公共部门的 SIEM 买家指南

公共部门的SIEM买家指南 通过现代化的数据驱动型解决方案加强您机构的网络安全 表的内容 SIEM是什么?3. SIEM做什么?4 遗留siem恐龙4 还有什么是在吗?6 一个数据驱动的进化SIEM6 现代SIEM必需品7 5现代的重要功能SIEM7 七个必备SIEM策略8 Splunk的公共部门13 Splunk作为你的SIEM14 Uplevel你SIEM14 建立一个强大的基金会16 让我们来谈谈实际ROI17 不会过时的你SIEM21 利用数据对公众的力量部门21 对于保护公共部门来说，这是一个充满挑战的新时代。技术正在以创纪录的速度变化，网络威胁在不断发展，政府机构对无缝数字服务、创新和技术集成的需求呈指数级增长。数字化转型已经从优先事项变为势在必行，IT和网络安全的现代化战略现在是联邦机构以及州和地方政府的关键任务。是什么推动了最关键的创新？加速云和混合技术以及数据的力量。 现在，公民比以往任何时候都更加依赖政府提供关键服务——从COVID-19检测和疫苗接种到保护抵御网络攻击以管理福利等。这些关键服务需要数字系统，这些系统既能生成依赖大量数据，必须保持安全的数据和有效管理。如果加以利用，这些数据也可以成为战略数据公共部门的资产。 为了在混合世界中蓬勃发展，各种组织都需要强大、灵活和快速的解决方案，这些解决方案由数据提供支持。 凭借强大的数据和技术基础，政府机构可以快速响应遇到的任何问题，保护其组织免受不断变化的威胁，并利用其数据进行创新。 然而，由于四个主要挑战，许多组织和政府机构都在努力充分利用其数据的力量： •数据量和复杂性：由数百个数据推动的庞大数据和日益复杂的数字交互后端微服务（通常使用遗留系统）可以快速变得难以管理。 •数据孤岛：团队内部和团队之间的工具太多，并且机构，数据往往是零散的，难以看到，这导致了效率低下和脆弱性。 •缺乏跨流程或机构的可见性：没有上下文数据，很难端到端地跟踪运营流程，因此更难找到根本原因并找到优化方法。 •安全性和合规性法规：不断变化的安全性、隐私和合规性法规，尤其重要对于政府机构来说，很难确保正确的在正确的时间通过正确的治理访问数据。 因此，各机构难以从其数据中获取见解并采取行动。这太耗时和资源密集型了。 但有一个解决方案：各种组织，包括公共部门的组织，都可以通过采用正确的安全信息事件管理（SIEM）解决方案来应对这些挑战，加强网络安全，并利用数据的力量，该解决方案是基于云的和数据驱动的。 SIEM是什么? SIEM解决方案就像飞行员的雷达系统。与飞行员一样，帮助驾驶安全运营中心（SOC）的分析师需要雷达来安全地导航周围的事物、前方情况以及可能隐藏在视线之外的事物。 SIEM解决方案是一个安全平台，可帮助SOC分析师全面了解企业IT并发现隐藏在他们所保护的系统角落的安全威胁。没有它，他们就会盲目飞行。 而安全应用和网络安全及系统软件捕获并记录孤立的攻击和异常行为，当今最 严重的威胁是分布式的，仅靠这些工具无法捕获。黑客在多个系统中协同攻击，并使用先进的规避技术来避免检测。 攻击者还利用压力大的情况来利用弱点 —例如，在全球范围内立即转向远程工作的情况大流行病。在紧急过渡期间，SOC团队的任务是确保系统安全，但无法亲自访问他们所依赖的安全工具和流程。 像这样的情况就是现代SIEM解决方案比以往任何时候都更加重要的原因。如果没有正确的SIEM，网络攻击可能会恶化并演变成灾难性事件，即使是最好的SOC分析师也无法预见。当他们发现漏洞（如勒索软件或供应链攻击）时，他们所能做的就是损害控制，并开始寻找新的CISO。 在本买家指南中，我们将深入探讨SIEM解决方案到底是什么，它的作用，它与其他工具有何不同，以及如何找到合适的SIEM您的组织的解决方案。 公共部门的SIEM买家指南|Splunk3 SIEM做什么? Gartner将SIEM解决方案定义为“支持威胁的技术”通过实时收集和历史分析来自各种事件和上下文数据源的安全事件，进行检测和安全事件响应。 借助现代SIEM，分析师可以解决三大安全挑战： • • • 缺乏对组织实时状态的可见性安全——通常被称为安全姿势。 尝试减少分析师看到的误报安全警报的数量，确定它们的优先级，然后提高检测和调查的速度。 缺乏对不同类型部署的灵活性或支持环境、技术工具和威胁情报。 基本上，SIEM解决方案可帮助SOC分析师更好地完成工作。这是一种安全引入事件日志并为其提供数据的单一视图的平台，更多的洞察力。 那么，组织如何在没有暹粒解决方案？从历史上看，他们使用“遗留”解决方案，各种观点解决方案以及扩展检测和响应（XDR）等工具，结果好坏参半。让我们简要探讨这些选项，然后关注更多现代SIEM有效的解决方案。 遗留siem恐龙 好吧，不是字面意思，但传统的SIEM技术并不是为了跟上当今不断变化的安全挑战而构建的。由于环境封闭且可以引入的数据有限，因此查询和调查速度很慢，并且无法扩展以满足业务和任务需求。 许多投资SIEM平台的企业IT组织都很难发现这一点。在花了很多钱之后，他们了解到这需要将所有数据引入旧版SIEM需要很长时间，并且用于创建SIEM的基础数据系统往往是静态的。虽然有一个市场上用于收集、存储和分析的无数软件选项仅安全数据，只有少数可以将这些数据转化为可操作的情报，而旧版SIEM不是其中之一。 然后是速度问题。您的SOC分析师不能承受宝贵的损失当出现安全警报和旧版SIEM解决方案无法跟上他们需要调查数据的步伐时。 更糟糕的是，传统SIEM只能提供对安全数据的见解，而安全数据使得很难将安全事件与整个IT环境的其余部分。这在十年前可能有效，但在我们的混合世界中并非如此，一些员工远程工作，其他人则自带设备到办公室，两者之间的一切都连接并生成安全的数据——所有这些都是至关重要的。 特别是随着当今云服务的快速采用，威胁向量不断扩大，当今的组织需要监控用户活动，跨关键云和软件即服务的行为和应用程序访问（SaaS）解决方案，而不仅仅是本地服务，用于确定潜在威胁和攻击的全部范围。 七个理由来代替你的旧SIEM 组织通常绑定到传统SIEM的过时体系结构，这些体系结构通常使用具有固定架构的SQL数据库。这些数据库可能会成为单点故障，或者受到规模和性能限制。 1.有限的安全类型 通过限制引入的数据类型，检测、调查和响应时间受到限制。 2.无法有效地摄取数据 使用旧版SIEM，数据引入可能是一个费力的过程，也可能非常昂贵。 3.缓慢的调查 使用旧版SIEM，基本操作（如原始日志搜索）可以执行大量的时间-通常需要数小时和数天才能完成。 4.不稳定和可伸缩性 基于SQL的数据库越大，它们的稳定性就越差。客户经常遭受性能不佳或大量客户的困扰把服务器峰值的中断事件。 5.临终或者不确定的路线图 随着传统SIEM供应商改变所有权，研发速度放缓。如果没有持续的投资和创新，安全解决方案就无法跟上不断增长的威胁形势。 6.封闭的生态系统 传统SIEM供应商通常缺乏与市场。客户被迫使用SIEM中包含的内容，或在定制开发和专业服务上花费更多。 7.局限于本地 旧版SIEMS通常仅限于本地部署。安全从业人员必须能够使用云、多云、本地和混合工作负载。 还有什么呢? 真相就在那里...但是让我们从点解决方案的真相开始与平台解决方案相比。如果单点解决方案供应商告诉您，那就是在撒谎他们可以做现代SIEM解决方案可以做的事情。它们通常可以很好地完成一两件事，但它们也会在SOC中增加复杂性。单点解决方案需要额外的配置和管理，它们将可能需要与现有技术堆栈集成。而且没有 一种理解组织数据的集中方式，您的SOC分析师正在盲目飞行。 然后你有XDR-一个新兴的解决方案，产生了很多（营销）嗡嗡声。但你不能总是相信炒作。XDR是终结点检测和响应（EDR）的演变，传统上，终结点检测和响应（EDR）用作SIEM解决方案的附加数据源，而不是替代它。虽然XDR可以与现代SIEM结合使用，但仅靠XDR无法解决问题。 无法了解公司的安全状况会使SOC分析师的工作几乎不可能。您要做的最后一件事就是让SOC分析师的生活更加艰难，因为没有足够的优秀SOC分析师来四处走动。让我们面对现实吧，自大流行开始以来 ，永恒的安全技能短缺只会变得更糟。 回到雷达系统：没有可见性，安全调查只能触及真正事件解决的表面，从而导致更多的漏洞。您的组织的可见性越低，它越容易受到备受瞩目的违规行为的影响，这可能会造成数百万美元的损失美元及其声誉。没有首席执行官希望在彭博社的头条新闻中看到他们公司的名字——也没有首席信息安全官愿意解释为什么会发生这种情况。 一个数据驱动SIEM的进化 称之为适者生存。随着遗留的SIEM停留在过去，而新的现代SIEM只能解决部分问题的解决方案必须发展成为强大的、分析驱动的解决方案，以跟上当今攻击的复杂性和速度。 如今，SOC分析师需要的是一种在所有安全相关数据中关联信息的简单方法。使IT能够轻松管理其安全状况的解决方案。SOC分析师必须能够预测可能潜伏的威胁，并采取措施实时限制公司的漏洞。为此，企业需要一个以数据为中心的现代SIEM解决方案，使分析师能够全面了解其企业生成的数据，该解决方案不仅适用于日志数据和用于数据分析的简单关联规则。领先的SIEM解决方案现在将事件日志的长期存储与实时监视相结合 ，让您的团队全面了解组织的安全状况。 现代SIEM必需品 Gartner的安全信息和事件管理魔力象限实际上是任何探索SIEM市场的人的必读书。随着报告的发展，它已经发展到包括开源SIEM供应商和更广泛类别的其他新进入者。那么，如何判断解决方案是否是真正的交易呢？ 在《安全信息和事件管理的关键功能》报告中，Gartner重点介绍了现代SIEM可以做而其他人做不到的五件事。 现代SIEM五个基本功能 1.实时收集安全事件日志和遥测数据，用于威胁检测和合规性用例。 现代SIEM解决方案可以收集、使用和分析日志数据—来自团队、工具、同行和合作伙伴的生态系统—根据围绕监管合规和报告的特定行业要求，以及最新的威胁检测需求。 2.随时间推移实时分析遥测数据，以检测攻击和其他感兴趣的活动。 现代SIEM可以收集、使用和分析所有事件日志，并提供统一的实时查看整个安全堆栈中发生的情况。这使IT和安全团队能够从一个中心位置管理事件日志，关联多台计算机或多天的不同事件，并相互关联其他数据源，如注册表更改和ISA代理日志，了解完整情况。安全从业人员还可以从一个位置审核和报告所有事件日志。 3.调查事件以确定其潜在严重性以及对组织或机构的影响。 SIEM还可以确定潜在事件的严重性和可能性对于确定的每个问题，并使用此信息来确定优先级并告知纠正措施。 4.关于这些活动的报告。 现代SIEM还可以生成包含有关组织基础结构任何部分的安全信息的报告，并提供文档和合规性要求的方法。 5.存储相关事件和日志。 最后，现代SIEM解决方案可以长期存储历史日志数据term，可帮助分析师满足合规性要求并关联一段时间内的数据。 七个必备SIEM策略 没错，这是另一个列表，因为谁不喜欢列表——尤其是让你的工作更轻松的列表？保护组织的七个关键策略（以及如何使用现代SIEM实现这些策略）： 1.实时安全监控和分析：快速检测和响应威胁 2.云安全：检测和响应混合、云和多云环境中的威胁 3.事件响应：在事件发生时识别事件，并跟踪、路由和注释事件 4.威胁情报：访问有关现有和新出现威胁的精选产品内安全研究 5.事件调查和取证：优化威胁搜寻，减少警报量并增加真阳性 6.高级和内部威胁检测：以指数方式提高检测成功率，腾出时间和资源，专注于复杂、高富达的威胁 7.合规性：通过提高跨系统和流程的可见性，统一合规性的三大支柱（流程、技术和人员） 。 1.实时安全监测和分析 组织需要能够在创