Statisk og dynamisk hændelseskorrelation
På denne side
- Hvad er hændelseskorrelation?
- Statisk korrelation
- Dynamisk korrelation
Hvad er hændelseskorrelation?
En organisation af enhver størrelse kan have mange mistænkelige aktiviteter i sit netværk, og overvågning af disse aktiviteter kan hjælpe med at beskytte dit netværk mod potentielle trusler. Hvis en brugerkonto f.eks. har 100 mislykkede loginforsøg før et korrekt login, markerer sikkerhedsadministratorer dette som en mistænkelig aktivitet.
Nogle gange er det svært at definere den nøjagtige tærskel for at detektere en mistænkelig aktivitet. Hvis hackeren i ovenstående tilfælde knækker adgangskoden i det 90. forsøg, vil det ikke blive opdaget, hvis du opsætter en regel, der advarer dig efter 100 mislykkede logins efterfulgt af et korrekt login. For at løse dette har du brug for en mere effektiv og pålidelig måde at detektere mulige trusler på.
Hændelseskorrelation analyserer adskillige hændelser, føjer forretningskontekst til de analyserede hændelser og sammenkæder dem på en sekventiel måde, før der leveres logiske løsninger. Korrelation sammenligner sekvenser af aktivitet baseret på et sæt regler. Disse regler gør det muligt for din SIEM-løsning (Security Information and Event Management) at beslutte, hvilken mistænkelig aktivitet der skal behandles som en potentiel sikkerhedstrussel.
Du kan f.eks. definere en korrelationsregel til at lede efter hændelse X og Y, der forekommer i en bestemt rækkefølge, hvor X er antallet af mislykkede loginforsøg fra en brugerkonto fra en bestemt IP-adresse, og Y er et korrekt login fra den samme IP-adresse på en hvilken som helst maskine i netværket. Med denne regel på plads får du advarsler, hver gang en sekvens med disse hændelser indtræffer i netværket. De foruddefinerede faktorer i disse hændelser hjælper dig med at skelne mellem potentielle trusler og normale hændelser.
Du kan enten oprette regler baseret på din virksomheds behov eller bruge de regler, der er fastsat af din SIEM-løsning. Nøglen til at detektere hændelser præcist er at konfigurere korrelationssystemet i din sikkerhedsløsning ud fra beskaffenheden af din virksomhed.
Om denne forklaring: Dette indhold er en del af vores dybdegående serie om, hvad SIEM og SIEM-værktøjer er. Læs videre for at få ekspertindsigt og lære om bedste praksis!
Beskyttelse af din fortid og nutid
Der er to slags korrelation: statisk og dynamisk.
Statisk korrelation
Det er umuligt for virksomheder altid at være afhængige af en forebyggende sikkerhedsstrategi. Brud opstår uundgåeligt, og når det sker, er det vigtigt at analysere hvordan og hvorfor for at forhindre lignende hændelser i fremtiden og reducere deres konsekvenser.
Statisk korrelation er processen med at undersøge historiske logfiler for at analysere brud-aktiviteten efter en hændelse. Gennem statisk korrelation kan du analysere logdata og identificere komplekse mønstre fra tidligere hændelser. Det kan hjælpe dig med at opdage trusler, der kan have kompromitteret dit netværks sikkerhed, eller give dig oplysninger om et igangværende angreb.
Dynamisk korrelation
Dynamisk korrelation detekterer sikkerhedshændelser i realtid. Når korrelationsregler anvendes på hændelser, mens de finder sted, kan en SIEM-løsning straks analysere indgående logdata og lede efter angrebsmønstre. Med dynamisk korrelation får organisationer en hurtigere detekterings- og reaktionshastighed. Det hjælper dit netværk med at være beskyttet hele tiden.
Gennem statisk og dynamisk korrelation kan du sikre, at din organisations netværk har et rettidigt forsvar mod sikkerhedsangreb.