Organizację które są zmuszane do budowy centrum zarządzania bezpieczeństwem przykładowo decyzją o uzyskaniu statusu operatora usługi kluczowej w pierwszej kolejności zaopatrują się w rozwiązanie klasy SIEM
Dostawcy wraz z dostarczeniem systemu SIEM oraz podłączeniem do niego wszystkich dostępnych źródeł zdarzeń załączają także domyśle reguły korelacyjne i tak przygotowany system przekazują organizacjom.
Organizacje często tez zabezpieczają się wymuszając na dostawcach dostrojenie reguł korelacyjnych przez zadany okres czasu, przygotowanie kilku lub kilkunastu reguł korelacyjnych odzwierciedlających ich bieżące potrzeby. Niestety wcześniej czy później następuje przekazanie systemu SIEM do organizacji i rozpoczęcie przez nią analizy zdarzeń bezpieczeństwa i tutaj pojawia się właśnie rozczarowanie. Najczęściej okazuje się wtedy, że na konsoli jest ogromna ilość zdarzeń bezpieczeństwa, których obsługa przerasta możliwości operacyjne organizacji i w konsekwencji doprowadza do zaprzestania ich obsługi. Bardzo poważny problem który również często dotyka organizację to ogromna ilość fałszywych alarmów, będąca często wynikiem reguł korelacyjnych bazujących na innych regułach korelacyjnych, czyli fałszywych alarmów generujących kolejne fałszywe alarmy. Kolejny przykład to reguły stanowiące tzw. „Worki”, które mówią o tym że pomiędzy kilkuset adresami IP źródłowymi i docelowymi wygenerowało się kilkadziesiąt zdarzeń bezpieczeństwa jako wynik kilkunastu reguł korelacyjnych, co znowu najczęściej stanowi informację o znikomej przydatności zaciemniającą tylko zdarzenia które wymagają natychmiastowej obsługi, a które mogą zostać pominięte przez mnogość alarmów.
Jeżeli planujesz lub jesteś zobligowany do wdrożenia rozwiązania klasy SIEM i nie chcesz aby powyższy scenariusz maił miejsce, zachęcamy Cię do skorzystania z usług doradczych oferowanych przez nasze zespoły kompetencyjne.
Data artykułu: 18 październik 2019
Autor: Zespół COLTUM
