SIEM最佳实践

[prisilabr03]

公司必须遵守的一些最常见的框架（取决于其行业）是:

重汽: 医疗保健组织每次违规可面临从$100到$50,000的罚款,一次安全违规可被视为多次违规。
PCI-DSS: 金融组织必须遵守这些规定以进行安全付款和数据处理。罚款每月可介于$5,000和$100,000之间。
GDPR: 在欧洲开展业务处理个人数据的组织必须遵守GDPR,罚款最高为2000万欧元,占公司营业额的4%,以较高者为准。
还有州或地方法规,例如加利福尼亚的隐私法规和ICO在英格兰的数据处理法规。每个公司都必须确定必须遵守哪些法规,并确保它们按照这些法规进行操作。

SIEM无法自行防止违规;但是,它可以提醒组织违反行为,从而有助于防止进一步的损害。它也可以作为尽职调查的宝贵形式。考虑以下假设情况。

您的SIEM工具会警告您在久违的服务器上登录异常。您的系统管理员会调查该登录名,发现该登录名并对其进行修复,同时验证攻击者是否未访问任何敏感数据,从而使您免于受到巨额罚款和不良公关。如果没有SIEM工具的 摩洛哥电话号码列表 预警,黑客可能已经有数周或数月的时间来探索受感染的系统,有可能发现其他漏洞,并且能够通过访问特权数据来造成一些实际损害。

为了充分利用SIEM,根据您的独特要求自定义实现至关重要。这包括确定要记录的内容以及如何将这些数据转换为适合仪表板读取的格式。另外,请考虑如何使系统自动化,以避免压倒您的SOC团队。以下是一些有用的最佳实践:

明确定义您的目标。
为您的日志建立一个集中的数据存储,并有一个简化的系统来合并该数据。
确保从所有与安全相关的工具和应用程序中记录所需的数据。
明确定义您的日志保留策略,以便您拥有的数据可以追溯到足以识别模式。
确认您的日志记录和审核足以满足您需要遵守的任何法规。
尽可能使工作流程自动化,以节省员工时间并减少出错幅度。
利用API或其他集成来简化将SIEM工具连接到安全基础架构的过程。
向所有相关工作人员简要介绍您的事件响应系统。
定期重新评估您的安全系统和策略。
为了使SIEM正常工作,它需要监视正确的事情,并且通过它的数据质量必须很高。如果您的SIEM系统经常发出虚假警报,则您的安全团队可能会开始忽略它。SIEM的目标是过滤噪音并节省SOC团队的时间。微调系统可能需要一些时间,但是从长远来看,这次投资将是值得的。