հաշվի առեք նաև համայնքի կանոնների պահոցները և երրորդ կողմի հայտնաբերման բովանդակության մատակարարները: Անհրաժեշտության դեպքում գրեք ձեր սեփական կանոնները և հիշեք կանոնների մեծ մասը, անկախ դրանց ծագումից, պետք է համապատասխանեցվեն ձեր կազմակերպության հատուկ միջավայրին:
• Մշակել իրատեսական միգրացիայի ժամանակացույց: Սա ներառում է տվյալների փոխանցման, փորձարկման, թյունինգի, ուսուցման և հնարավոր համընկնումների հաշվառում, որտեղ կարող է անհրաժեշտ լինել երկու համակարգերն էլ զուգահեռ գործարկել: Հստակ սահմանված միգրացիոն պլանը կօգնի ձեզ բացահայտել և նվազեցնել ռիսկերը և ապահովել, որ միգրացիան հաջողությամբ ավարտվի: Պլանը պետք է ներառի մանրամասն ժամանակացույց, առաջադրանքների ցանկ, ռեսուրսներ և բյուջե: Ընդունեք, որ խոշոր նախագծերը, ինչպիսիք են SIEM միգրացիան, պետք է բաժանվեն փուլերի:
• Փորձարկում. Մենք խորհուրդ ենք տալիս փորձարկել ձեր SIEM-ի և հայտնաբերման բովանդակությունը՝ կանոնավոր կերպով ներարկելով տվյալներ, որոնք կգործարկեն ձեր հայտնաբերումները, ստուգելով վերլուծությունը և վավերացնելով տվյալների հոսքը հայտնաբերումից դեպքից պատասխան գրքույկ: SIEM-ի միգրացիան կատարյալ ժամանակն է խիստ ռեժիմ ընդունելու համար հայտնաբերման ինժեներական ծրագիր որը ներառում է նման փորձարկում:
• Պատրաստվեք անցումային շրջանին, որի ընթացքում կգործարկեք ինչպես հին, այնպես էլ նոր գործիքները: Խուսափեք խանգարող «պատռել և փոխարինել» մոտեցումից: Փուլային միգրացիան, որտեղ դուք տեղափոխում եք մատյանների աղբյուրները և օգտագործում դեպքերը, աստիճանաբար օգնում է վերահսկել գործընթացը և նվազեցնում ռիսկը: Նաև երկու անգամ մտածեք ձեր հին SIEM-ի տվյալները նորի մեջ նորից կուլ տալու մասին: Որոշ դեպքերում, դուք կարող եք հնարավորություն ունենալ թողնել նախորդ SIEM-ն աշխատել երկար ժամանակով, որպեսզի թույլատրեք մուտք գործել պատմական տվյալներ:
• Միացրեք ձեր թիմերը: Ձեր SIEM միգրացիան չի հաջողվի, եթե ձեր վերլուծաբանները չկարողանան օգտագործել նոր համակարգը: Լավ միգրացիոն պլանը կներառի ձեր թիմերի խորը հնարավորությունները: Մտածեք ինժեներների վերապատրաստման մասին տվյալների ներբեռնման և վերլուծության, վերլուծաբանների վերապատրաստման մասին դեպքերի կառավարման/հետաքննության/տրիաժի, սպառնալիքների որսորդների՝ անոմալիաների հայտնաբերման/որոնման և հայտնաբերման ինժեներների մասին կանոնների գրման վերաբերյալ: Ժամանակը կարևոր է միացման համար: Ավելի լավ է անձնակազմին վերապատրաստել, քանի որ նրանք ձեռնամուխ են լինում միգրացիայի որոշակի փուլերին, այլ ոչ թե վերապատրաստում նախքան այդ հմտությունները պահանջելը:
• Ստացեք օգնություն: Եթե ​​դուք հաջողակ եք (կամ գուցե դժբախտ եք) որպես պրակտիկ մասնագետ կամ առաջնորդ, ապա ձեր կարիերայի ընթացքում գուցե անցած կլինեք մեկ կամ երկու SIEM միգրացիայի միջով: Ինչու՞ օգնություն չդիմել մասնագետներին, ովքեր դա արել են տասնյակ կամ հարյուրավոր անգամներ: Վաճառողի կողմից մասնագիտական ​​ծառայությունների թիմերը և/կամ որակավորված ծառայությունների գործընկերների խորհրդատվական թիմերը հիանալի ընտրություն են: SIEM միգրացիաները հիմնականում մարդակենտրոն ջանքեր են:

Հիմնական գործընթաց. Ընտրեք տեղակայման գործընկեր
Ոչ մի որոշում ավելի մեծ ազդեցություն չի ունենա SIEM միգրացիայի վերջնական հաջողության վրա, քան տեղակայման գործընկերոջ ընտրությունը: SIEM հարթակները լայնածավալ, բարդ, ձեռնարկատիրական համակարգեր են: Մի փորձեք մենակ գնալ. մնում է տեղակայման գործընկերոջ հետ, ով անցել է բազմաթիվ միգրացիաների միջով:

Տեղակայման գործընկերը կարող է պարզապես լինել նոր SIEM վաճառողի մասնագիտական ​​ծառայությունների թեւը: Այնուամենայնիվ, ավելի տարածված է երրորդ կողմի գործընկեր ընտրելը միգրացիայի իրականացման համար: Հիշեք, որ SIEM միգրացիան մարդու կողմից ղեկավարվող նախաձեռնություն է: Նոր SIEM-ում սերտիֆիկացումներով գործընկեր ընտրելը և բազմաթիվ հեղինակավոր գործընկերներ լավագույնն է: Այն նաև օգնում է, եթե նրանք փորձ ունեն SIEM-ում, որտեղից դուք արտագաղթում եք: Հղումներից բացի, ձեր նոր SIEM-ի հետ գործընկերոջ փորձի մակարդակը որոշելու խելացի միջոց է ստուգել համայնքի ֆորումները՝ տեսնելու, թե արդյոք թիմը ակտիվ ներդրում է ունեցել: Հեղինակների կարծիքով, բարձր ներգրավված գործընկեր անձնակազմը փոխկապակցված է SIEM-ի հաջող միգրացիաների հետ: Բացի SIEM միգրացիայի տեխնիկական բիթերից և բայթերից, դուք կարող եք նաև ընտրել գործընկերներ, ովքեր հատուկ փորձ ունեն ձեր ոլորտի ուղղահայաց, կամ ձեր համապատասխանության միջավայրում կամ ոլորտում: ձեր տարածաշրջանը, կամ բոլոր երեքը: Դուք կարող եք նախապես փնտրել լեզվական հմտություններ և ռեսուրսներtageous ժամային գոտիներ. Դուք կարող եք նաև փնտրել գործընկերներ, որոնք կգործարկեն ձեր SIEM-ը ձեզ համար, կամ ովքեր նման արդյունքներ են տալիս որպես կառավարվող անվտանգության ծառայություններ մատուցող, որը կարող է մասնակիորեն կամ ամբողջությամբ փոխանցել ձեր կազմակերպության SIEM-ը:

Հիմնական գործընթաց. Փաստաթղթերի ընթացիկ կոնֆիգուրացիա և օգտագործման դեպքեր
SIEM-ի տեղակայումները սովորաբար ընդարձակ են՝ տարիներ շարունակ օգտագործման ընթացքում կայուն աճող ծավալով և բարդությամբ: Պատրաստվեք փոքր փաստաթղթերի կամ առանց փաստաթղթերի: Սպասեք, որ անձնակազմը, որն իրականացրել է SIEM-ի նախնական կազմաձևումը և հարմարեցումը, հաճախ վաղուց արդեն անհետացել են: Միգրացիոն գործընթացի սկզբում կազմաձևման և հնարավորությունների մանրակրկիտ փաստագրումը կարող է նշանակել հաջողության և ձախողման միջև տարբերություն:

• Փաստաթղթավորեք ինքնությունը և մուտքի կառավարումը, որն օգտագործվում է SIEM-ի կողմից: Դուք, անշուշտ, պետք է պահպանեք որոշակի դերի վրա հիմնված մուտք դեպի տվյալներ և հնարավորություններ: Մյուս կողմից, միգրացիան հնարավորություն է վերլուծելու և լուծելու մուտքի տարածումը, որը բնականաբար տեղի է ունենում կազմակերպությունների մեծ մասում: Դուք կարող եք նաև դիտարկել միգրացիայի գործընթացը որպես նույնականացման/լիազորման մեթոդների արդիականացման հնարավորություն, ներառյալ կորպորատիվ ստանդարտներով ինքնությունը դաշնակցելու և բազմագործոն նույնականացման իրականացումը:
• Գրեք հավաքագրվող տվյալների տեսակների անունները: Նկատի ունեցեք, որ որոշ SIEM-ներ այս անուններն անվանում են «sourcetype» կամ «logtype»: Նկարագրեք, թե յուրաքանչյուր տվյալների տիպի որքան տվյալ է հոսում, օգտագործելով գիգաբայթ/օր որպես չափիչ: Փաստաթղթավորեք տվյալների խողովակաշարը յուրաքանչյուր տվյալների աղբյուրի համար (գործակալի վրա հիմնված, API հարցում, web կեռիկ, ամպի դույլի ընդունում, ներծծման API, HTTP լսող և այլն) և ֆիքսեք SIEM-ի վերլուծիչի կոնֆիգուրացիան ցանկացած հարմարեցումների հետ մեկտեղ:
• Հավաքեք պահպանված որոնումները, վահանակի սահմանումները և հայտնաբերման կանոնները: Շատ SIEM-ներ ունեն նաև տվյալների պահպանման մշտական ​​մեխանիզմներ, ինչպիսիք են որոնման աղյուսակները: Համոզվեք, որ հասկանաք և փաստագրեք, թե ինչպես են դրանք բնակեցված և օգտագործվում:
• Կատարեք արտաքին համակարգերի հետ ինտեգրումների գույքագրում: Շատ SIEM-ներ ինտեգրվում են դեպքերի կառավարման համակարգերի, հարաբերական տվյալների բազաների, ծանուցման ծառայությունների (էլ.փոստ, SMS և այլն) և սպառնալիքների հետախուզական հարթակների հետ:
• Լուսանկարեք պատասխանների բովանդակությունը, ինչպիսիք են խաղային գրքերը, դեպքերի կառավարման ձևանմուշները և բոլոր ակտիվ ինտեգրումները, որոնք դեռևս փաստաթղթավորված չեն:

Այս կարևոր տեխնիկական մանրամասները հավաքելուց բացի, կարևոր է ժամանակ հատկացնել ինտերֆեյսինview գոյություն ունեցող SIEM-ի օգտվողները՝ հասկանալու իրենց աշխատանքային հոսքերը: Հարցրեք, թե ինչպես են նրանք օգտագործում SIEM-ը, ինչ ստանդարտ գործառնական ընթացակարգեր են հիմնված SIEM-ի վրա: Կարևոր է նաև տալ լայն հարցեր, ինչպիսիք են, թե անվտանգության ոլորտից դուրս որ թիմերը կարող են օգտագործել SIEM-ը: ՆախampԲացի այդ, հազվադեպ չէ, երբ համապատասխանության թիմերը կամ ՏՏ գործառնությունների անձնակազմը ապավինում են SIEM-ին: Օգտագործման այս դեպքերը չգրանցելը կարող է հետագայում միգրացիայի գործընթացում բաց թողնված ակնկալիքներ առաջացնել:

Հիմնական գործընթաց. մատյանների աղբյուրի միգրացիա
Մատյանների աղբյուրի միգրացիան ներառում է տվյալների աղբյուրների տեղափոխումը հին SIEM-ից նոր SIEM: Այս գործընթացը կախված է ընթացիկ կոնֆիգուրայի փաստաթղթերից, որոնք հավաքված են Գործընթաց. Փաստաթղթի ընթացիկ կազմաձևում և օգտագործում բաժինը։

Հետևյալ քայլերը սովորաբար ներգրավված են մատյան աղբյուրի միգրացիայի գործընթացում.

1. Հայտնաբերում և գույքագրում. Առաջին քայլը տեղեկամատյանների բոլոր աղբյուրների հայտնաբերումն ու գույքագրումն է, որոնք ներկայումս ներծծվում են հին SIEM-ի կողմից: Դա կարելի է անել տարբեր մեթոդների կիրառմամբ, օրինակ՝ ռեviewSIEM-ի կոնֆիգուրացիան files կամ օգտագործելով API-ներ և հարակից գործիքներ:
2. ԱռաջնահերթությունԵրբ մատյանների աղբյուրները հայտնաբերվեն և գույքագրվեն, դրանք պետք է առաջնահերթ լինեն միգրացիայի համար: Սա կարող է արվել մի շարք գործոնների հիման վրա, ինչպիսիք են տեղեկամատյան աղբյուրի վերլուծությունը, տվյալների ծավալը, տվյալների կարևորությունը, համապատասխանության պահանջները և միգրացիայի գործընթացի բարդությունը:
3. Միգրացիայի պլանավորում. Հենց որ մատյանների աղբյուրները առաջնահերթություն ստանան, պետք է մշակվի միգրացիոն պլան:
4. Միգրացիայի իրականացում. Այնուհետև միգրացիայի գործընթացը կարող է իրականացվել պլանի համաձայն: Սա կարող է ներառել մի շարք առաջադրանքներ, ինչպիսիք են նոր SIEM-ում հոսքերի կարգավորումը, գործակալների տեղադրումը, API-ների կազմաձևումը և այլն:
5. Փորձարկում և վավերացում. Միգրացիան ավարտվելուց հետո կարևոր է ստուգել և հաստատել, որ գրանցամատյանի տվյալները պատշաճ կերպով ներծծվում են: Օգտագործեք սա որպես հնարավորություն կարգավորելու ծանուցումը տվյալների աղբյուրների համար, որոնք լռել են:
6. Փաստաթղթեր: Վերջապես, կարևոր է փաստաթղթավորել նոր մատյան աղբյուրի կազմաձևումը:

Հիմնական գործընթաց. Միգրացիայի հայտնաբերման և արձագանքման բովանդակություն
SIEM-ի հայտնաբերման և պատասխանի բովանդակությունը բաղկացած է կանոններից, որոնումներից, գրքույկներից, վահանակներից և այլ կոնֆիգուրացիաներից, որոնք սահմանում են, թե ինչի մասին է ձեր SIEM ծանուցումները և ինչպես է այն օգնում վերլուծաբաններին կարգավորել այդ ահազանգերը: Առանց պատշաճ կազմաձևված բովանդակության, SIEM-ը պարզապես որոնելու շքեղ միջոց է: Դա «թանկ grep» է. մի տերմին, որը հեղինակների գործընկերը հորինել է մի քանի տարի առաջ: SIEM բովանդակությունը առանցքային դեր է խաղում ձեր կազմակերպության բացահայտումների ծածկույթը սահմանելու հարցում:

• Անվտանգության միջադեպերը բացահայտելու համար օգտագործվում են հայտնաբերման կանոններ: Հայտնաբերող ինժեներները, ովքեր խորը գիտելիքներ ունեն անվտանգության սպառնալիքների դերակատարների և նրանց համար ընդհանուր մարտավարության, տեխնիկայի և ընթացակարգերի (TTP) մասին, գրում են դրանք: Հայտնաբերման կանոնները փնտրում են օրինաչափություններ, որոնք ներկայացնում են այս TTP-ները գրանցամատյանում: Հայտնաբերման կանոնները հաճախ փոխկապակցում են տեղեկամատյանների տարբեր աղբյուրներ և օգտագործում սպառնալիքների հետախուզական տվյալները:
• Արձագանքման գրքույկներն օգտագործվում են անվտանգության ազդանշաններին արձագանքելու ավտոմատացման համար: Դրանք կարող են ներառել այնպիսի առաջադրանքներ, ինչպիսիք են ծանուցումներ ուղարկելը, վտանգված հոստերերի մեկուսացումը, ծանուցումները համատեքստային տվյալների/սպառնալիքների հետախուզությամբ հարստացնելը և վերականգնման սկրիպտների գործարկումը:
• Վահանակները օգտագործվում են անվտանգության տվյալները պատկերացնելու և անվտանգության միջադեպերի կարգավիճակը հետևելու համար: Դրանք կարող են օգտագործվել կազմակերպության անվտանգության ընդհանուր դիրքը վերահսկելու և միտումներն ու օրինաչափությունները բացահայտելու համար:
• Նոր հայտնաբերման և արձագանքման բովանդակության մշակումը կրկնվող գործընթաց է: Կարևոր է շարունակաբար վերահսկել SIEM-ը և անհրաժեշտության դեպքում ճշգրտումներ կատարել բովանդակության մեջ: SIEM միգրացիան հիանալի ժամանակ է բարելավելու ձեր գործընթացները՝ օգտագործելով այնպիսի մոտեցումներ, ինչպիսիք են հայտնաբերումը որպես կոդ (DaC):

Հիմնական գործընթաց. ուսուցում և ակտիվացում
SIEM միգրացիայի ժամանակ հաճախ անտեսված գործընթաց է օգտվողների ուսուցումը: SIEM-ը, թերեւս, ամենակարևոր միակ գործիքն է, որն օգտագործում է անվտանգության օպերացիոն թիմը: Այն արդյունավետ և արդյունավետ օգտագործելու նրանց կարողությունը մեծ դեր կխաղա միգրացիայի հաջողության և ձեր կազմակերպությունը պաշտպանելու կարողության մեջ: Վստահեք ձեր SIEM մատակարարին և տեղակայման գործընկերոջը՝ վերապատրաստման բովանդակություն և առաքում ապահովելու համար: Ահա թեմաների համառոտ ցանկը, որոնցում ձեր թիմերը պետք է միացված լինեն:

• Մատյանների կերակրման ընդունում և վերլուծություն
• Որոնում / Հետաքննություն
• Գործի կառավարում
• Կանոնների հեղինակում
• Վահանակի մշակում
• Խաղագիրք / Ավտոմատացում

Եզրակացություն

• Ի վերջո, միգրացիան ժառանգական SIEM-ից դեպի ժամանակակից լուծում անխուսափելի է: Թեև մարտահրավերները կարող են սարսափելի թվալ, սակայն լավ ծրագրված և իրականացված միգրացիան կարող է հանգեցնել սպառնալիքների հայտնաբերման, արձագանքման կարողությունների և ընդհանուր անվտանգության դիրքորոշման զգալի բարելավումների:
• Զգուշորեն դիտարկելով նոր SIEM-ի ընտրությունը, օգտագործելով ամպային բնիկ ճարտարապետության ուժեղ կողմերը, ներառելով առաջադեմ սպառնալիքների հետախուզություն և օգտագործելով AI-ի վրա հիմնված հատկանիշները, կազմակերպությունները կարող են իրենց անվտանգության թիմերին հնարավորություն տալ ակտիվորեն պաշտպանվել անընդհատ զարգացող սպառնալիքներից: Հաջողակ միգրացիոն գործընթացը ներառում է մանրակրկիտ պլանավորում, համապարփակ փաստաթղթեր, տեղեկամատյանների աղբյուրների և բովանդակության ռազմավարական միգրացիա, մանրակրկիտ փորձարկում և օգտատերերի համապարփակ ուսուցում:
• Տեղակայման փորձառու մասնագետների հետ համագործակցությունը կարող է անգնահատելի լինել բարդություններին կողմնորոշվելու և սահուն անցում ապահովելու համար: Շարունակական կատարելագործման հանձնառությամբ և հայտնաբերման ճարտարագիտության վրա կենտրոնանալով՝ կազմակերպությունները կարող են ամբողջությամբ օգտագործել
• իրենց նոր SIEM-ի ներուժը և ամրապնդել նրանց անվտանգության պաշտպանությունը գալիք տարիների ընթացքում:

Լրացուցիչ ընթերցում

• «Ինչպես Google SecOps-ը կարող է օգնել մեծացնել ձեր SIEM Stack» թերթը
• «SOC-ի ապագան. էվոլյուցիա կամ օպտիմիզացում. ընտրիր քո ուղին» թուղթ
• Google Cloud Security Համայնքի բլոգ
• Detection Engineering Weekly Newsletter
• հայտնաբերել.fyi - Գործնական կենտրոնացված խորհուրդներ հայտնաբերման ճարտարագիտության վերաբերյալ
• Ինչպես սկսել «Detection-as-Code» և «Google Security Operations» – Դեյվիդ Ֆրենչ (Մաս առաջին, մաս երկրորդ)
• Ժամանակակից հայտնաբերման ինժեներական աշխատանքային հոսքի իրականացում – Դեն Լուսիեր (Մաս առաջին, մաս երկրորդ, մաս երրորդ)

Լրացուցիչ տեղեկությունների համար այցելեք cloud.google.com

ՀՏՀ

Հարց: Ո՞րն է Մեծ SIEM միգրացիայի ուղեցույցի նպատակը:
Ուղեցույցը նպատակ ունի օգնել կազմակերպություններին անցում կատարել հնացած SIEM լուծումներից դեպի սպառնալիքների հայտնաբերման և արձագանքման ավելի նոր, ավելի արդյունավետ տարբերակներ:

Հարց. Ինչպե՞ս կարող եմ օգուտ քաղել ամպային բնիկ SIEM-ից:
A. Cloud-ի բնիկ SIEM-ներն ապահովում են ընդլայնելիություն, ծախսարդյունավետություն և արդյունավետ անվտանգություն ամպային ծանրաբեռնվածության համար՝ շնորհիվ իրենց ճարտարապետության և հնարավորությունների: