Google Cloud SIEM لڏپلاڻ

پيداوار جي ڄاڻ

وضاحتون:

• پيداوار جو نالو: SIEM لڏپلاڻ ھدايت
• ليکڪ: اڻڄاتل
• شايع ٿيل سال: بيان ٿيل نه آهي

پيداوار جي استعمال جون هدايتون

• نئون SIEM چونڊيو
  شروع ڪريو پنهنجو پاڻ ۽ توهان جي ٽيم کان ڪجهه اهم سوال پڇڻ لاءِ هر پيشڪش جي طاقت ۽ ڪمزورين کي ظاهر ڪرڻ ۾ مدد لاءِ. جلدي طور تي هر SIEM جي سپر پاور جي سڃاڻپ ڪريو ۽ منصوبو ٺاهيو ته توهان جي تنظيم ڪيئن ترقي ڪري سگهي ٿيtagانهن مان e.
• Cloud-اصلي SIEM
  غور ڪريو ته SIEM هڪ پرائمري ڪلائوڊ سروس فراهم ڪندڙ (سي ايس پي) ​​پاران پيش ڪيل آهي جيڪا هول سيل قيمتن تي عالمي سطح تي انفراسٽرڪچر مهيا ڪري سگهي ٿي. ڪلائوڊ-آبائي SIEM ڊيپلائيمينٽ ماڊل ڪلائوڊ ڪم لوڊ جي اسڪيبلٽي ۽ متحرڪ انتظام جي اجازت ڏين ٿا.
• SIEM انٽيليجنس سان
  چيڪ ڪريو ته ڇا SIEM وينڊر پيش ڪري ٿو مسلسل فرنٽ لائن خطري واري انٽيليجنس کي ڊرائيو ڪرڻ لاءِ باڪس کان ٻاهر نئين ۽ اڀرندڙ خطرن جي ڳولا.

SIEM مري ويو آهي، SIEM زندهه آهي

جيڪڏهن توهان اسان وانگر آهيو، توهان کي حيرت ٿي سگھي ٿي ته، 2024 ۾، سيڪيورٽي معلومات ۽ ايونٽ مئنيجمينٽ (SIEM) سسٽم اڃا تائين سڀ کان وڌيڪ سيڪيورٽي آپريشن سينٽرز (SOC) جي پٺڀرائي آهن. SIEMs هميشه توهان جي سڄي تنظيم مان سيڪيورٽي ڊيٽا گڏ ڪرڻ ۽ تجزيو ڪرڻ لاءِ استعمال ڪيا ويا آهن ته جيئن توهان کي خطرن کي سڃاڻڻ، تحقيق ڪرڻ ۽ انهن کي جلدي ۽ مؤثر طريقي سان جواب ڏيڻ ۾ مدد ملي سگهي. پر حقيقت اها آهي ته اڄ جي جديد SIEMs ۾ ٿورڙي مشابهت آهي جيڪي 15+ سال اڳ ٺاهيا ويا هئا، ڪلائوڊ-نيٽيڪل آرڪيٽيڪچر جي اڀار کان اڳ، استعمال ڪندڙ ادارو ۽ رويي جي تجزيي (UEBA)، سيڪيورٽي آرڪيسٽريشن، آٽوميشن ۽ جواب (SOAR)، حملي جي سطح جي انتظام. ۽ يقيناً AI، ڪجهه نالا ڏيڻ لاءِ.
ميراثي SIEMs اڪثر سست، منجهيل، ۽ استعمال ڪرڻ ڏکيو هوندا آهن. انهن جي ميراثي فن تعمير اڪثر ڪري انهن کي اسڪيلنگ کان روڪي ٿو ته جيئن اعلي حجم لاگ ذريعن کي گڏ ڪرڻ لاء، ۽ اهي شايد تازي خطرن سان گڏ رکڻ يا جديد خصوصيتن ۽ صلاحيتن جي حمايت ڪرڻ جي قابل نه هوندا. اهي شايد توهان جي تنظيم جي مخصوص ضرورتن جي مدد ڪرڻ لاءِ لچڪ پيش نه ڪن يا ملٽي ڪلائوڊ حڪمت عملي لاءِ موزون هجن جيڪا اڄ جي اڪثر تنظيمن لاءِ حقيقت آهي. آخرڪار، اهي شايد ناقص پوزيشن ۾ هجن جيڪي صلاح ڏيڻ لاءtagاي جديد ٽيڪنالاجي ترقيات، جهڙوڪ مصنوعي ذهانت (AI).
تنهن ڪري جڏهن هڪ SIEM ڪنهن ٻئي نالي سان صرف مٺو آواز ٿي سگهي ٿو، سيڪيورٽي آپريشن ٽيمن تي ڀروسو جاري رهندو
"سيڪيورٽي آپريشنز پليٽ فارمز" (يا جيڪو به نالو وٺي ويندا آهن) مستقبل ۾ خطري جي نشاندهي، تحقيق ۽ جواب لاءِ.

عظيم SIEM لڏپلاڻ شروع ٿي وئي آهي

SIEM لڏپلاڻ نئين ناهي. تنظيمون پنهنجي موجوده SIEM سان پيار کان ٻاهر ٿي چڪيون آهن ۽ سالن تائين نوان ۽ بهتر آپشن ڳولڻ لڳا. شايد گهڻو ڪري، تنظيمن پنهنجي گهٽ ڪارڪردگيءَ ۽/يا تمام گهڻي مهانگي SIEM کي ان کان وڌيڪ عرصي تائين برقرار رکيو آهي جو انهن پسند ڪيو هوندو، جزوي طور تي SIEM لڏپلاڻ سان معاملو ڪرڻ جي پيچيدگي تي خدشات جي ڪري.
پر تازن مهينن SIEM خلا ۾ ٽيڪٽونڪ شفٽ متعارف ڪرايا آهن جن کي بيان نٿو ڪري سگهجي. ان ۾ ڪو شڪ ناهي ته SIEM جو نظارو مڪمل طور تي تبديل ٿي ويندو هاڻي کان ڪجهه سالن ۾ - نئين مارڪيٽ جي اڳواڻن کي جنم ڏيڻ ۽ زوال کي ڏسڻ ۽ شايد ”ڊائناسور“ جو موت به جن ڏهاڪن تائين SIEM-زمين تي حڪومت ڪئي (يا ” eons" سائبر سيڪيورٽي اصطلاحن ۾). اهي ترقيون بلاشبہ لڏپلاڻ کي تيز ڪنديون SIEM پليٽ فارمن کان جديد ڏانهن، ڪيتريون ئي تنظيمون هاڻي هڪ حقيقت کي منهن ڏئي رهيون آهن جڏهن انهن کي لڏپلاڻ ڪرڻ جي بدران انهن کي لڏپلاڻ ڪرڻ گهرجي.

هتي صرف گذريل 9 مهينن ۾ وڏين حرڪتن جو خلاصو آهي:

توهان جي موجوده SIEM ۾ نقصن جي نشاندهي ڪرڻ تمام سولو آهي بهتر متبادل چونڊڻ ۽ ڪامياب لڏپلاڻ تي عمل ڪرڻ کان. اهو پڻ ياد رکڻ ضروري آهي ته SIEM جي ٺهڻ واري ناڪامي پڻ عملن (۽ ڪڏهن ڪڏهن ماڻهو)، ۽ نه رڳو ٽيڪنالاجي کان روڪي سگھي ٿي. اهو ئي آهي جتي هي مقالو اچي ٿو. ليکڪ ڪيترن ئي ڏهاڪن دوران عملي، تجزيه نگار، ۽ وينڊرز جي طور تي سوين SIEM لڏپلاڻ کي ڏٺو آهي. تنهن ڪري، اچو ته 2024 لاءِ مٿين SIEM لڏپلاڻ جي تجويزن جو جائزو وٺون. اسان هن فهرست کي ڀاڱن ۾ ورهائينداسين ۽ سبقن ۾ شامل ڪنداسين جيڪي اسان خندق مان سکيا آهن.

نئون SIEM چونڊيو

پنهنجو پاڻ ۽ توهان جي ٽيم کان پڇڻ شروع ڪريو ڪجهه اهم سوالن کي هر پيشڪش جي طاقت ۽ ڪمزورين کي ظاهر ڪرڻ ۾ مدد لاءِ. اسان سفارش ڪريون ٿا ته جلدي هر SIEM جي ”سپر پاورز“ کي سڃاڻڻ ۽ رٿابندي ڪريون ته توهان جو ادارو ڪيئن اڳڀرائي ڪري سگهي ٿوtagانهن مان e. مثال طورampاليزي:

• Cloud-اصلي SIEM
  
  • ڇا SIEM هڪ پرائمري ڪلائوڊ سروس فراهم ڪندڙ (CSP) پاران پيش ڪيل آهي جيڪا هول سيل قيمتن تي عالمي سطح تي بنيادي ڍانچي فراهم ڪري سگهي ٿي؟
    اسان جو تجربو ڏيکاري ٿو ته SIEM مهيا ڪندڙ جيڪي بادل ۾ هلن ٿا جيڪي انهن جي مالڪ نه آهن انهن کي ناگزير "مارجن اسٽيڪنگ" تي قابو پائڻ ۾ مشڪل آهي جيڪي اهڙي ماڊل سان گڏ اچن ٿيون. هي سوال لاڳيتو لاڳت سان ڳنڍيل آهي.
    هڪ ڪلائوڊ-آبائي SIEM ڊيپلائيمينٽ ماڊل پڻ SIEM کي اجازت ڏئي ٿو ته نئين خطرن جي جواب ۾ مٿي ۽ هيٺ ڪري ۽ تنظيم جي ڪلائوڊ ڪم لوڊ جي متحرڪ نوعيت کي پڻ منظم ڪري. ڪلائوڊ انفراسٽرڪچر ۽ ايپليڪيشنون منٽن ۾ ڊرامائي طور تي وڌي سگهن ٿيون. هڪ ڪلائوڊ-مقامي SIEM آرڪيٽيڪچر سيڪيورٽي ٽيمن جي نازڪ ٽولنگ کي اجازت ڏئي ٿو ساڳي شرح تي وڏي تنظيم جي ضرورتن سان گڏ.
    Cloud-Native SIEMs پڻ ڪلائوڊ ڪم لوڊ کي محفوظ ڪرڻ لاءِ سٺي پوزيشن ۾ آهن. اهي ڪلائوڊ سروسز مان گھٽ ويڪرائي واري ڊيٽا جي انضمام مهيا ڪن ٿا ۽ ڳولا واري مواد سان گڏ ٻيڙيءَ ۾ مدد ڪن ٿيون جيڪي ڪلائوڊ ۾ عام حملن جي نشاندهي ڪن ٿيون.
• SIEM انٽيليجنس سان
  • ڇا SIEM وينڊر وٽ نون ۽ اڀرندڙ خطرن جي باڪس کان ٻاهر ڳولڻ لاءِ فرنٽ لائن خطري واري انٽيليجنس جو مسلسل وهڪرو آهي؟
    اهي سونهري ذريعا عام طور تي مٿين درجي جي واقعن جي جوابي عملن مان پيدا ٿين ٿا، وڏي پئماني تي صارف IaaS يا SaaS ڪلائوڊ پيشڪش جي آپريشن، يا سيڪيورٽي سافٽ ويئر پروڊڪٽس يا آپريٽنگ سسٽم جي عالمي تنصيب جا بنياد.
    تنظيمن لاءِ خطري جي ڄاڻ اهم آهي مؤثر طريقي سان ڳولڻ، جاچ ڪرڻ، تحقيق ڪرڻ، ۽ سيڪيورٽي واقعن جو جواب ڏيڻ. فرنٽ لائن خطري جي ڄاڻ، خاص طور تي، قيمتي آهي ڇو ته اها تازي خطرن ۽ خطرن بابت حقيقي وقت جي معلومات مهيا ڪري ٿي. هي معلومات حفاظتي واقعن کي جلدي سڃاڻڻ ۽ ترجيح ڏيڻ، ۽ موثر جوابي حڪمت عملين کي ترقي ۽ لاڳو ڪرڻ لاءِ استعمال ڪري سگهجي ٿي.
    حقيقي وقت جي خطري جي ڳولا ۽ جوابي صلاحيتن کي بهتر ڪرڻ لاءِ، سيڪيورٽي تنظيمون خطري جي انٽيليجنس ۽ لاڳاپيل ڊيٽا فيڊز جي بيحد انضمام جي ڳولا ڪري رهيون آهن انهن جي سيڪيورٽي آپريشنز جي ڪم فلوز ۽ ٽولنگ ۾. سوئيل ڪرسي، ڪاپي پيسٽ، ۽ SIEM ۽ خطري جي انٽيل ذريعن جي وچ ۾ برٽل انضمام پيداوار جي گھٽتائي وارا آهن ۽ انهن جو ٽيم جي ڪارڪردگي ۽ تجزيه نگار جي تجربي تي منفي اثر آهي.
• SIEM ٺهيل مواد سان
  • ڇا SIEM پيش ڪري ٿو هڪ وسيع لائبريري جي حمايت ڪيل پارسر ۽ ڳولڻ جي ضابطن، ۽ جوابي ڪارناما؟
    ترڪيب: ڪجهه SIEM وينڊرز تقريبن خاص طور تي انحصار ڪندا آهن انهن جي صارف برادري يا ٽيڪنيڪل اتحادي ڀائيوارن تي مشهور ڊيٽا فيڊز لاءِ پارسر ٺاهڻ لاءِ. جڏهن ته هڪ ترقي پذير صارف ڪميونٽي ضروري آهي، ان تي وڌيڪ ڀروسو ڪرڻ لاءِ بنيادي صلاحيتون مهيا ڪرڻ جهڙوڪ پارس ڪرڻ هڪ مسئلو آهي. عام ڊيٽا جي ذريعن لاءِ تجزيه ڪندڙ SIEM وينڊر طرفان سڌو سنئون، ٺاهي، برقرار رکڻ ۽ سپورٽ ڪرڻ گهرجن. ساڳيو طريقو وٺو جڏهن ڳولڻ جي ضابطي جي مواد کي ڏسي. ڪميونٽي ضابطا ضروري آهن، پر توهان کي اميد رکڻ گهرجي ته توهان جي وينڊر بنيادي دريافتن جي هڪ مضبوط لائبريري ٺاهي ۽ برقرار رکي جيڪا باقاعده آزمائشي، سپورٽ، ۽ بهتر ڪئي وئي آهي. اعلي معيار جي، منظم ٿيل خطري جي سڃاڻپ تنظيمن لاء اهم آهي انهن جي حفاظتي پوزيشن کي منظم ڪرڻ لاء. Google SecOps نئين ۽ اڀرندڙ خطرن جي باڪس کان ٻاهر جي سڃاڻپ مهيا ڪري ٿي، جيڪا تنظيمن کي سيڪيورٽي واقعن کي جلدي سڃاڻڻ ۽ جواب ڏيڻ ۾ مدد ڪري سگهي ٿي.
• SIEM سان AI
  • ڇا SIEM AI کي شامل ڪري ٿو، ۽ ڇا اھو جدت جاري رکڻ لاءِ پوزيشن ۾ آھي؟
    SIEM ۾ مصنوعي ذهانت جو ڪردار اڃا تائين مڪمل طور تي سمجهي نه سگهيو آهي (گهڻو گهٽ لاڳو ٿيل) ڪنهن به وينڊرز طرفان. بهرحال، معروف SIEMs وٽ اڳ ۾ ئي AI-هلندڙ خاصيتون آهن جيڪي اڄ تائين پهچائڻ وارا آهن. انهن خاصيتن ۾ ڳولها ۽ ضابطن جي اظهار لاءِ قدرتي ٻولي پروسيسنگ، خودڪار ڪيس جو خلاصو، ۽ تجويز ڪيل جوابي عمل شامل آهن. اڪثر گراهڪ ۽ صنعت مبصرن کي خطرن جي نشاندهي ۽ پيش گوئي ڪندڙ مخالف تجزيي جهڙين خاصيتن تي غور ڪن ٿا ته AI-هلندڙ SIEM صلاحيتن جا ڪجهه ”مقدس گرلز“. ڪوبه SIEM معتبر طور تي پيش ڪري ٿو اهي خاصيتون اڄڪلهه. جئين توهان 2024 ۾ هڪ نئون SIEM چونڊيو، غور ڪريو ته ڇا وينڊرز انهن تبديلين واري صلاحيتن تي بامعني ترقي ڪرڻ لاءِ ضروري وسيلن تي سيڙپڪاري ڪري رهيو آهي.

گوگل سيڪيورٽي آپريشنز (اڳوڻي ڪرنيڪل) هڪ ڪلائوڊ تي ٻڌل SIEM حل آهي جيڪو گوگل ڪلائوڊ پاران پيش ڪيو ويو آهي. اهو تنظيمن کي مرڪزي طور تي لاگ ۽ ٻين سيڪيورٽي ٽيليميٽري گڏ ڪرڻ ۾ مدد ڏيڻ لاءِ ٺاهيو ويو آهي، پوءِ اصل وقت ۾ سيڪيورٽي خطرن کي ڳولڻ، تحقيق ڪرڻ ۽ جواب ڏيڻ. 

• سيڪيورٽي خطرن کي ڳولڻ ۽ ترجيح ڏيو: Google SecOps جا باڪس کان ٻاهر ڳولڻ جا ضابطا اصل وقت ۾ سيڪيورٽي خطرن جي نشاندهي ڪن ٿا ۽ ترجيح ڏين ٿا. هي تنظيمن کي جلدي ۽ مؤثر طريقي سان انتهائي نازڪ خطرن جو جواب ڏيڻ ۾ مدد ڪري ٿو.
• سيڪيورٽي واقعن جي تحقيق ڪريو: Google SecOps سيڪيورٽي واقعن جي تحقيقات لاءِ مرڪزي پليٽ فارم مهيا ڪري ٿو. هي تنظيمن کي جلدي ۽ موثر طريقي سان ثبوت گڏ ڪرڻ ۽ واقعي جي دائري کي طئي ڪرڻ ۾ مدد ڪري ٿي.
• سيڪيورٽي واقعن جو جواب: Google SecOps تنظيمن کي سيڪيورٽي واقعن جو جواب ڏيڻ ۾ مدد ڏيڻ لاءِ مختلف اوزار مهيا ڪري ٿو، جهڙوڪ خودڪار علاج. خطري جي شڪارين کي پليٽ فارم جي رفتار، ڳولها صلاحيتون، ۽ لاڳو ٿيل خطري واري انٽيليجنس کي انمول معلوم ٿئي ٿو حملي ڪندڙن کي ڳولڻ لاءِ جيڪي شايد ٽڪرن مان ڦٽي ويا هجن. هي تنظيمن کي جلدي ۽ مؤثر طريقي سان شامل ڪرڻ ۽ سيڪيورٽي واقعن جي اثر کي گهٽائڻ ۾ مدد ڪري ٿي.
  گوگل سيڪ اوپس ۾ ڪيترائي ايڊوان آھنtages روايتي SIEM حلن تي، بشمول:
• مصنوعي ذهانت: Google SecOps Google جي Gemini AI ٽيڪنالاجي کي استعمال ڪري ٿو محافظن کي قدرتي ٻولي استعمال ڪندي سيڪنڊن ۾ ڊيٽا جي وڏي مقدار کي ڳولڻ ۽ سوالن جا جواب ڏيڻ، واقعن جو خلاصو ڪرڻ، خطرن جو شڪار ڪرڻ، قاعدن ٺاهڻ، ۽ تحقيق جي حوالي سان تجويز ڪيل عملن کي پهچائڻ سان تيز فيصلا ڪرڻ لاءِ. سيڪيورٽي ٽيمون پڻ استعمال ڪري سگهن ٿيون Gemini کي سيڪيورٽي آپريشنز ۾ آساني سان جوابي پلے بڪ ٺاهڻ، ترتيبن کي ترتيب ڏيڻ، ۽ بهترين طريقا شامل ڪرڻ لاءِ- مدد ڪندي وقت سازي جي ڪمن کي آسان ڪرڻ لاءِ جن کي وڏي مهارت جي ضرورت آهي.
• لاڳو ٿيل خطري جي ڄاڻ: Google SecOps اصل ۾ Google Threat Intelligence (GTI) سان ضم ٿي ٿو، جيڪو VirusTotal، Mandiant Threat Intelligence، ۽ اندروني Google Threat انٽيليجنس ذريعن کان گڏيل انٽيليجنس شامل ڪري ٿو، گراهڪن کي گھٽ ڪوشش سان وڌيڪ خطرن کي ڳولڻ ۾ مدد ڏيڻ لاءِ.
• اسڪاليبلٽي: Google SecOps هڪ ڪلائوڊ تي ٻڌل حل آهي، تنهن ڪري اهو استعمال ڪري سگهي ٿو هائپر اسڪيل ڪلائوڊ انفراسٽرڪچر گوگل ڪلائوڊ پاران مهيا ڪيل ڪنهن به تنظيم جي ظرفيت ۽ ڪارڪردگي جي ضرورتن کي پورو ڪرڻ لاءِ، بغير سائيز جي.
• گوگل ڪلائوڊ سان انضمام: گوگل سيڪ اوپس ٻين گوگل ڪلائوڊ پروڊڪٽس ۽ خدمتن سان مضبوطي سان ضم ٿيل آهي، جهڙوڪ گوگل ڪلائوڊ سيڪيورٽي ڪمانڊ سينٽر انٽرپرائز (SCCE). هي انضمام آسان بڻائي ٿو تنظيمن لاءِ انهن جي حفاظتي عملن کي منظم ڪرڻ هڪ واحد، متحد پليٽ فارم ۾. Google SecOps GCP سروس ٽيليميٽري لاءِ بهترين SIEM آهي ۽ ٻين وڏن ڪلائوڊ فراهم ڪندڙن جهڙوڪ AWS ۽ Azure لاءِ باڪس مان ٻاهر ڳولڻ وارو مواد پڻ شامل آهي.

Google SecOps ۾ لاڳو ٿيل خطري جي ڄاڻ
Google SecOps سيڪيورٽي ٽيمن کي سيڪيورٽي ڊيٽا کي منظم ۽ تجزيو ڪرڻ جي اجازت ڏئي ٿو جيڪو خودڪار طريقي سان لاڳاپيل آهي ۽ خطري واري ڊيٽا سان گڏ. خطري جي ڄاڻ کي سڌو سنئون توهان جي SIEM ۾ ضم ڪرڻ سان، تنظيمون ڪري سگهن ٿيون:

• ڳولڻ ۽ ٽريج کي بهتر ڪريو: خطري جي ڊيٽا سڌو سنئون استعمال ڪري سگھجن ٿيون ضابطا ٺاهڻ لاءِ جيڪي مدد ڪري سگھن ٿيون حقيقي وقت ۾ بدسلوڪي سرگرمي کي سڃاڻڻ ۾. هي ڊيٽا پڻ استعمال ڪيو ويندو آهي حوالن کي ٻين الرٽ ۾ شامل ڪرڻ لاءِ ۽ خودڪار طور تي خبرداري ۾ اعتماد کي ترتيب ڏيڻ لاءِ. هي تنظيمن کي سيڪيورٽي واقعن کي جلدي ڳولڻ ۽ ٽريج ڪرڻ ۾ مدد ڪري ٿو، ۽ انهن جي وسيلن کي انتهائي نازڪ خطرن تي ڌيان ڏيڻ لاء.
• تحقيق ۽ جواب کي وڌايو: خطري جي ڄاڻ کي سيڪيورٽي تحقيقات دوران حوالن ۽ بصيرت مهيا ڪرڻ لاء استعمال ڪري سگهجي ٿو. اهو تجزيه نگارن جي مدد ڪري سگهي ٿو جلدي هڪ واقعي جي بنيادي سبب کي سڃاڻڻ ۽ موثر جوابي حڪمت عملين کي ترقي ۽ لاڳو ڪرڻ ۾.
• خطري جي منظرنامي کان اڳتي رهو: خطري جي انٽيليجنس تنظيمن جي مدد ڪري سگهي ٿي خطري جي منظرنامي کان اڳتي رهڻ لاءِ جديد خطرن ۽ خطرن بابت معلومات مهيا ڪندي. اها معلومات فعال حفاظتي قدمن کي ترقي ۽ لاڳو ڪرڻ لاءِ استعمال ٿي سگهي ٿي، جهڙوڪ خطري جو شڪار ۽ حفاظتي آگاهي جي تربيت.

Google SecOps ۾ خطري جي سڃاڻپ
Google SecOps خطري جي سڃاڻپ گوگل جي سيڪيورٽي ٽيمن کان فرنٽ لائن خطري جي ڄاڻ جي مسلسل وهڪرو تي ٻڌل آهي. هي انٽيليجنس استعمال ڪيو ويندو آهي قاعدن ۽ انتباہات ٺاهڻ لاءِ جيڪي حقيقي وقت ۾ بدسلوڪي سرگرمي جي سڃاڻپ ڪري سگهن ٿيون. گوگل سيڪ اوپس پڻ استعمال ڪري ٿو رويي جي تجزياتي ۽ خطري جي اسڪورنگ کي سيڪيورٽي ڊيٽا ۾ مشڪوڪ نمونن جي نشاندهي ڪرڻ لاءِ. هي Google SecOps کي خطرن کي ڳولڻ جي اجازت ڏئي ٿو جيڪي روايتي ڳولڻ جي ضابطن جي ذريعي نه ڳولي سگهجن ٿيون.

اعلي معيار جي قيمت، ٺهڪندڙ خطري جي سڃاڻپ واضح آهي. تنظيمون جيڪي Google SecOps استعمال ڪن ٿيون انهن مان فائدو حاصل ڪري سگھن ٿيون:

• بهتر سڃاڻپ ۽ ٽريج: گوگل سيڪ اوپس تنظيمن کي سيڪيورٽي واقعن کي جلدي سڃاڻڻ ۽ ٽريج ڪرڻ ۾ مدد ڪري سگھن ٿا. هي تنظيمن کي اجازت ڏئي ٿو ته انهن جي وسيلن کي انتهائي نازڪ خطرن تي ڌيان ڏيڻ.
• بهتر ڪيل تحقيق ۽ جواب: Google SecOps سيڪيورٽي تحقيقات دوران حوالا ۽ بصيرت مهيا ڪري سگھن ٿا. اهو تجزيه نگارن جي مدد ڪري سگهي ٿو جلدي هڪ واقعي جي بنيادي سبب کي سڃاڻڻ ۽ موثر جوابي حڪمت عملين کي ترقي ۽ لاڳو ڪرڻ ۾.
• خطري جي منظرنامي کان اڳتي رهو: Google SecOps تنظيمن کي تازي خطرن ۽ خطرن جي باري ۾ معلومات مهيا ڪندي خطري جي منظرنامي کان اڳتي رهڻ ۾ مدد ڪري سگھي ٿي. اها معلومات فعال حفاظتي قدمن کي ترقي ۽ لاڳو ڪرڻ لاءِ استعمال ٿي سگهي ٿي، جهڙوڪ خطري جو شڪار ۽ حفاظتي آگاهي جي تربيت.

SIEM لڏپلاڻ

تنهن ڪري توهان فيصلو ڪيو آهي ته هلڻ جو. لڏپلاڻ لاءِ توهان جو طريقو اهم آهي انهي کي يقيني بڻائڻ لاءِ ته توهان گهربل صلاحيتون برقرار رکو ۽ جلد کان جلد نئين پليٽ فارم تان قيمت ڪڍڻ شروع ڪريو. اهو هيٺ اچي ٿو ترجيحن تي. هڪ عام واپاري بند اهو تسليم ڪري رهيو آهي ته جڏهن هڪ SIEM لڏپلاڻ هڪ موقعي جي نمائندگي ڪري ٿي ته توهان جي تحقيق، ڳولڻ ۽ جواب جي پوري طريقي کي جديد بڻائڻ جو موقعو آهي، ڪيتريون ئي SIEM لڏپلاڻ ناڪام ٿي وڃن ٿيون ڇاڪاڻ ته تنظيمون ڪوشش ڪندا آهن "سمنڊ کي ابلڻ."

تنهن ڪري هتي آهن اسان جون بهترين صلاحون توهان جي ڪامياب SIEM لڏپلاڻ جي منصوبابندي ۽ عمل ڪرڻ لاءِ:

• پنھنجي لڏپلاڻ جا مقصد بيان ڪريو. اهو آواز واضح آهي، پر توهان جي SIEM لڏپلاڻ هڪ ڊگهو عمل آهي، تنهن ڪري توهان جي گهربل نتيجن جي وضاحت ڪرڻ (مثال طور، تيز خطري جي نشاندهي، آسان تعميل رپورٽنگ، بهتر نمائش، گھٽتائي تجزيي جي محنت، جڏهن ته قيمت پڻ گھٽائڻ) ڪاميابي سان مضبوط طور تي لاڳاپيل آهي.
• لڏپلاڻ کي گھر صاف ڪرڻ جو موقعو طور استعمال ڪريو. هي صاف ڪرڻ جو سٺو وقت آهي توهان جي ڳولا جا ضابطا ۽ لاگ ذريعن ۽ صرف انهن کي لڏپلاڻ ڪريو جيڪي توهان اصل ۾ استعمال ڪندا آهيو. اهو پڻ سٺو وقت آهي ٻيهرview توهان جي الرٽ ٽريج ۽ ٽيوننگ عمل ۽ پڪ ڪريو ته اهي تازه ترين آهن.
• هر لاگ ماخذ کي لڏپلاڻ نه ڪريو. نئين SIEM ڏانهن منتقل ٿيڻ هڪ بهترين موقعو آهي اهو فيصلو ڪرڻ لاءِ ته توهان کي ڪهڙا لاگ گهربل آهن، اهو تعميل يا حفاظتي سببن جي ڪري. ڪيتريون ئي تنظيمون وقت سان گڏ لاگ ڊيٽا جي وڏي مقدار کي گڏ ڪن ٿيون، ۽ اهو سڀ ڪجهه ضروري يا لاڳاپيل نه آهي. توهان جي لاگ ذريعن جو جائزو وٺڻ لاءِ وقت کڻڻ کان پهريان توهان انهن کي لڏپلاڻ ڪري سگهو ٿا، توهان پنهنجي SIEM کي منظم ڪري سگهو ٿا ۽ ڊيٽا تي ڌيان ڏئي سگهو ٿا جيڪو توهان جي حفاظت ۽ تعميل جي ضرورتن لاءِ تمام ضروري آهي.
• سڀ مواد لڏپلاڻ نه ڪريو. لڏپلاڻ ڪرڻ لاءِ توهان جي موجوده سڃاڻپ واري مواد، ضابطن، خبردارين، ڊيش بورڊز، تصويرن، ۽ پلے بڪ کي نئين SIEM ڏانهن منتقل ڪرڻ هميشه ضروري ناهي. توهان جي موجوده ڳولها ڪوريج جو جائزو وٺڻ لاء وقت وٺو ۽ قاعدن جي لڏپلاڻ کي ترجيح ڏيو جيڪي توهان کي گهربل آهن. توهان قاعدن کي مضبوط ڪرڻ جا موقعا ڳوليندا، انهن قاعدن کي ختم ڪرڻ لاءِ جيڪي ٽيليميٽري جي کوٽ يا غلط منطق جي ڪري ڪڏهن به فائر نه ٿي سگهن، يا اهي قاعدا جن کي باڪس کان ٻاهر مواد ذريعي بهتر نموني سنڀاليو وڃي. ڪنهن به وينڊر يا ڊيپلائيشن پارٽنر کان سوال ڪيو جيڪو هڪ کان هڪ قاعدي لڏپلاڻ جي حمايت ڪري ٿو.
• ابتدائي مواد جي منتقلي کي ترجيح ڏيو. لاگ ذريعن جي دستيابي ۽ هر مخصوص استعمال جي ڪيس لاءِ گهربل واڌارن جي دستيابي تي فوري طور تي پتو لڳائڻ واري مواد جي لڏپلاڻ شروع ڪريو. هي ڊيٽا تي مبني طريقو، استعمال جي ڪيسن سان ذريعن کي ترتيب ڏيڻ، بهتر ڪارڪردگي ۽ نتيجن لاء متوازي لڏپلاڻ جي ڪوشش کي قابل بنائي ٿو.
• مواد جي لڏپلاڻ جو پتو لڳائڻ هڪ انساني اڳواڻي وارو عمل آهي. تيار ڪريو ڳولڻ واري مواد کي ٻيهر ٺاهڻ لاءِ (قاعدا، الرٽ، ڊيش بورڊ، ماڊل، وغيره) (اڪثر ڪري) شروع کان، توهان جي پراڻي مواد کي الهام طور استعمال ڪندي. اڄ، ڪو به بيوقوف طريقو نه آهي خودڪار طريقي سان ضابطن کي هڪ SIEM پليٽ فارم کان ٻئي ۾ تبديل ڪرڻ لاء. جڏهن ته ڪجهه وينڊرز نحو ترجمو ڪندڙ پيش ڪن ٿا، اهي عام طور تي مڪمل طور تي ترجمو ٿيل قاعدي، ڳولا، يا ڊيش بورڊ جي بدران سٺي جمپنگ آف پوائنٽ جي نتيجي ۾. توهان کي وڌ ۾ وڌ مشورو وٺڻ گهرجيtage انهن اوزارن مان، پر سمجهو ته اهي هڪ علاج نه آهن.
• ڳولڻ وارو مواد ڪيترن ئي ذريعن کان اچي ٿو. توهان جي سڃاڻپ جي ڪوريج جي ضرورتن جو تجزيو ڪريو، پوء اپنائڻ يا توهان جي سڃاڻپ جي استعمال جا ڪيس ٺاهيو جيئن ضرورت هجي. توھان جو SIEM وينڊر ڪجھھ دٻي مان مواد مهيا ڪندو جنھن جو توھان کي ھميشه فائدو وٺڻ گھرجي جيڪڏھن توھان ڪري سگھو. پڻ غور ڪريو ڪميونٽي قاعدن جي ذخيرن ۽ ٽئين پارٽي جي سڃاڻپ مواد فراهم ڪندڙ. جڏهن ضروري هجي ته، پنهنجا پنهنجا قاعدا لکو ۽ اڪثر قاعدن کي ياد رکو، انهن جي اصليت کان سواءِ، توهان جي تنظيم جي مخصوص ماحول لاءِ ترتيب ڏيڻ جي ضرورت آهي.
• هڪ حقيقي لڏپلاڻ واري ٽائم لائن کي ترقي ڪريو. ھن ۾ ڊيٽا جي منتقلي، ٽيسٽنگ، ٽيوننگ، ٽريننگ ۽ امڪاني اوورليپس لاءِ اڪائونٽنگ شامل آھي جتي توھان کي ٻئي سسٽم کي متوازي هلائڻ جي ضرورت پوندي. هڪ چڱي طرح بيان ڪيل لڏپلاڻ وارو منصوبو توهان جي خطرن کي سڃاڻڻ ۽ گهٽائڻ ۾ مدد ڪندو، ۽ يقيني بڻائيندو ته لڏپلاڻ ڪاميابي سان مڪمل ٿي وئي آهي. منصوبي ۾ هڪ تفصيلي ٽائم لائن، ڪمن جي هڪ فهرست، وسيلن، ۽ بجيٽ شامل هجڻ گهرجي. تسليم ڪيو ته وڏن منصوبن جهڙوڪ SIEM لڏپلاڻ کي مرحلن ۾ ٽوڙڻ گهرجي.
• جاچڻ. اسان سفارش ڪريون ٿا ته توهان جي SIEM کي جانچڻ جي مشق ڪريو ۽ ڊيٽا کي باقاعدي انجيڪشن ذريعي ڳولهڻ جو مواد جيڪو توهان جي سڃاڻپ کي متحرڪ ڪندو، تجزيي کي جانچڻ، ۽ ڊيٽا جي وهڪري جي تصديق ڪرڻ کان وٺي ڪيس کان جوابي پلے بڪ تائين. هڪ SIEM لڏپلاڻ هڪ بهترين وقت آهي سخت اپنائڻ لاءِ ڳولڻ واري انجنيئرنگ پروگرام جنهن ۾ اهڙي ٽيسٽ شامل آهي.
• ھڪڙي منتقلي جي مدت لاءِ تيار ڪريو جنھن دوران توھان ھلائيندؤ پراڻا ۽ نوان اوزار. هڪ تباهي واري ”رپ ۽ بدلي“ واري طريقي کان پاسو ڪريو. هڪ مرحليوار لڏپلاڻ، جتي توهان لاگ ذريعن کي لڏپلاڻ ڪندا آهيو ۽ ڪيسن کي استعمال ڪيو ٿا تدريجي عمل کي ڪنٽرول ڪرڻ ۾ مدد ڪري ٿو ۽ خطري کي گھٽائي ٿو. انهي سان گڏ، توهان جي پراڻي SIEM کان نئين ڊيٽا کي ٻيهر ڏيڻ بابت ٻه ڀيرا سوچيو. ڪجهه حالتن ۾، توهان کي تاريخي ڊيٽا تائين رسائي جي اجازت ڏيڻ لاء وڌايل عرصي تائين هلندڙ اڳئين SIEM کي ڇڏڻ جي صلاحيت هوندي.
• پنھنجي ٽيمن کي فعال ڪريو. توهان جي SIEM لڏپلاڻ ناڪام ٿي ويندي جيڪڏهن توهان جا تجزيه نگار نئين سسٽم کي استعمال نٿا ڪري سگهن. هڪ سٺو لڏپلاڻ وارو منصوبو توهان جي ٽيمن لاءِ گہرے چالو شامل ڪندو. سوچيو ته ٽريننگ انجنيئرن کي ڊيٽا آن بورڊنگ ۽ پارس ڪرڻ تي، ٽريننگ تجزيه نگارن تي ڪيس مئنيجمينٽ/تحقيق/ٽريج، خطرن جو شڪار ڪندڙ انمولي ڊيٽڪشن/سرچ تي، ۽ قاعدي لکڻ تي انجنيئرن کي ڳولڻ. فعال ٿيڻ لاءِ وقت اهم آهي. اهو بهتر آهي ته عملي کي تربيت ڏني وڃي جيئن اهي لڏپلاڻ جي مخصوص مرحلن تي عمل ڪن، بجاءِ انهن مهارتن جي ضرورت کان اڳ تربيت جي.
• مدد حاصل ڪريو! جيڪڏهن توهان خوش قسمت آهيو (يا ٿي سگهي ٿو بدقسمت؟) هڪ عملي يا اڳواڻ جي حيثيت سان، توهان شايد پنهنجي ڪيريئر ۾ هڪ يا ٻه SIEM لڏپلاڻ مان گذريا هوندا. ڇو نه ماهرن کان مدد طلب ڪريو جن اهو درجن يا سوين ڀيرا ڪيو آهي؟ وينڊر کان پيشه ورانه خدمتون ٽيمون ۽/يا قابل خدمتون ڀائيوارن کان صلاحڪار ٽيمون هڪ بهترين انتخاب آهن. SIEM لڏپلاڻ گهڻو ڪري انساني مرڪز جون ڪوششون آهن.

اهم عمل: چونڊيو هڪ ڊپلوميٽ پارٽنر
ڪنهن به فيصلي جو SIEM لڏپلاڻ جي آخري ڪاميابي تي ڊپلائيمينٽ پارٽنر جي چونڊ کان وڌيڪ اثر نه پوندو. SIEM پليٽ فارمز وڏي پيماني تي، پيچيده، انٽرنيشنل سسٽم آهن. ان کي اڪيلو وڃڻ جي ڪوشش نه ڪريو؛ هڪ ڊيپلائيمينٽ پارٽنر سان رهو جيڪو ڪيترن ئي لڏپلاڻن مان گذريو آهي.

ڊيپلائيمينٽ پارٽنر شايد نئين SIEM وينڊر جو پروفيشنل سروسز بازو هجي. بهرحال، لڏپلاڻ کي هلائڻ لاءِ ٽئين پارٽي پارٽنر کي چونڊڻ وڌيڪ عام آهي. ياد رهي ته SIEM لڏپلاڻ هڪ انساني ڪوشش آهي. نئين SIEM ۾ سرٽيفڪيشن سان گڏ پارٽنر جو انتخاب ڪرڻ ۽ ڪافي حوالا پارٽنر بھترين آھي. اهو پڻ مدد ڪري ٿو جيڪڏهن انهن وٽ ماهر آهي SIEM جنهن مان توهان لڏپلاڻ ڪري رهيا آهيو. حوالن کان ٻاهر، توهان جي نئين SIEM سان ڀائيواري جي تجربي جي سطح کي طئي ڪرڻ جو هڪ هوشيار طريقو اهو آهي ته ڪميونٽي فورمز کي چيڪ ڪريو ته ڇا ٽيم هڪ سرگرم مددگار رهي آهي. ليکڪن جي راءِ ۾، انتهائي مصروف پارٽنر اسٽاف ڪامياب SIEM لڏپلاڻ سان لاڳاپو رکي ٿو. SIEM لڏپلاڻ جي ٽيڪنيڪل بٽس ۽ بائيٽس کان سواءِ، توهان پڻ پارٽنر چونڊي سگهو ٿا جن کي توهان جي صنعت ۾ مخصوص تجربو آهي عمودي، يا توهان جي تعميل واري ماحول ۾، يا توهان جو علائقو، يا سڀ ٽي! توھان ڳولهي سگھوٿا ٻولي جي صلاحيتن ۽ وسيلن کي ايڊوان ۾tageous وقت زون. توهان انهن ڀائيوارن کي پڻ ڳولي سگهو ٿا جيڪي توهان جي لاءِ توهان جي SIEM کي هلائيندا آهن، يا جيڪي هڪ منظم سيڪيورٽي سروس فراهم ڪندڙ جي حيثيت سان ملندڙ نتيجا فراهم ڪن ٿا جيڪي توهان جي تنظيم جي SIEM کي جزوي طور يا مڪمل طور تي آئوٽ سورس ڪري سگهن ٿا.

اهم عمل: دستاويز موجوده ترتيب ۽ استعمال ڪيس
SIEM جون ترتيبون عام طور تي وسيع هونديون آهن، استعمال جي سالن کان گنجائش ۽ پيچيدگي ۾ مسلسل وڌندا آهن. ٿوري يا ڪا به دستاويز لاء تيار ڪريو. توقع ڪريو ته اهلڪار جيڪي SIEM جي شروعاتي تشڪيل ۽ ڪسٽمائيزيشن کي انجام ڏين ٿا، اڪثر وقت گذري ويا آهن. لڏپلاڻ جي عمل ۾ شروعاتي ترتيبن ۽ صلاحيتن کي مڪمل طور تي دستاويز ڪرڻ جو مطلب ٿي سگھي ٿو ڪاميابي ۽ ناڪامي جي وچ ۾ فرق.

• SIEM پاران استعمال ڪيل سڃاڻپ ۽ رسائي جي انتظام کي دستاويز ڪريو. توهان کي يقيني طور تي ڊيٽا ۽ خاصيتن تائين ڪجهه ڪردار جي بنياد تي رسائي محفوظ ڪرڻ جي ضرورت پوندي. ٻئي طرف لڏپلاڻ هڪ موقعو آهي تجزيو ڪرڻ ۽ پتو لڳائڻ جي رسائي جي اسپرول جيڪا قدرتي طور تي اڪثر تنظيمن ۾ ٿئي ٿي. توهان شايد لڏپلاڻ جي عمل کي هڪ موقعي جي طور تي پڻ ڏسي سگهو ٿا تصديق / اجازت ڏيڻ جي طريقن کي جديد ڪرڻ جو موقعو جنهن ۾ فيڊريشن شناخت ڪارپوريٽ معيارن سان گڏ ۽ ملٽي فيڪٽر جي تصديق کي لاڳو ڪرڻ.
• گڏ ڪيل ڊيٽا جي قسمن جا نالا پڪڙيو. ياد رهي ته ڪجهه SIEM انهن نالن کي سڏين ٿا ”سورس ٽائپ“ يا ”لاگ ٽائپ“. پڪ ڪريو ته هر ڊيٽا جي قسم جو ڪيترو ڊيٽا گيگا بائيٽ/ڏينهن ميٽرڪ طور استعمال ڪري رهيو آهي. هر ڊيٽا ماخذ لاءِ ڊيٽا پائپ لائن کي دستاويز ڪريو (ايجنٽ جي بنياد تي، API سوال، web hook, cloud bucket ingestion, ingestion API, HTTP listener, etc.)، ۽ ڪنهن به ڪسٽمائيزيشن سان گڏ SIEM جي پارسر جي ترتيب کي پڪڙيو.
• محفوظ ڪيل ڳولها گڏ ڪريو، ڊيش بورڊ جي تعريف، ۽ ڳولڻ جا ضابطا. ڪيتريون ئي SIEMs وٽ پڻ مسلسل ڊيٽا اسٽوريج ميڪانيزم آهن جهڙوڪ ڏسندڙ جدول. سمجھڻ ۽ دستاويز ڪرڻ جي پڪ ڪريو ته اهي ڪيئن آباد ۽ استعمال ڪيا ويا آهن.
• ٻاهرين سسٽم سان گڏ انضمام جي هڪ فهرست ٺاهيو. ڪيترائي SIEM ڪيس مئنيجمينٽ سسٽم، تعلقي ڊيٽابيس، نوٽيفڪيشن سروسز (اي ميل، ايس ايم ايس، وغيره)، ۽ خطري جي انٽيليجنس پليٽ فارمن سان گڏ ٿين ٿا.
• جوابي مواد کي پڪڙيو جيئن پلي بڪ، ڪيس مئنيجمينٽ ٽيمپليٽس، ۽ ڪي به فعال انضمام جيڪي اڳ ۾ دستاويز نه ڪيا ويا آهن.

انهن اهم ٽيڪنيڪل تفصيلن کي گڏ ڪرڻ کان سواءِ، ان لاءِ وقت وٺڻ ضروري آهيview موجوده SIEM جا استعمال ڪندڙ انهن جي ڪم جي وهڪري کي سمجهڻ لاءِ. پڇو ته اهي SIEM ڪيئن استعمال ڪن ٿا، ڪهڙي معياري آپريٽنگ طريقا SIEM تي ڀروسو ڪن ٿا. اهو پڻ اهم آهي ته وسيع سوال پڇڻ جهڙوڪ سيڪيورٽي کان ٻاهر ڪهڙيون ٽيمون SIEM استعمال ڪري سگهن ٿيون. مثال طورampلي، تعميل ٽيمن يا آئي ٽي آپريشنز اسٽاف لاءِ SIEM تي ڀروسو ڪرڻ غير معمولي ڳالهه ناهي. انهن استعمال جي ڪيسن کي پڪڙڻ ۾ ناڪام ٿيڻ بعد ۾ لڏپلاڻ جي عمل ۾ اميدون ختم ٿي سگهن ٿيون.

اهم عمل: لاگ ماخذ لڏپلاڻ
لاگ ماخذ لڏپلاڻ شامل آهي ڊيٽا ذريعن کي پراڻي SIEM کان نئين SIEM ڏانهن منتقل ڪرڻ. اهو عمل موجوده ترتيب جي دستاويزن تي منحصر آهي عمل: دستاويز موجوده ترتيب ۽ استعمال سيڪشن.

ھيٺيون مرحلا عام طور تي لاگ ماخذ لڏپلاڻ واري عمل ۾ شامل آھن:

1. دريافت ۽ فهرست: پهريون قدم سڀني لاگ ذريعن کي دريافت ڪرڻ ۽ ان جي فهرست ڪرڻ آهي جيڪي هن وقت پراڻي SIEM پاران داخل ڪيا پيا وڃن. اهو مختلف طريقن سان استعمال ڪري سگهجي ٿو، جهڙوڪ ريviewSIEM جي تشڪيل ۾ files يا APIs ۽ لاڳاپيل اوزار استعمال ڪندي.
2. ترجيح ڏيڻ: هڪ دفعو لاگ ذريعن کي دريافت ڪيو ويو ۽ ايجاد ڪيو ويو، انهن کي لڏپلاڻ لاء ترجيح ڏيڻ جي ضرورت آهي. اهو ٿي سگهي ٿو ڪيترن ئي عنصرن جي بنياد تي، جهڙوڪ تجزياتي لاگ ان ماخذ پاران هلائيندڙ، ڊيٽا جي مقدار، ڊيٽا جي نازڪ، تعميل گهرجن، ۽ لڏپلاڻ جي عمل جي پيچيدگي.
3. لڏپلاڻ جي منصوبه بندي: هڪ دفعو لاگ ذريعن کي ترجيح ڏني وئي آهي، هڪ لڏپلاڻ جو منصوبو ٺاهيو وڃي.
4. لڏپلاڻ جو عمل: لڏپلاڻ وارو عمل پوءِ رٿابندي مطابق عمل ۾ اچي سگھي ٿو. ھن ۾ مختلف قسم جا ڪم شامل ٿي سگھن ٿا، جھڙوڪ نئين SIEM ۾ فيڊ کي ترتيب ڏيڻ، ايجنٽن کي انسٽال ڪرڻ، APIs کي ترتيب ڏيڻ وغيره.
5. جاچ ۽ تصديق: هڪ دفعو لڏپلاڻ مڪمل ٿي وئي آهي، اهو ضروري آهي ته جانچ ۽ تصديق ڪرڻ لاء لاگ ڊيٽا صحيح طور تي داخل ٿي رهيو آهي. هن کي استعمال ڪريو هڪ موقعي جي طور تي ڊيٽا ذريعن لاءِ خبرداري ترتيب ڏيڻ لاءِ جيڪي خاموش ٿي ويا آهن.
6. دستاويز: آخرڪار، اهو ضروري آهي ته نئين لاگ ماخذ جي ترتيب کي دستاويز ڪرڻ لاء.

اهم عمل: لڏپلاڻ جو پتو لڳائڻ ۽ جوابي مواد
SIEM جي ڳولا ۽ جوابي مواد ضابطن، ڳولها، پلے بڪ، ڊيش بورڊز، ۽ ٻين ترتيبن تي مشتمل آهي جيڪي بيان ڪن ٿا ته توهان جي SIEM الارٽس ڇا آهي ۽ اهو تجزيه نگارن کي انهن خبردارين کي سنڀالڻ ۾ ڪيئن مدد ڪري ٿو. بغير مناسب ترتيب واري مواد جي، SIEM صرف ڳولڻ جو هڪ فينسي طريقو آهي. اهو آهي "مهانگو گريپ" - هڪ اصطلاح جيڪو ليکڪن جي هڪ ساٿي ڪيترن ئي سال اڳ ٺهرايو هو. SIEM مواد توهان جي تنظيم جي دريافت جي ڪوريج کي بيان ڪرڻ ۾ اهم ڪردار ادا ڪري ٿو.

• حفاظتي واقعن جي نشاندهي ڪرڻ لاءِ ضابطا استعمال ڪيا ويندا آهن. ڊيٽيڪشن انجنيئرز جن کي سيڪيورٽي خطرن جي ڪردارن ۽ حڪمت عملين، ٽيڪنڪ، ۽ طريقيڪار (TTPs) جي عام ڄاڻ آهي، اهي انهن کي لکن ٿا. ڳولڻ جا ضابطا نمونن لاءِ نظر اچن ٿا جيڪي لاگ ڊيٽا ۾ انهن TTPs جي نمائندگي ڪن ٿا. معلوم ڪرڻ جا ضابطا اڪثر ڪري مختلف لاگ ذريعن کي گڏ ڪن ٿا ۽ خطري جي ڄاڻ واري ڊيٽا جو استعمال ڪن ٿا.
• جوابي پلے بڪ استعمال ڪيا ويندا آھن سيڪيورٽي الرٽس جي جواب کي خودڪار ڪرڻ لاءِ. اهي ڪم شامل ڪري سگھن ٿا جهڙوڪ نوٽيفڪيشن موڪلڻ، سمجھوتي ڪيل ميزبان کي الڳ ڪرڻ، لاڳاپيل ڊيٽا / خطري جي ڄاڻ سان خبردار ڪرڻ، ۽ ريميڊيشن اسڪرپٽ هلائڻ.
• ڊيش بورڊ سيڪيورٽي ڊيٽا کي ڏسڻ ۽ سيڪيورٽي واقعن جي صورتحال کي ٽريڪ ڪرڻ لاء استعمال ڪيا ويا آهن. اهي تنظيم جي مجموعي سيڪيورٽي پوزيشن جي نگراني ڪرڻ ۽ رجحانات ۽ نمونن کي سڃاڻڻ لاء استعمال ڪري سگھجن ٿيون.
• نئين ڳولڻ ۽ جوابي مواد جي ترقي هڪ ٻيهر عمل آهي. اهو ضروري آهي ته مسلسل SIEM جي نگراني ڪرڻ ۽ ضرورت مطابق مواد کي ترتيب ڏيو. SIEM لڏپلاڻ هڪ بهترين وقت آهي توهان جي عملن کي بهتر ڪرڻ لاءِ طريقا استعمال ڪندي جيئن سڃاڻپ جي طور تي ڪوڊ (DaC).

اهم عمل: تربيت ۽ چالو ڪرڻ
SIEM لڏپلاڻ دوران اڪثر نظر انداز ٿيل عمل صارف جي تربيت آهي. SIEM شايد سڀ کان اهم واحد اوزار آهي جيڪو سيڪيورٽي آپريشن ٽيم استعمال ڪري ٿو. ان کي موثر ۽ پيداواري طريقي سان استعمال ڪرڻ جي صلاحيت لڏپلاڻ جي ڪاميابي ۾ وڏو ڪردار ادا ڪندي، ۽ توهان جي تنظيم جي حفاظت ڪرڻ جي صلاحيت. ٽريننگ مواد ۽ ترسيل مهيا ڪرڻ لاءِ پنهنجي SIEM فراهم ڪندڙ ۽ ڊيپلائيمينٽ پارٽنر تي ڀروسو ڪريو. هتي عنوانن جي هڪ مختصر فهرست آهي جنهن تي توهان جي ٽيمن کي فعال ڪيو وڃي.

• لاگ فيڊ انجڻ ۽ پارس ڪرڻ
• ڳولا / تحقيق
• ڪيس جو انتظام
• ضابطو لکڻ
• ڊيش بورڊ ڊولپمينٽ
• Playbook / Automation

نتيجو

• آخرڪار، هڪ ورثي SIEM کان جديد حل ڏانهن لڏپلاڻ ناگزير آهي. جڏهن ته چيلينج شايد مشڪل نظر اچن ٿا، هڪ چڱي طرح منصوبابندي ۽ عملدرآمد لڏپلاڻ خطري جي نشاندهي، جوابي صلاحيتون، ۽ مجموعي سيڪيورٽي پوزيشن ۾ اهم سڌارو آڻي سگهي ٿي.
• نئين SIEM جي چونڊ تي غور سان غور ڪندي، ڪلائوڊ-نيٽيو آرڪيٽيڪچر جي طاقتن کي استعمال ڪندي، ترقي يافته خطري جي ڄاڻ کي شامل ڪرڻ، ۽ AI-هلائيندڙ خصوصيتن کي استعمال ڪندي، تنظيمون پنهنجي سيڪيورٽي ٽيمن کي بااختيار بڻائي سگهن ٿيون ته جيئن هميشه ترقي ڪندڙ خطرن جي خلاف فعال طور تي دفاع ڪن. ڪامياب لڏپلاڻ واري عمل ۾ محتاط رٿابندي، جامع دستاويز، اسٽريٽجڪ لاگ سورس ۽ مواد جي لڏپلاڻ، مڪمل جانچ، ۽ جامع صارف جي تربيت شامل آهي.
• تجربيڪار مقرري جي ماهرن سان ڀائيواري پيچيدگين کي نيويگيٽ ڪرڻ ۽ آسان منتقلي کي يقيني بڻائڻ ۾ انمول ٿي سگهي ٿي. مسلسل سڌارڻ جي عزم سان ۽ ڳولڻ واري انجنيئرنگ تي ڌيان ڏيڻ سان، تنظيمون مڪمل طور تي استعمال ڪري سگهن ٿيون
• انهن جي نئين SIEM جي صلاحيت ۽ ايندڙ سالن تائين انهن جي حفاظت جي حفاظت کي مضبوط ڪرڻ.

اضافي پڙهڻ

• "ڪيئن گوگل سيڪ اوپس توهان جي SIEM اسٽيڪ کي وڌائڻ ۾ مدد ڪري سگھن ٿا" پيپر
• "SOC جو مستقبل: ارتقا يا اصلاح - پنھنجو رستو چونڊيو" ڪاغذ
• گوگل ڪلائوڊ سيڪيورٽي ڪميونٽي بلاگ
• ڳولڻ انجنيئرنگ هفتيوار نيوز ليٽر
• detect.fyi - پروسيسر-سينٽرڪ ٽوٽڪا ڳولڻ واري انجنيئرنگ تي
• ڊيٽڪشن-اي-ڪوڊ ۽ گوگل سيڪيورٽي آپريشنز سان شروع ڪرڻ - ڊيوڊ فرينچ (حصو پهريون، حصو ٻيو)
• هڪ جديد ڳولڻ واري انجنيئرنگ ورڪ فلو کي لاڳو ڪرڻ - ڊين لوسيئر (حصو پهريون, حصو ٻيو, حصو ٽيون)

وڌيڪ معلومات لاءِ دورو ڪريو cloud.google.com

FAQ

عبرت: عظيم SIEM لڏپلاڻ ھدايت جو مقصد ڇا آهي؟
ج: گائيڊ جو مقصد تنظيمن جي مدد ڪرڻ آهي ته جيئن پراڻي SIEM حلن کان نئين، وڌيڪ موثر آپشنز ڏانهن خطري جي پتو لڳائڻ ۽ جواب ڏيڻ لاءِ.

سوال: مان ڪھڙي ريت فائدو حاصل ڪري سگھان ٿو بادل جي اصلي SIEM مان؟
ج: ڪلائوڊ-مقامي SIEMs ڪلائوڊ ڪم لوڊ لاءِ اسڪالائيبلٽي، لاڳت-ڪارڪردگي، ۽ موثر سيڪيورٽي مهيا ڪن ٿا انهن جي فن تعمير ۽ صلاحيتن جي ڪري.

دستاويز / وسيلا

Google Cloud SIEM لڏپلاڻ [pdf] هدايتون SIEM لڏپلاڻ، لڏپلاڻ

حوالو

• استعمال ڪندڙ دستي