Statisk och dynamisk händelsekorrelation
På den här sidan
- Vad är händelsekorrelation?
- Statisk korrelation
- Dynamisk korrelation
Vad är händelsekorrelation?
Organisationer av alla storleker kan ha ett flertal misstänkta aktiviteter i sitt nätverk, och att övervaka dessa aktiviteter kan hjälpa till att säkra nätverket mot potentiella hot. Om ett användarkonto till exempel har 100 misslyckade inloggningsförsök innan en lyckad inloggning, markerar säkerhetsadministratörer detta som en misstänkt aktivitet.
Det kan ibland vara svårt att fastställa den exakta gränsen för att upptäcka misstänkta aktiviteter. I det här fallet, om hackaren knäcker lösenordet vid det 90:e försöket, kommer det att gå obemärkt förbi om du har ställt in en regel som varnar efter 100 misslyckade inloggningsförsök följt av en lyckad inloggning. För att åtgärda detta behöver du en mer effektiv och tillförlitlig metod för att upptäcka potentiella hot.
Händelsekorrelation analyserar många händelser, lägger till affärskontext till de analyserade händelserna och drar kopplingar mellan dem på ett sekventiellt sätt innan logiska lösningar presenteras. Korrelation jämför aktivitetssekvenser baserat på en uppsättning regler. Med hjälp av dessa regler kan din säkerhetsinformation och händelsehanteringslösning (SIEM) avgöra vilken misstänkt aktivitet som ska behandlas som ett potentiellt säkerhetshot.
Du kan till exempel definiera en korrelationsregel för att söka efter händelserna X och Y som inträffar i en viss ordning, där X är antalet misslyckade inloggningsförsök från ett användarkonto från en viss IP-adress och Y är en lyckad inloggning från samma IP-adress till valfri maskin i nätverket. När denna regel är aktiv får du varningar varje gång denna händelseföljd inträffar i nätverket. De fördefinierade faktorerna i dessa händelser hjälper dig att särskilja potentiella hot från normala händelser.
Du kan antingen skapa regler baserade på ditt företags behov eller använda de regler som fastställts av din SIEM-lösning. För att korrekt kunna upptäcka incidenter är det avgörande att konfigurera korrelationsmotorn i din säkerhetslösning utifrån din verksamhets natur.
Om den här förklaringen: Detta innehåll är en del av vår fördjupade serie om Vad är SIEM och SIEM-verktyg. Utforska vidare för insikter från experter och bästa praxis!
Skydda både det förflutna och din nutid
Det finns två typer av korrelation: statisk och dynamisk.
Statisk korrelation
Det är omöjligt för företag att alltid förlita sig på en förebyggande säkerhetsstrategi. Intrång kommer att inträffa, och när det händer är det viktigt att analysera hur och varför, för att kunna förhindra liknande incidenter i framtiden och minska deras påverkan.
Statisk korrelation innebär att granska historiska loggar för att analysera intrångsaktiviteten efter en incident. Genom statisk korrelation kan du analysera loggdata och identifiera komplexa mönster från tidigare händelser. Detta kan hjälpa dig att upptäcka hot som kan ha äventyrat säkerheten i ditt nätverk eller ge dig information om en pågående attack.
Dynamisk korrelation
Dynamisk korrelation upptäcker säkerhetsincidenter i realtid. Genom att tillämpa korrelationsregler på händelser i realtid kan en SIEM-lösning analysera inkommande loggdata och omedelbart söka efter attackmönster. Genom dynamisk korrelation kan organisationer dra nytta av snabbare upptäckt och respons. Detta hjälper ditt nätverk att hela tiden vara skyddat.
Genom statisk och dynamisk korrelation kan du säkerställa att din organisations nätverk har ett snabbt försvar mot säkerhetsattacker.