最后更新于2023年6月20日星期二20:29:41 GMT

我在几天内部署了我的SIEM,而不是几个月——下面是你也可以这样做的方法

作为一个高度数字化的制造公司的IT管理员, 在部署a之前,我度过了许多不眠之夜,无法看到我们环境的活动和安全性 安全信息和事件管理(SIEM) 解决方案. 在我工作的公司, Schlotterer Sonnenschutz系统有限公司, 我们有很多制造机器依赖于互联网接入和外部公司远程连接到我们公司的环境——我没有看到任何事情发生. 我的首要任务之一是寻找并实现最先进的安全解决方案——从SIEM工具开始.

我向IT部门的同事和合作伙伴询问了他们在部署和利用SIEM技术方面的经验. 我收到的大多数反馈是,部署SIEM是一个漫长而困难的过程. 然后,一旦建立起来,siem通常会丢失信息或难以从中提取可操作的数据.

这些反馈并没有给我带来多少信心——特别是因为这将是我第一次亲自部署SIEM. 我已经做好了漫长的部署之路的准备,同时也面临着搁置软件的风险. 然而,令我惊讶的是,经过鉴定 Rapid7的InsightIDR 作为我们选择的解决方案, 这个过程是可管理和有效的, 我们在部署后几天就开始收到价值. Rapid7显然是这个领域的异类:能够提供直观和加速的入职体验,同时仍然驱动可操作的见解和复杂的安全结果.

成功部署SIEM的3个关键步骤

根据我的经验, 我们的团队确定了成功部署SIEM必须采取的三个关键步骤:

  1. 识别核心事件源和资产 你打算上船吗 之前 部署
  2. 收集和关联相关的和可操作的安全遥测 在驱动可靠的早期威胁检测(不是噪音)的同时,形成对环境的全面和准确的看法
  3. 让数据在SIEM中工作 因此,您可以开始可视化和分析,以验证部署的成功

1. 确定船上的核心事件来源和资产

在部署SIEM之前, 收集尽可能多的环境信息,以便轻松地开始部署过程. Rapid7在我们的整个部署过程中提供了易于理解的帮助文档,以便为我们的成功做好准备. 说明非常详细,易于理解,使设置快速和无痛. 另外, 它们提供了大量开箱即用的预构建事件源, 简化我的经历. 几个小时之内,我就得到了我需要的所有信息.

基于Rapid7的建议,我们设置了所谓的 六大核心事件来源:

  • Active 导演y (AD)
  • LDAP协议服务器
  • DHCP事件日志
  • 域名系统(DNS)
  • 虚拟专用网(VPN)
  • 防火墙

创建这些事件源将获得通过SIEM的大部分信息,如果您的解决方案具有 用户行为实体分析 像insighttidr这样的功能. 快速获取所有数据开始基线化过程,以便您可以识别异常情况以及潜在的用户和内部威胁.

2. 收集和关联相关的和可操作的安全遥测

在正确部署和配置时, 一个好的SIEM将把您的安全遥测技术统一到一个统一的画面中. 如果执行不力,SIEM可能会产生无尽的噪音和警报迷宫. 要在正确的安全遥测和 威胁情报 开有意义的车, 可操作的威胁检测是有效检测的关键, 调查, 和响应. 一个好的解决方案可以协调其他不同的源,以提供环境和恶意活动的内聚视图.

insighttidr自带一个本机端点代理, 网络传感器, 大量的集成使这个过程更容易. 提供一些背景信息, Schlotterer Sonnenschutz系统有限公司, 我们有大量的移动设备, 笔记本电脑, 设备表面, 以及其他存在于公司外部的端点. Insight Network Sensor和Insight Agent结合在一起,可以监控IT部门物理边界之外的环境,实现跨办公室的完全可见性, 远程雇员, 虚拟设备, 和更多的.

就我个人而言, 在安装任何代理时, 我更喜欢采取循序渐进的方法来减少代理可能对端点产生的任何潜在负面影响. 与InsightIDR, I easily deployed Insight Agent on my own computer; then, 我把它推给了另一组电脑. Rapid7 Agent的轻量级软件部署在我们的基础设施上很容易. 我很快就把它自信地部署到我们所有的端点上.

有效地获取数据后,我们准备将注意力转向威胁检测. 我们所探索的传统SIEMs将大部分检测内容的创建留给了我们来配置和管理——这极大地扩大了部署和日常操作的范围. 然而, Rapid7提供了一个扩展的管理库,即开箱即用,消除了预先定制和配置的需要,并立即为我们提供覆盖. Rapid7的检测是由他们的内部审查的 耐多药 SOC, 也就是说它们不会产生太大的噪音, 我几乎不需要做任何调整,以便它们与我的环境保持一致.

3. 让您的数据在SIEM中发挥作用

对于我们资源有限的团队, 确保我们有相关的指示板和报告来跟踪关键系统, 我们网络中的活动, 支持审计和监管要求一直是重点. 和我的同龄人交谈, 我们厌倦了构建仪表板,因为它需要我们的团队编写复杂的查询来创建复杂的视觉效果和报告. insighttidr中包含的预构建仪表板再次为我们的团队节省了大量时间,并帮助我们动员了复杂的安全报告. 例如,我正在使用insighttidr的Active 导演y Admin Actions仪表板来识别:

  • 在过去的24小时内创建了哪些帐户?
  • 哪些账户在过去24小时内被删除了?
  • 什么帐户更改了密码?
  • 谁被添加为域管理员?

因为仪表板已经内置到系统中了, 我只需要几分钟就可以看到我需要看到的信息,并将这些数据导出到一个交互式HTML报告中,以便提供给涉众. 在部署自己的SIEM时, 我建议深入研究可视化选项, 看看如何打造自己的名片, 并探索任何可用的预构建内容,以了解开始看到可操作数据可能需要多长时间.  

我现在对我的环境有了了解. 我知道会发生什么. 如果我的环境中有任何恶意或可疑的东西,我肯定知道, Rapid7, Insight Agent, 或者我们集成到insighttidr中的任何资源都可以捕获它, 我可以马上采取行动.

更多阅读:

不要错过任何一个博客

获取有关安全的最新故事、专业知识和新闻.