- Văn bản
- Lịch sử
The promise of a SIEM is to automat
The promise of a SIEM is to automate decision-making and to reduce the amount of data the analyst needs to review. To achieve this SIEMs implement state machines and sophisticated rules that come with overhead. Extending the SIEM to cover larger volumes of data and to detect weaker signals of an attack presents several challenges:
• Scalability – SIEMs are expensive to scale and often reach architectural scalability limits relative to the volume of data an organization needs to collect and process. SIEM deployments are likely to require a database administrator (DBA) for continuous maintenance and performance optimization.
• Data collection and normalization – Handling unstructured data is a constant challenge. SIEMs are dependent on custom parsers (e.g. ArcSight Connectors) to normalize data into a fixed schema. Application logs (custom and off-the-shelf) do not follow a standard format and are subject to frequent change. To add support for a new data format, some SIEM vendors require a professional services engagement, while some challenge the user to create their own parsers.
• Implementation and tuning – It is difficult to strike the right balance between correlation rules that catch all possible attacks and correlation rules that produce too many false-positive alerts. Tuning often requires a professional services engagement and on-going expenses, and industry analysts report speaking with customers for whom, “…a year of tuning was required.“
• Trending and analytics – SIEMs often have a selection of canned reports but new report creation is not flexible enough to adjust to changing conditions. Canned reports can be useful, and may look great initially, but relying on a canned report to understand the end-to-end implications of a security event from the edge router to the application simply doesn’t work.
• The “Rules-based” approach – When a correlated security event is presented to the security analyst, it’s reasonable to expect the analyst to limit his or her investigation to the data sources reported by the alert. Humans tend to ignore subtle signs or signals that don’t fit into a pre-existing model, and SIEMs reinforce that tendency. A “Rules-based” approach supports only a go-forward view of security data; if you get a correlation rule wrong, you can’t adjust the model and re-analyze the data, because events that didn’t match the old rule have already been discarded.
• Scalability – SIEMs are expensive to scale and often reach architectural scalability limits relative to the volume of data an organization needs to collect and process. SIEM deployments are likely to require a database administrator (DBA) for continuous maintenance and performance optimization.
• Data collection and normalization – Handling unstructured data is a constant challenge. SIEMs are dependent on custom parsers (e.g. ArcSight Connectors) to normalize data into a fixed schema. Application logs (custom and off-the-shelf) do not follow a standard format and are subject to frequent change. To add support for a new data format, some SIEM vendors require a professional services engagement, while some challenge the user to create their own parsers.
• Implementation and tuning – It is difficult to strike the right balance between correlation rules that catch all possible attacks and correlation rules that produce too many false-positive alerts. Tuning often requires a professional services engagement and on-going expenses, and industry analysts report speaking with customers for whom, “…a year of tuning was required.“
• Trending and analytics – SIEMs often have a selection of canned reports but new report creation is not flexible enough to adjust to changing conditions. Canned reports can be useful, and may look great initially, but relying on a canned report to understand the end-to-end implications of a security event from the edge router to the application simply doesn’t work.
• The “Rules-based” approach – When a correlated security event is presented to the security analyst, it’s reasonable to expect the analyst to limit his or her investigation to the data sources reported by the alert. Humans tend to ignore subtle signs or signals that don’t fit into a pre-existing model, and SIEMs reinforce that tendency. A “Rules-based” approach supports only a go-forward view of security data; if you get a correlation rule wrong, you can’t adjust the model and re-analyze the data, because events that didn’t match the old rule have already been discarded.
0/5000
Lời hứa của một Xiêm là để tự động hoá ra quyết định để giảm bớt lượng dữ liệu các nhà phân tích cần phải xem xét. Để đạt điều này SIEMs thực hiện máy móc nhà nước và các quy tắc phức tạp đi kèm với chi phí. Mở rộng Xiêm để trang trải các khối lượng lớn dữ liệu và phát hiện các tín hiệu yếu hơn của một cuộc tấn công trình bày một số thách thức: • Khả năng mở rộng-SIEMs đắt tiền để quy mô và thường xuyên đạt đến giới hạn khả năng mở rộng kiến trúc tương đối so với khối lượng của một tổ chức cần phải thu thập và xử lý dữ liệu. Triển khai Xiêm có khả năng để yêu cầu người quản trị cơ sở dữ liệu (DBA) để bảo trì liên tục và tối ưu hóa hiệu suất. • Thu thập dữ liệu và bình thường hóa-xử lý dữ liệu có cấu trúc là một thách thức liên tục. SIEMs phải phụ thuộc vào tùy chỉnh parsers (ví dụ như kết nối ArcSight) chuẩn hoá dữ liệu vào một giản đồ điểm cố định. Ứng dụng các bản ghi (tùy chỉnh và off-the-shelf) không tuân theo một định dạng tiêu chuẩn và có thể thay đổi thường xuyên. Để thêm hỗ trợ cho các định dạng dữ liệu mới, một số nhà cung cấp Xiêm đòi hỏi một cam kết dịch vụ chuyên nghiệp, trong khi một số thách thức người sử dụng để tạo ra parsers riêng của họ. • Thực hiện và điều chỉnh-rất khó để tấn công sự cân bằng quyền giữa các quy tắc tương quan nắm bắt tất cả có thể tấn công và các quy tắc tương quan tạo ra quá nhiều sai tích cực thông báo. Điều chỉnh thường yêu cầu một chuyên gia dịch vụ đính hôn và ngày-đi chi phí và báo cáo phân tích ngành công nghiệp nói với khách hàng mà, ".. .một số điều chỉnh là cần thiết." • Xu hướng và phân tích-SIEMs thường có một lựa chọn báo cáo đóng hộp nhưng tạo báo cáo mới không phải là đủ linh hoạt để điều chỉnh để thay đổi điều kiện. Báo cáo đóng hộp có thể hữu ích và có thể nhìn tuyệt vời lúc đầu, nhưng chỉ đơn giản dựa trên một báo cáo đóng hộp để hiểu ý nghĩa kết thúc để kết thúc của một sự kiện an ninh từ router rìa đến các ứng dụng không hoạt động. • "Dựa trên quy tắc" cách tiếp cận-khi một sự kiện tương quan an ninh được trình bày cho các nhà phân tích an ninh, đó là hợp lý để mong đợi các nhà phân tích để hạn chế các cuộc điều tra với các nguồn dữ liệu báo cáo của các cảnh báo. Con người có xu hướng bỏ qua các dấu hiệu tinh tế hoặc tín hiệu không phù hợp với một mô hình hiện có sẵn, và củng cố SIEMs xu hướng đó. Hỗ trợ một cách tiếp cận "Dựa trên quy tắc" chỉ về phía trước đi xem bảo mật dữ liệu; Nếu bạn nhận được một quy tắc tương quan sai, bạn không thể điều chỉnh các mô hình và tái phân tích dữ liệu, bởi vì sự kiện không phù hợp với quy tắc cũ đã bị bỏ đi.
đang được dịch, vui lòng đợi..
Lời hứa của một SIEM là để tự động ra quyết định và làm giảm số lượng dữ liệu phân tích cần xem xét. Để đạt được Siems này thực hiện máy nhà nước và các quy tắc phức tạp đi kèm với chi phí. Mở rộng SIEM để che khối lượng lớn dữ liệu và phát hiện các tín hiệu yếu của một cuộc tấn công giới thiệu một số thách thức:
• Khả năng mở rộng - Siems đắt tiền để mở rộng quy mô và thường đạt giới hạn khả năng mở rộng kiến trúc tương đối so với khối lượng dữ liệu của một tổ chức cần phải thu thập và xử lý. SIEM triển khai có thể sẽ yêu cầu một quản trị cơ sở dữ liệu (DBA) để bảo trì liên tục và tối ưu hóa hiệu suất.
• Thu thập dữ liệu và chuẩn hóa - Xử lý dữ liệu phi cấu trúc là một thách thức. Siems phụ thuộc vào phân tích cú pháp tùy chỉnh (ví dụ như ArcSight nối) để chuẩn hóa dữ liệu vào một sơ đồ cố định. Bản ghi ứng dụng (tùy chỉnh và off-the-shelf) không theo một định dạng chuẩn và có thể thay đổi thường xuyên. Để hỗ trợ thêm cho một định dạng dữ liệu mới, một số nhà cung cấp SIEM đòi hỏi một cam kết dịch vụ chuyên nghiệp, trong khi một số thách thức người sử dụng để tạo ra các phân tích cú pháp riêng của họ.
• Thực hiện và điều chỉnh - Rất khó để tạo sự cân bằng giữa các quy tắc tương quan mà bắt tất cả các cuộc tấn công có thể và tương quan quy tắc sản xuất ra quá nhiều cảnh báo dương tính giả. Điều chỉnh thường đòi hỏi một cam kết dịch vụ chuyên nghiệp và các chi phí đang diễn ra, và các nhà phân tích ngành công nghiệp báo cáo nói chuyện với khách hàng mà đối với họ, "... một năm điều chỉnh là cần thiết."
• Xu hướng và phân tích - Siems thường có lựa chọn báo cáo đóng hộp nhưng tạo báo cáo mới không đủ linh hoạt để thích nghi với điều kiện thay đổi. Báo cáo đóng hộp có thể hữu ích, và có thể nhìn tuyệt vời ban đầu, nhưng dựa trên một báo cáo đóng hộp để hiểu các end-to-end tác động của một sự kiện bảo mật từ các router cạnh để ứng dụng chỉ đơn giản là không làm việc.
• "dựa trên quy tắc "cách tiếp cận - Khi một sự kiện bảo mật liên quan được trình bày cho các nhà phân tích an ninh, đó là hợp lý để mong đợi các nhà phân tích để hạn chế điều tra của mình cho các nguồn dữ liệu báo cáo của các cảnh báo. Con người có xu hướng bỏ qua những dấu hiệu tinh tế hoặc tín hiệu không phù hợp với một mô hình có sẵn, và Siems củng cố xu hướng đó. Một "dựa trên quy tắc" cách tiếp cận chỉ hỗ trợ một điểm đi-về phía trước của dữ liệu, an ninh; nếu bạn nhận được một quy tắc tương quan sai, bạn không thể điều chỉnh mô hình và tái phân tích dữ liệu, bởi vì sự kiện đó không phù hợp với các quy tắc cũ đã bị loại bỏ.
• Khả năng mở rộng - Siems đắt tiền để mở rộng quy mô và thường đạt giới hạn khả năng mở rộng kiến trúc tương đối so với khối lượng dữ liệu của một tổ chức cần phải thu thập và xử lý. SIEM triển khai có thể sẽ yêu cầu một quản trị cơ sở dữ liệu (DBA) để bảo trì liên tục và tối ưu hóa hiệu suất.
• Thu thập dữ liệu và chuẩn hóa - Xử lý dữ liệu phi cấu trúc là một thách thức. Siems phụ thuộc vào phân tích cú pháp tùy chỉnh (ví dụ như ArcSight nối) để chuẩn hóa dữ liệu vào một sơ đồ cố định. Bản ghi ứng dụng (tùy chỉnh và off-the-shelf) không theo một định dạng chuẩn và có thể thay đổi thường xuyên. Để hỗ trợ thêm cho một định dạng dữ liệu mới, một số nhà cung cấp SIEM đòi hỏi một cam kết dịch vụ chuyên nghiệp, trong khi một số thách thức người sử dụng để tạo ra các phân tích cú pháp riêng của họ.
• Thực hiện và điều chỉnh - Rất khó để tạo sự cân bằng giữa các quy tắc tương quan mà bắt tất cả các cuộc tấn công có thể và tương quan quy tắc sản xuất ra quá nhiều cảnh báo dương tính giả. Điều chỉnh thường đòi hỏi một cam kết dịch vụ chuyên nghiệp và các chi phí đang diễn ra, và các nhà phân tích ngành công nghiệp báo cáo nói chuyện với khách hàng mà đối với họ, "... một năm điều chỉnh là cần thiết."
• Xu hướng và phân tích - Siems thường có lựa chọn báo cáo đóng hộp nhưng tạo báo cáo mới không đủ linh hoạt để thích nghi với điều kiện thay đổi. Báo cáo đóng hộp có thể hữu ích, và có thể nhìn tuyệt vời ban đầu, nhưng dựa trên một báo cáo đóng hộp để hiểu các end-to-end tác động của một sự kiện bảo mật từ các router cạnh để ứng dụng chỉ đơn giản là không làm việc.
• "dựa trên quy tắc "cách tiếp cận - Khi một sự kiện bảo mật liên quan được trình bày cho các nhà phân tích an ninh, đó là hợp lý để mong đợi các nhà phân tích để hạn chế điều tra của mình cho các nguồn dữ liệu báo cáo của các cảnh báo. Con người có xu hướng bỏ qua những dấu hiệu tinh tế hoặc tín hiệu không phù hợp với một mô hình có sẵn, và Siems củng cố xu hướng đó. Một "dựa trên quy tắc" cách tiếp cận chỉ hỗ trợ một điểm đi-về phía trước của dữ liệu, an ninh; nếu bạn nhận được một quy tắc tương quan sai, bạn không thể điều chỉnh mô hình và tái phân tích dữ liệu, bởi vì sự kiện đó không phù hợp với các quy tắc cũ đã bị loại bỏ.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- There are so many styles of dance from w
- kỉ niệm 20 năm thành lập công ty
- Behind
- CURICULUM VITAE 1. PERSONAL DETAIL Full
- khí thải
- Enclosed herewith is the payment advice
- Trẻ con
- write about what you did last weekend
- Sẽ mạo hiểm đấy
- CAREER OBJECTIVELearn more things when w
- giấy ủy quyền
- write about what you did last weekend
- Bạn kết bạn facebook với tôi chứ
- 国を巡る
- thực hiện hợp đồng bảo trì
- CURICULUM VITAE 1. PERSONAL DETAIL Full
- tôi không cần chi trả cho chi phí gửi xe
- the summer vacation spends for almost th
- thang máy chạy vượt hành trình
- Please send me a letter notifying Custom
- tôi không cần chi trả cho chi phí gửi xe
- SCQC consultant has warning to CSCEC con
- thang máy chạy vượt hành trình
- kỉ niệm 20 năm thành lập công ty
