ما الخطأ الذي يمكن أن يحدث في قواعد الارتباط SIEM؟
معقد وذكي، أي نظام SIEM قد لا يزال يشكل بعض التحديات على المدى الطويل، والتي يصعب تحديدها مقدمًا.
في بعض الحالات، يعود الأمر إلى قواعد الارتباط الخاصة بنظام SIEM. بدون هذه القواعد، يتحول النظام إلى مسجل أحداث أمان بسيط. إذا تم تكوين هذه القواعد بشكل خاطئ، فقد يفوت نظام SIEM هجومًا أو يواجه مشكلات في الأداء.
تتناول المقالة أربع مشكلات محتملة تتعلق بقواعد الارتباط في سياق IBM® Security QRadar® SIEM.
قواعد الارتباط SIEM
إيجابيات كاذبة
يمكن لأي قاعدة ارتباط تقريبًا إنشاء نتيجة إيجابية كاذبة (أي سلوك يتم تحديده على أنه ضار ولكن يثبت أنه ليس كذلك). على سبيل المثال، قد ينظر جهاز فحص الثغرات الأمنية عن بعد الشرعي التابع للشركة إلى نظام SIEM باعتباره مهاجمًا عدوانيًا، وبالتالي سيتسبب QRadar في وقوع حادث. وفي غضون فترة زمنية قصيرة، قد تؤدي قاعدة واحدة تؤدي إلى نتائج إيجابية كاذبة إلى إنشاء مئات التنبيهات. من الناحية العملية، غالبًا ما يتم تعطيل هذه القواعد، مما يزيد من ضعف SIEM.
عادة، يكون التشغيل الإيجابي الخاطئ متأصلًا في QRadar SIEM الجاهز، وبالتالي يجب ضبط تكويناته إما داخليًا أو بواسطة مستشارو SIEM.
قواعد معطلة
يحتوي QRadar الجاهز على حوالي 250 القواعد. يتم تعطيل 60% منها في التثبيت الافتراضي لأن هذه القواعد أقل احتمالية للتطبيق على بيئة شبكة العميل. في بعض الأحيان، يقوم مسؤولو الأمان بإيقاف القواعد عن طريق الخطأ، أو لأنهم ينتجون الكثير من النتائج الإيجابية الخاطئة. ونتيجة لذلك، بينما تعتقد أن نظام SIEM الخاص بك هو علامة أمنية، فإنك في الواقع تفتقد التهديدات باستمرار.
وأخيرًا، لا ينبغي لنا أن نتجاهل الحالات التي يتم فيها تعطيل القواعد لأسباب ضارة. ولحسن الحظ، فإن مثل هذه الجرائم الأمنية نادرة، حيث يفضل مجرمو الإنترنت حذف مصادر الأحداث.
تخصيص القاعدة غير كاف
بالنسبة للأمن السيبراني 360 درجة، يجب تغطية كل حدث أمني بمجموعة من القواعد التي يجب أن تتوافق مع سياسة أمان الشركة وخصائص الشبكة. لنفترض أن شركتك قررت الاستغناء عن مستشار أمن المعلومات وتثبيت برنامج SIEM جاهز. ستكون قواعد الارتباط الخاصة بالنظام عامة جدًا ولن تغطي جميع حالات الاستخدام. لضمان الكشف الفعال عن التهديدات، ينبغي للمرء تخصيص آليات الارتباط. قد يتم تخصيص هذه المهمة لمسؤول أمان معين خصيصًا أو لمورد أمن معلومات ماهر. لن يقوموا بتحديد التهديدات الفعلية فحسب، بل سيقللون أيضًا من MTTR (متوسط الوقت اللازم للإزالة). في هذه الحالة، سيتم إنفاق أموالك بشكل جيد.
تنفيذ القاعدة الطويلة
إحدى مشكلات الأداء التي قد يواجهها نظام SIEM الخاص بك هي تنفيذ القواعد التي تستغرق وقتًا طويلاً. السبب الشائع لذلك هو عندما لا يستخدم مسؤولو الأمان خيارات التصفية لإسقاط أي بيانات غير ذات صلة من مسار الأحداث. ونتيجة لذلك، سيتم تطبيق القاعدة على كل حدث، مما سيؤدي إلى إبطاء أداء نظام الأمان. التوقيت هو كل شيء. ينطوي تنفيذ القواعد الطويلة على خطر كبير يتمثل في عدم اكتشاف بعض الجرائم في الوقت المناسب. علاوة على ذلك، في سلسلة قواعد الارتباط، فإن القاعدة التي تتخلف عن الركب ستؤثر سلبًا على الوقت الإجمالي لتنفيذ القاعدة.
الضبط الدقيق هو الجواب
المشاكل المتعلقة بقواعد ارتباط SIEM المذكورة أعلاه لها حل مشترك وهو الضبط الدقيق.
يقوم بائعو برامج الأمان بإصدار المزيد والمزيد من المنتجات القوية، ويعدون بأن حلولهم الجاهزة ستغطي جميع احتياجات أمان الشبكة الخاصة بك. ومع ذلك، كل شبكة فريدة من نوعها. اختر نظام SIEM الذي يتوافق مع معظم متطلباتك، ولكن خذ وقتًا لاختيار المستشار المناسب لتخصيصه.