Att ställa in tröskelvärden för specifika tidsramar, baserat på loggkällorna och varningskriterierna är en av de avancerade konfigurationerna som erbjuds i SIEM-lösningar för att minska varningsbrus. Log360s adaptiva tröskelfunktion automatiserar denna funktion och hjälper SOC-team att aktivera flera varningsprofiler som krävs för deras miljö, utan krångel med manuell konfiguration.
Behovet av smartare SIEM
Nuvarande nätverkssäkerhetsverktyg och SIEM-lösningar hjälper säkerhetsanalytiker att få en övergripande synlighet över företagsnätverk och försvara sig mot cyberhot. Men eftersom volymen av nätverksloggar, incidenter och säkerhetshot växer exponentiellt har det blivit oundvikligt för SOC-team att hantera följande pain points:
- Manuell hantering
Analys, konfiguration och periodiska revisioner för flera typer av hot. - Falska varningar
Sålla igenom tusentals aviseringar från säkerhetsverktyg för att hitta en eller två kritiska varningar.
När vi övergår till mer avancerade och automatiserade system för upptäckt av hot för att lösa dessa problem, har ManageEngine Log360 introducerat nästa generations SIEM med branschens första adaptiva tröskelvärden för varning i realtid.
Utforska vad funktionen erbjuder medan.
Hur fungerar Smart Threshold
- Funktionen Smart Threshold är en del av Log360:s Vigil IQ, TDIR-modulen (TDIR) i Log360, som fungerar med event response konsolen och user entity behavior analytics (UEBA).
- Använder algoritmen för exponentiellt glidande medelvärde (EMA) för att automatiskt analysera och fixa en baslinjeberäkning för händelser och anomalier som inträffar inom en specifik tidsram.
- Uppdaterar baslinjetröskeln regelbundet var 15:e datamängd.
Central logghantering
Händelser samlade från hela ditt nätverk med Log360s centraliserade logghanteringssystem.
Log360 samlar in, analyserar och analyserar loggar från 750+ loggkällor, vilket ger realtidsregister över alla händelser som inträffar i ditt nätverk.
Upptäck avvikande händelser
SIEM-varningsmodulen använder 100-tals förbyggda kriterier som är specifika för olika loggkällor för att upptäcka skadliga aktiviteter från de registrerade händelserna.
UEBA-kapaciteten använder ML-baserad beteendeanalys och mönsterdetektering för att utlösa anomalivarningar.
Finjustering av varningar
Precisionsinställning för att filtrera sanna varningar med adaptiva tröskelvärden.
Varningar finjusteras ytterligare med hjälp av den adaptiva tröskelfunktionen för att exakt meddela dig när det finns en avvikelse från den vanliga förekomsten av händelser eller anomalier.
Varför bör du överväga att använda Smart Threshold?
Automatisering
Hotdetektering
Även om UEBA-modulen exakt hittar anomalier, behövs även exakt hotdetektering för att undvika arbete med låg prioritet, icke-hothändelser eller false positives. Smart Threshold tillsammans med UEBA-modulen kommer att berika anomaliflödena kontextuellt och identifiera verkliga hot exakt. Medan det första lagret av den förbyggda anomalidetekteringen i UEBA hittar avvikelser från etablerade mönster och prioriterar dem baserat på riskpoäng, skapar det andra lagret en baslinjetröskel för frekvensen av avvikelser för att upptäcka anomalier som är verkliga hot.
Noggrannhet över tid
Förbättrad noggrannhet över tid med dynamisk anpassning. Med Log360:s smarta tröskel finns det ständig inlärning och finjustering av hotdetektionsprocessen. Den dynamiska ML-modellen reviderar tröskelbaslinjen för var 15:e datamängd baserat på förändringarna i nätverket som:
- Förändring av användarbeteenden
- Öka eller minska mängden loggkällor
- Konfigurationsändringar, till exempel en uppdaterad brandväggsregel, som kan börja tillåta mer trafik
- Ändringar i SIEM-varningskriterierna och anomalireglerna
Räkningsbaserade anomalier
Räknebaserad anomalidetektering är konfigurerad för vanliga nätverkshändelser för att hjälpa till att fånga viktiga indikatorer på intrång tidigt, innan hotmönster av ransomware-attacker och avancerade hot utvecklas fullt ut. Tabellen nedan ger exempel på några räkningsbaserade anomalier som kan vara tidiga indikatorer på kända attacker.
Log360s adaptiva tröskel hjälper till att hitta betydande toppar i dessa händelser utan en massa falsklarm. IoC:erna för tidig upptäckt underlättar också omedelbar respons och åtgärdande av hot, vilket gradvis minskar medeltiden för upptäckt (MTTD) och medeltiden för svar (MTTR).
Automatisering
Att ställa in tröskelvärden för specifika tidsramar, baserat på loggkällorna och varningskriterierna är en av de avancerade konfigurationerna som erbjuds i SIEM-lösningar för att minska varningsbrus. Log360s adaptiva tröskelfunktion automatiserar denna funktion och hjälper SOC-team att aktivera flera varningsprofiler som krävs för deras miljö, utan krångel med manuell konfiguration.
Hotdetektering
Även om UEBA-modulen exakt hittar anomalier, behövs även exakt hotdetektering för att undvika arbete med låg prioritet, icke-hothändelser eller false positives. Smart Threshold tillsammans med UEBA-modulen kommer att berika anomaliflödena kontextuellt och identifiera verkliga hot exakt. Medan det första lagret av den förbyggda anomalidetekteringen i UEBA hittar avvikelser från etablerade mönster och prioriterar dem baserat på riskpoäng, skapar det andra lagret en baslinjetröskel för frekvensen av avvikelser för att upptäcka anomalier som är verkliga hot.
Noggrannhet över tid
Förbättrad noggrannhet över tid med dynamisk anpassning. Med Log360:s smarta tröskel finns det ständig inlärning och finjustering av hotdetektionsprocessen. Den dynamiska ML-modellen reviderar tröskelbaslinjen för var 15:e datamängd baserat på förändringarna i nätverket som:
- Förändring av användarbeteenden
- Öka eller minska mängden loggkällor
- Konfigurationsändringar, till exempel en uppdaterad brandväggsregel, som kan börja tillåta mer trafik
- Ändringar i SIEM-varningskriterierna och anomalireglerna
Räkningsbaserade anomalier
Räknebaserad anomalidetektering är konfigurerad för vanliga nätverkshändelser för att hjälpa till att fånga viktiga indikatorer på intrång tidigt, innan hotmönster av ransomware-attacker och avancerade hot utvecklas fullt ut. Tabellen nedan ger exempel på några räkningsbaserade anomalier som kan vara tidiga indikatorer på kända attacker.
Log360s adaptiva tröskel hjälper till att hitta betydande toppar i dessa händelser utan en massa falsklarm. IoC:erna för tidig upptäckt underlättar också omedelbar respons och åtgärdande av hot, vilket gradvis minskar medeltiden för upptäckt (MTTD) och medeltiden för svar (MTTR).
Funktioner out-of-the-box
Varför Log360?
Lätt att konfigurera varningar
Bygg dina varningsprofiler med lätthet genom att använda Log360:s instrumentpanel för varningar i realtid som erbjuder:
- En mängd olika loggkällor, inklusive ett brett utbud av nätverksenheter, applikationer, sårbarhetsskannrar
- Över 500 förbyggda kriterier för olika användningsfall
- Avancerad konfiguration med automatisk adaptiv tröskel
- En enda konsol för att övervaka varningar, filtrera dem baserat på svårighetsgrad och skapa ärenden
- Integrerad arbetsflödesaktivering för varningsprofiler
Avancerad hotintelligens
Log360 tar också in STIX/TAXII och Alienvalult OTX-hotflöden för kontextuell hotdetektering tillsammans med att erbjuda regelbaserad mönsterdetektering med händelsekorrelation i realtid och implementering av hotmodelleringsramverket MITER ATT&CK.
En komplett uppsättning integrerade verktyg
Förbättra er TDIR genom att implementera en heltäckande SIEM-lösning som Log360 med UEBA, CASB och integrerade DLP-funktioner som samlar alla dina säkerhetsbehov till en enda konsol och hjälper dig att exakt upptäcka hot med automatiserade funktioner som adaptiv varningströskel.
Vanliga frågor
Vad är adaptivt tröskelvärde?
I samband med SIEM-lösningar är adaptivt tröskelvärde (adaptive threshold) en mekanism som dynamiskt analyserar förekomsten av händelser i det övervakade nätverket för att skapa en baslinje som skiljer normalt beteende och sanna anomalifall. Adaptivt tröskelvärde anpassar sig dynamiskt till de föränderliga miljöerna och använder statistiska ML-modeller för att uppnå detta.
Vad är ett skiktat hotdetektionssystem?
Hotdetektionsmoduler upptäcker skadliga mönster i ett nätverk, hittar onormala toppar i flödet av händelser och använder regelbaserade och signaturbaserade metoder för att upptäcka hot. Sekvensering av flera metoder för avvikelsedetektering producerar ett skiktat hotdetektionssystem.
I Log360 är räkningsbaserad filtrering med adaptiv tröskel skiktad ovanpå beteendebaserad anomalidetektering. Här är ett exempel för att förstå hur det visar sig effektivt med exakt hotdetektering:
Lager 1 - beteendemönster - Generera anomali om viktiga arbetsfiler nås under icke-arbetstid.
Exempel: Tänk på en företagsmiljö med 1000-tals anställda. Anställd A är en illvillig insider som är på väg att lämna företaget. Han/hon har plötsligt fått åtkomst till flera filer under icke-arbetstid. Ovannämnda mönster kommer att generera varningar för detta beteende. Men problemet är att denna sanna varning kommer att begravas i 100-tals liknande falska varningar. Det kan finnas flera äkta orsaker till avvikelser i användarbeteende i ett företag med ett stort antal anställda.
Lager 2 - smart thresholds - Om ett visst användarkonto genererar flera avvikelser inom en specifik tidsram som avviker från det vanliga antalet, generera en varning.
Ett lager 2 av filtrering med räkningsbaserad adaptivt tröskelvärde kommer att minska varningarna för de 100 andra användarna som vanligtvis har några anomalier som är normala för deras beteende. Men det kommer att peka ut medarbetare A:s aktiviteter genom att generera larm, eftersom det passerar tröskeln.
Vad är Log360?
Log360 är en enhetlig SIEM-lösning med integrerade DLP- och CASB-funktioner som upptäcker, prioriterar, undersöker och reagerar på säkerhetshot. Den kombinerar hotintelligens, maskininlärningsbaserad anomalidetektering och regelbaserade attackdetekteringstekniker för att upptäcka sofistikerade attacker, samt erbjuder en incidenthanteringskonsol för att effektivt åtgärda upptäckta hot. Log360 ger holistisk synlighet över säkerhetsläget i lokala, moln- och hybridnätverk med sina intuitiva och avancerade säkerhetsanalys- och övervakningsmöjligheter.
Testa Log360 eller boka ett möte med oss så visar vi mer.
Har du en fråga?
Har du en fråga kan du starta chatten eller kontakta oss.