Menù Rapido

Homepage
Prodotti
News
Eventi
Promozioni
Risorse e Supporto

Siem Uses Cases: implementazione e best practice

Da oltre un decennio sono disponibili soluzioni SIEM efficaci. Secondo uno studio McAfee e UC Berkely però la realtà dei fatti è problematica e Netwrix è una soluzione.

 

Uno strumento SIEM (Securuty and Information Event Management), è fondamentale per una buona strategia di sicurezza. Quando le organizzazioni lo acquistano infatti, si aspettano un’implementazione rapida e avvisi sulle minacce. 

Uno studio condotto da McAfee e UC Berkely però, ha rilevato quanto segue: 

  • Il 45% degli intervistati ha dichiarato che la mancanza di interoperabilità ha ostacolato i loro sforzi SIEM.
  • Il 43% ha avuto difficoltà a mappare i dati degli eventi SIEM su tecniche e tattiche note. 
  • Il 36% ha segnalato troppi falsi positivi dal proprio sistema SIEM.
Ad intervenire è quindi Kim Jones dell’Arizona State University:

"Il problema più impegnativo per un'organizzazione è il suo desiderio di utilizzare qualsiasi set di strumenti, applicazione, sistema o framework come una panacea istantanea che risolverà tutti i suoi problemi. Assumere una posizione di rilevamento esistente e tentare di rilasciare una struttura senza fare la propria analisi e definizione delle priorità, o valutare l'adeguatezza dello strumento, significa ridurre lo sforzo".

Kim Jones

Leggi qui l’Ebook gratuito: “Riduci il rischio di violazione dei dati estendendo la visibilità oltre SIEM”

VANTAGGI E LIMITAZIONI DI SIEM

Gli strumenti SIEM migliorano la sicurezza dell’azienda offrendo:  

1) Rilevamento minacce interne ed esterne, in tempo reale su più sistemi;

2) Monitoraggio dell’attività degli utenti (avvisi su violazione della policy etc…);

3) Report predefiniti e scenari comprovati;

4) Più sicurezza grazie agli avvisi da Firewall e altri dispositivi perimetrali;

5) Privacy dei dati.

 

Prima di affacciarti a SIEM però, preparati al meglio: valuta quali tipi di dati hai a disposizione,  analizza le minacce e i punti deboli, ma soprattutto pianifica come integrare SIEM con le altre soluzioni per massimizzare il tuo valore. 

Definizione e implementazioni degli uses cases SIEM

Per utilizzare un SIEM al meglio è necessario creare una serie di Uses Cases che possano descrivere in dettaglio le minacce alla sicurezza e i risultati da ottenere. Ad esempio:

  • Garanzia di conformità HIPAA;
  • Identificazione di abusi di accesso privilegiato;
  • Rilevamento di attacchi interni e ricerca della minacce. 

Non tentare di bloccare ogni minaccia però, tenta piuttosto di identificare gli Uses Cases più importanti in base alle tue esigenze. 

Implementazione degli Uses Cases:

Partendo dal caso d’uso più importante, puoi creare il tuo set classificato di Uses Cases SIEM. Come? Seguendo questi 5 passaggi: 

Definisci i requisiti e l'ambito
Per farlo al meglio prova a dare risposta a queste domande: 1) Quali sono le risorse IT più importanti da proteggere? 2) Quali minacce sta affrontando l'organizzazione? 3) Quali sono le probabilità che si verifichino e quali causerebbero il maggior danno? 4) Quali sono le priorità di business, conformità e sicurezza?
Scegli le tue origini dati e aggiungile al tuo SIEM
Quali origini dati mi sono utili per rilevare la minaccia? Tieni in considerazione: 1) Posizione 2) Livello di verbosità 3) Taglia media 4) Tipo di dati 5) Punti dati 6) Frequenza di rotazione (quanto velocemente i dati vengono sovrascritti)
Crea le tue regole per il tuo Uses Cases
Puoi creare una regola di correlazione per inviare un avviso, quando l'utente ha ripetuti tentativi di accesso non riusciti. Lo sapevi? Con analisi più approfondite puoi inserire la corrispondenza tra i modelli e l'apprendimento automatico. Cambia continuamente le regole di correlazione, gli aggressori sono sempre dietro l'angolo! Best practice: inizia con e regole integrate di SIEM
Prova e sintonizza
Può capitare che il primo tentativo di integrazione di uno Uses Cases non vada a buon fine. SIEM ad esempio, potrebbe identificare erroneamente uno scanner di vulnerabilità legittimo come aggressore. Testa quindi ogni Uses Cases e modifica le tue regole, finché SIEM non si comporterà come deve.
Monitoraggio delle prestazioni
Dopo avere impostato le tue regole, non te ne dimenticare! Controlla continuamente i risultati per assicurarti che SIEM funzioni al meglio.
Previous
Next

Leggi qui: “SIEM vs Log Management”

Ottimizzazione delle regole di correlazione SIEM 

Alcuni problemi che potresti riscontrare a causa di una non corretta configurazione delle regole di correlazione sono i seguenti: 

Regole Disabilitate

Numerose regole sono predefinite nelle soluzioni SIEM

Spesso molte vengono disabilitate durante l'implementazione perché non sembrano essere applicabili all'ambiente aziendale. Purtroppo però, a volte alcune vengono disabilitate per errore.

Mancanza di personalizzazione

Molte regole non si adattano alle tue esigenze

Investi il tuo tempo per adattare le regole di correlazione, così da ricevere gli avvisi e i rapporti desiderati

Regole Disabilitate

Numerose regole sono predefinite nelle soluzioni SIEM

Spesso molte vengono disabilitate durante l'implementazione perché non sembrano essere applicabili all'ambiente aziendale. Purtroppo però, a volte alcune vengono disabilitate per errore.

Mancanza dei filtri

I registri risultanti dalla generazione dei dati possono sopraffare il SIEM

Gli ambienti IT generano un tale numero di dati che a volte i registri sopraffanno il SIEM. Per ovviare il problema, invia solo i dati rilevanti.

Scarsa manutenzione delle regole

Le regole devono essere sottoposte a manutenzione

Quando si aggiungono dati al SIEM, l'applicazione delle regole già esistenti a quei dati, può rallentare la sua elaborazione, aumentando, di conseguenza, il rischio di minacce.

Nuove regole più pericolose

Le nuove regole, possono interferire con quelle già esistenti. Dunque, quando crei nuove regole, considera la logica dell'intero set.

Ottimizzazione degli avvisi SIEM

Seguendo tutti i passaggi sopraelencati, riuscirai ad ottenere un avviso al momento di un evento di sicurezza, senza perdere alcuna minaccia. L’avviso ti fornirà i dettagli chiave come: indirizzo IP, stati di autenticazione, protocolli di rete e codici di errore.

Best practice: 

  • Stabilisci obiettivi chiari in base al panorama delle minacce e ai tuoi obiettivi di business, conformità e sicurezza.
  • Assegna un amministratore SIEM così da garantire una corretta manutenzione.
  • Inizia con le regole predefinite e personalizzale attentamente man mano che acquisisci esperienza con il sistema. Sviluppa poi le tue regole.
  • Prova e sintonizza.

In che modo Netwrix Solutions può completare il tuo SIEM

Gli esperti raccomandano di utilizzare il NIST Cybersecurity Framework per valutare e migliorare la sicurezza informatica. Questi i cinque pilastri di un programma di sicurezza olistico:

  • Identifica: capire quali risorse IT sono a rischio;
  • Proteggi: riduci in modo proattivo il rischio;
  • Rileva: controlla attività sospette che potrebbero influire su questi dati;
  • Rispondi: intraprendi le azioni appropriate per bloccare gli attacchi e mitigare i danni;
  • Ripristina: i dati critici per l’azienda, danneggiati o eliminati durante un attacco.

Siccome SIEM copre solo le funzioni Rileva e Rispondi, Netwrix lo completa coprendo tutti e 5 i pilastri.

Leggi qui l’articolo originale tratto dal blog di Netwrix

Compila il form per avere maggiori informazioni su Netwrix

MENU
Torna in cima