Статическая и динамическая корреляция событий

Что такое корреляция событий?

В сети организации любого масштаба может происходить множество подозрительных действий, мониторинг которых может помочь защитить сеть от потенциальных угроз. Например, если для учетной записи пользователя зафиксировано 100 неудачных попыток входа в систему, прежде чем он смог успешно войти в систему, администраторы безопасности отмечают это как подозрительную активность.

Иногда бывает сложно определить точный порог обнаружения подозрительной активности. В приведенном выше случае, если хакер взломает пароль с 90-й попытки, это останется незамеченным, если настроено правило, которое отправляет оповещение после 100 неудачных попыток входа в систему, за которыми последует успешный вход. Чтобы решить эту проблему, вам необходим более эффективный и надежный способ обнаружения возможных угроз.

Корреляция событий анализирует многочисленные события, добавляет бизнес-контекст к анализируемым событиям и устанавливает связи между ними в последовательном порядке, прежде чем предоставлять логические решения. Корреляция сравнивает последовательности действий на основе набора правил. Эти правила позволяют системе управления информационной безопасностью и событиями безопасности (SIEM) решать, какую подозрительную активность следует рассматривать как потенциальную угрозу безопасности.

Например, можно определить правило корреляции для поиска событий X и Y, которые происходят в определенном порядке, где X - количество неудачных попыток входа в систему из учетной записи пользователя с определенного IP-адреса, а Y - успешный вход в систему с того же IP-адреса на любой компьютер в сети. При использовании этого правила вы будете получать оповещения каждый раз, когда в сети происходит последовательность таких событий. Предварительно заданные факторы этих событий помогут отличить потенциальные угрозы от обычных явлений.

Можно либо создать правила на основе потребностей вашего бизнеса, либо использовать правила, заданные решением SIEM. Ключом к точному обнаружению инцидентов является настройка механизма корреляции решения по безопасности с учетом характера вашего бизнеса.

Обеспечение безопасности прошлого и настоящего

Существует два типа корреляции: статическая и динамическая.

Статическая корреляция

Предприятия не могут всегда полагаться на превентивную стратегию безопасности. Нарушения неизбежно происходят, и когда они происходят, важно проанализировать, как и почему они происходят, чтобы предотвратить подобные ситуации в будущем и уменьшить их последствия.

Статическая корреляция - это процесс исследования исторических журналов для анализа активности нарушений после инцидента. С помощью статической корреляции можно анализировать данные журналов и выявлять сложные закономерности в прошлых событиях. Это может помочь вам обнаружить угрозы, которые могли поставить под угрозу безопасность вашей сети, или предоставить информацию о текущей атаке.

Динамическая корреляция

Динамическая корреляция выявляет инциденты безопасности в режиме реального времени. Поскольку к событиям применяются правил корреляции по мере их возникновения, решение SIEM способно анализировать входящие данные журналов и мгновенно выявлять закономерности атак. Благодаря динамической корреляции организации могут более быстро обнаруживать угрозы и реагировать на них. Это помогает сети оставаться защищенной в любое время.

Благодаря статической и динамической корреляции вы можете гарантировать, что сеть организации имеет своевременную защиту от атак на систему безопасности.