Azzeramento delle minacce con il modello preciso di Log360 di soglia adattiva basata su apprendimento automatico
Gli attuali strumenti di sicurezza di rete e le soluzioni SIEM aiutano gli analisti della sicurezza a ottenere una visibilità complessiva delle reti aziendali e a difendersi dalle minacce informatiche. Tuttavia, con l'aumento esponenziale della portata e del volume dei registri di rete, degli incidenti e delle minacce, è diventato inevitabile per i team SOC dover far fronte ai seguenti punti deboli:
Gestione manuale
Analisi, configurazione e revisioni periodiche per più casi di minacce.
Falsi avvisi
Passare al setaccio 1.000 notifiche dagli strumenti di sicurezza per trovare uno o due avvisi critici.
Con la transizione verso sistemi di rilevamento delle minacce più avanzati e automatizzati per risolvere questi problemi,
Log360 di ManageEngine è entrato nel mondo di un vero e proprio SIEM di nuova generazione introducendo
la prima capacità di soglia adattiva del settore per gli avvisi in tempo reale.
Scopri cosa offre la funzione:
Come funziona Smart Threshold
- La funzionalità Smart Threshold fa parte della funzionalità di Log360 Vigil IQ, il sistema di rilevamento, indagine e risposta alle minacce (TDIR) di Log360, che funziona con la console di risposta agli eventi in tempo reale e l'analisi del comportamento degli utenti e delle entità (UEBA).
- Utilizza l'algoritmo della media mobile esponenziale (EMA) per analizzare e correggere automaticamente un conteggio di base per eventi e anomalie che si verificano in un intervallo di tempo specifico.
- Aggiorna periodicamente la soglia di base ogni 15 set di dati.
Eventi aggregati da tutta la rete con il sistema di gestione centralizzata dei registri di Log360.
Log360 raccoglie e analizza i registri provenienti da oltre 750 origini di registro, fornendo registri in tempo reale di tutti gli eventi che si verificano nella rete.
Rilevamento di eventi e modelli anomali con moduli di avviso.
Il modulo di avviso SIEM utilizza 100 criteri predefiniti specifici per diverse origini di registri per rilevare attività dannose dagli eventi registrati.
La funzionalità UEBA usa l'analisi del comportamento basata su apprendimento automatico e il rilevamento dei modelli per attivare avvisi di anomalia.
Regolazione di precisione per filtrare i casi di avviso reali con soglia adattiva.
La generazione degli avvisi viene ulteriormente ottimizzata utilizzando la funzionalità di soglia adattiva per avvisare con precisione l'utente quando si verifica una deviazione dal normale verificarsi di eventi o anomalie.
Perché dovresti prendere in considerazione l'adozione di Smart Threshold?
- Automazione
- Rilevamento delle minacce
- Precisione nel tempo
- Anomalie basate sul conteggio
Automazione
L'impostazione di soglie per intervalli di tempo specifici, in base alle origini dei registri e ai criteri di avviso, è una delle configurazioni avanzate offerte nelle soluzioni SIEM per ridurre i falsi avvisi. La funzione di soglia adattiva di Log360 automatizza questa funzionalità e aiuta i team SOC ad abilitare più profili di avviso necessari per il loro ambiente, senza i problemi della configurazione manuale.
Modello a doppio livello per un rilevamento preciso delle minacce
Sebbene il modulo UEBA rilevi accuratamente le anomalie, è necessario anche un rilevamento preciso delle minacce per evitare di lavorare su eventi a bassa priorità, non di minaccia o falsi positivi. Il livello Smart Threshold, insieme al modulo UEBA, arricchirà contestualmente i feed delle anomalie e identificherà con precisione le minacce reali. Mentre il primo livello del rilevamento delle anomalie predefinito in UEBA rileva le deviazioni dai modelli stabiliti e le assegna la priorità in base al punteggio di rischio, il secondo livello crea una soglia di baseline per la frequenza delle deviazioni per individuare anomalie che rappresentano minacce reali.
Precisione migliorata nel tempo con adattamento dinamico
Con Smart Threshold di Log360 ha luogo un apprendimento costante e una messa a punto del processo di rilevamento delle minacce. Il modello di apprendimento automatico dinamico di EMA rivede la soglia di riferimento per ogni 15 set di dati in base alle modifiche nella rete, come ad esempio:
- Evoluzione del comportamento degli utenti
- Aumento o diminuzione della quantità di origini di registri
- Modifiche alla configurazione, ad esempio una regola del firewall aggiornata, che potrebbero iniziare a consentire più traffico
- Modifiche ai criteri di avviso SIEM e alle regole di anomalia.
Rilevamento precoce di anomalie basate su conteggio e correzione
Il rilevamento delle anomalie basato sul conteggio è configurato per gli eventi di rete che si verificano comunemente per aiutare a catturare importanti indicatori di compromissione nella fase iniziale, prima che si sviluppino completamente i modelli di minaccia degli attacchi ransomware e le minacce persistenti avanzate. La tabella seguente fornisce esempi di alcune anomalie basate sul conteggio che possono essere indicatori precoci di attacchi noti.
| Anomalie basate sul conteggio | Primi indicatori di compromissione |
|---|---|
| Accesso | Attacco di forza bruta Compromissione delle credenziali |
| Picchi anomali nelle nuove connessioni in uscita o in entrata | Compromissione dei canali di comando e controllo, esfiltrazione dei dati |
| Aumento degli eventi di reindirizzamento DNS | Attacchi di pharming, botnet |
| Comparsa di nuovi file, aumento dell'utilizzo delle risorse e arresti anomali delle applicazioni | Malware |
La soglia adattiva di Log360 aiuta a trovare picchi significativi in questi eventi senza l'attivazione costante di falsi allarmi. Gli IoC di rilevamento precoce facilitano anche la risposta immediata e la correzione delle minacce, riducendo gradualmente il tempo medio di scoperta (MTTD) e il tempo medio di risposta (MTTR).
Avvisi in Log360
- Aggiungi origini e criteri di registri
- Soglia manuale vs soglia intelligente
- Flusso di lavoro di correzione
- Gestisci gli avvisi in una dashboard centrale
Aggiungi origini e criteri di registri
Soglia manuale vs soglia intelligente
Flusso di lavoro di correzione
Gestisci gli avvisi in una dashboard centrale
Perché Log360?
Facilità di configurazione degli avvisi
Crea i tuoi profili di avviso con facilità utilizzando la dashboard degli avvisi in tempo reale di Log360 che offre:
- Una varietà di origini di registro, tra cui un'ampia gamma di dispositivi di rete, applicazioni, scanner di vulnerabilità e altro ancora.
- Oltre 500 criteri predefiniti per diversi casi d'uso
- Configurazione avanzata con soglia adattiva automatizzata
- Un'unica console per monitorare gli avvisi, filtrarli in base alla gravità e creare ticket
- Attivazione del flusso di lavoro integrato per i profili di avviso
Intelligence avanzata sulle minacce
Log360 acquisisce anche i feed delle minacce STIX/TAXII e Alienvalult OTX per il rilevamento contestuale delle minacce, oltre a offrire il rilevamento dei modelli in base a regole con la correlazione degli eventi in tempo reale e l'implementazione del framework di modellazione delle minacce MITRE ATT&CK.
Una suite completa di strumenti integrati
Migliora la tua strategia TDIR implementando una soluzione SIEM completa come Log360 con UEBA, CASB e funzionalità DLP integrate, che riunisce tutte le tue esigenze di sicurezza in un'unica console e ti aiuta a rilevare con precisione le minacce con funzioni automatizzate come la soglia di avviso adattiva.
Domande frequenti
Che cos'è la soglia adattiva?
Nel contesto delle soluzioni SIEM, la soglia adattiva è un meccanismo che analizza dinamicamente il verificarsi di eventi nella rete monitorata per creare una linea di base che differenzia il comportamento normale e i casi di anomalia reali. La soglia adattiva si adatta dinamicamente agli ambienti mutevoli e utilizza modelli di apprendimento automatico statistici per raggiungere questo obiettivo.
Che cos'è un sistema di rilevamento delle minacce a più livelli?
I moduli di rilevamento delle minacce rilevano modelli dannosi in una rete, individuano picchi anomali nel flusso di eventi e utilizzano metodi basati su regole e firme per rilevare le minacce. La sequenziazione di più metodi di rilevamento delle anomalie produce un sistema di rilevamento delle minacce a più livelli.
In Log360, il filtro basato sul conteggio che utilizza la soglia adattiva è sovrapposto al rilevamento delle anomalie basato sul comportamento. Ecco un esempio per capire come si dimostra efficace con un rilevamento preciso delle minacce:
Modello comportamentale di livello 1: genera anomalie se si accede a file di lavoro importanti durante le ore non lavorative.
Contesto: considera un ambiente aziendale con 1.000 dipendenti. Il dipendente A è un insider malintenzionato che sta per lasciare l'azienda. Ha improvvisamente avuto accesso a più file durante le ore non lavorative. Il modello sopra menzionato genererà avvisi per questo comportamento. Ma il problema è che questo vero allarme sarà sepolto da centinaia di falsi allarmi simili. Ci possono essere molteplici ragioni autentiche per le deviazioni del comportamento degli utenti in un'azienda con un numero enorme di dipendenti.
Livello 2: Soglia intelligente: se un determinato account utente genera più anomalie entro un intervallo di tempo specifico che si discosta dal conteggio abituale, genera un avviso.
Un livello 2 di filtraggio con soglia adattiva basata sul conteggio, ridurrà il rumore di avviso per gli altri 100 utenti che di solito hanno alcune anomalie normali nel loro comportamento. Ma individuerà le attività del dipendente A generando un avviso, poiché supera la soglia.
Prova Log360 gratuitamente
Sperimenta le ampie funzionalità del SIEM unificato utilizzando Log360
Scarica oraSpiegazione dettagliata con esperti
Pianifica una chiamata individuale con i nostri esperti di soluzioni per esplorare Log360
Pianifica una demo© 2025 Zoho Corporation Pvt. Ltd. Tutti i diritti riservati