Superare la Complessità degli Schemi Dati per il tuo SIEM & XDR con il Modulo di Gestione Contenuti Continuo di SOC Prime

I team di monitoraggio della sicurezza possono evitare sforzi significativi legati alla normalizzazione dei dati degli eventi implementando direttamente regole di rilevamento consapevoli dello schema con il modulo di Gestione Continua dei Contenuti di SOC Prime.

L’attuale panorama della cybersecurity è sommerso dai sistemi SIEM, strumenti EDR, NTDR & SOAR, soluzioni XDR di nuova generazione e approcci innovativi che guidano le aziende attraverso i colli di bottiglia tecnologici. Le organizzazioni tendono a tenere il passo con l’evoluzione dinamica della tecnologia costruendo un flusso di lavoro CI/CD altamente scalabile. Anche i dati sono in continua evoluzione, ponendo nuove sfide alla loro disposizione e gestione. Gli ingegneri di rilevamento SIEM, gli analisti SOC o qualsiasi specialista della sicurezza che utilizza SIEM o XDR devono rispondere a questi cambiamenti adottando nuovi schemi di dati nell’infrastruttura dell’azienda.

Qualsiasi fornitore leader del settore di SIEM & XDR cerca modi per evolvere lo schema dei dati esistente e trovare una soluzione normalizzata in grado di gestire molteplici tipi di dati. Ad esempio, Microsoft ha adottato il Azure Sentinel Information Model (ASIM), Chronicle Security ha introdotto il Unified Data Model (UDM) per gli stessi scopi, mentre Elastic ha elaborato il proprio formato di dati comune con ogni nuova versione dell’Elastic Common Schema (ECS).

Ho visto organizzazioni spendere centinaia di migliaia di dollari per integrare i dati di sicurezza. Anche se alcuni fornitori non richiedono la normalizzazione per raccogliere i dati, creare contenuti su dati che non aderiscono a uno standard può provocare uno sforzo incredibile sui team di operazioni di sicurezza.

Anton Goncharov

Chief Product Officer presso SOC Prime

Mentre gli sviluppatori migliorano gli schemi dei dati SIEM e XDR, le imprese continuano a raccogliere dati di cybersecurity e devono adattarsi rapidamente a questi cambiamenti. Appena emerge una nuova minaccia, le organizzazioni dovrebbero essere pronte a potenziare la loro scalabilità di rilevamento raccogliendo dati in formati multipli. Quando i campi dello schema dei dati guidati dal fornitore subiscono modifiche, nuovi log vengono raccolti e analizzati nel formato modificato. Questo diventa un ostacolo tangibile nella gestione dei dati, trasformando il processo di ricerca dei log o rilevamento delle minacce con SIEM o XDR in un incubo.

La domanda chiave che riguarda qualsiasi team SOC nel mondo è come gestire le modifiche allo schema dei dati senza interruzioni nelle operazioni di rilevamento delle minacce. Una delle possibili soluzioni per superare questa complessità dello schema dei dati è rinormalizzare tutti i vecchi dati adeguandoli insieme a tutti gli algoritmi di rilevamento delle minacce implementati al nuovo standard dello schema dati. Tuttavia, questo modo di unificazione dei dati comporta comunque tempi di inattività essendo sia dispendioso in termini di tempo che piuttosto costoso.

Prima di entrare in SOC Prime come Chief Revenue Officer, ho avuto un ruolo chiave nella costruzione di un Centro Avanzato di Difesa Cibernetica 24×7 in Europa Centrale con tecnologia SIEM & SOAR al suo cuore per proteggere le più grandi organizzazioni in Europa. Abbiamo implementato le tecnologie più avanzate, ma abbiamo sempre dovuto investire un incredibile numero di risorse nel mantenimento e nell’adeguamento dei nostri schemi di dati e algoritmi di rilevamento. Con il modulo di Gestione Continua dei Contenuti di SOC Prime, ogni team SOC può finalmente smettere di sprecare giorni e settimane nella manutenzione degli schemi di dati e concentrarsi sul loro compito principale — trovare il male e proteggere il cuore dell’organizzazione.

Andreas Süß

Chief Revenue Officer presso SOC Prime

The La piattaforma di SOC Prime, la prima nel settore per la difesa cibernetica collaborativa, threat hunting e scoperta di minacce supporta traduzioni cross-tool al volo per rilevamenti comportamentali Sigma utilizzando il formato dello schema dati allineato con gli standard del fornitore. Quando si converte Sigma in uno dei oltre 20 formati SIEM & XDR disponibili, i campi sono mappati secondo lo schema dati guidato dal fornitore, che è nativo alla soluzione di sicurezza selezionata. Pertanto, il contenuto SOC per Azure Sentinel sarà automaticamente adeguato allo schema dati ASIM per impostazione predefinita, mentre le traduzioni Elastic Stack saranno mappate al formato ECS di conseguenza.

Inoltre, la piattaforma Detection as Code di SOC Prime offre soluzioni di schema dati non standard che vanno oltre le specifiche del fornitore. Poiché i fornitori di SIEM & XDR stanno costantemente evolvendo i loro schemi dati di normalizzazione, è difficile tenere il passo con tutti i casi d’uso personalizzati e coprire tutte le possibili fonti di log. Gli ingegneri di rilevamento SIEM e gli analisti SOC devono spesso elaborare dati senza avere le fonti di log corrispondenti coperte dalla documentazione del fornitore.

Il modulo di Gestione Continua dei Contenuti (CCM) disponibile come parte della piattaforma Detection as Code di SOC Prime consente ai praticanti della sicurezza di applicare schemi dati personalizzati e di attenersi ad essi indipendentemente dai cambiamenti di formato sul lato del fornitore SIEM o XDR. Il modulo CCM consente di preconfigurare la versione rilevante di Mapping di Campo Personalizzato prima della distribuzione del contenuto e quindi di trasmettere regole e query nell’ambiente SOC senza problemi di parsing.

Ad esempio, quando si raccolgono log di Windows tramite Winlogbeat, lo strumento li rende automaticamente adatti allo schema dati ECS e li memorizza in Elasticsearch senza problemi di parsing. Tuttavia, la raccolta di log tramite alcuni strumenti non standard e il coinvolgimento di dati personalizzati che non possono essere mappati automaticamente allo schema dati predefinito richiede una messa a punto aggiuntiva e coinvolge sufficienti ore di lavoro del team SOC. Ecco un esempio del profilo globale di Mapping di Campo Personalizzato creato dal team SOC Prime che utilizza campi non standard invece dei campi predefiniti ECS per la raccolta dei log di Windows.

Con questo approccio flessibile, uno schema dati può essere applicato a un singolo set di regole e un altro per un diverso insieme di elementi di contenuto prima di distribuirli tramite i lavori CCM. Alla fine, è possibile avere la propria versione di regole automaticamente personalizzate secondo le esigenze dell’ambiente.

Le capacità di normalizzazione del CCM alimentate da uno schema dati personalizzato risuonano principalmente con gli analisti SOC e gli ingegneri del rilevamento, risparmiando loro tempo prezioso e un grande sforzo manuale. Da una prospettiva aziendale, i CISO e i manager SOC possono massimizzare la produttività del loro team risparmiando costi significativi, concentrandosi sui compiti SOC più critici, e riducendo i rischi di migrazioni dello schema dati.

Il modulo di Gestione Continua dei Contenuti e la sua API sono ora aperti a tutta la comunità della cybersecurity. La piattaforma Detection as Code di nuovo rilascio di SOC Prime sblocca l’accesso gratuito alla funzionalità CCM, il che significa che qualsiasi utente della piattaforma può approfittare delle sue capacità. Le uniche limitazioni sono di natura basata su soglia, come la quantità di contenuti disponibili per il download, il numero di liste di contenuti, filtri o preset che possono essere configurati per utente, ecc. La disponibilità completa al modulo CCM può essere raggiunta con un abbonamento a pagamento su misura per le esigenze aziendali dell’organizzazione.

Il modulo CCM supporta attualmente le principali soluzioni cloud SIEM & XDR del mondo, tra cui Microsoft Azure Sentinel, Google Chronicle Security, Humio, Sumo Logic ed Elastic Cloud, consentendo lo streaming continuo e la gestione dei rilevamenti Sigma convertiti nel formato cloud-native corrispondente e scalabile allo schema dati scelto. Oltre allo streaming di contenuti di rilevamento nel cloud, il modulo CCM fornisce anche supporto on-premises per Splunk ed Elastic Stack. Gli ingegneri della sicurezza possono distribuire automaticamente nuovi rilevamenti e aggiornare lo stack di contenuti esistente per la loro installazione on-premises di Splunk utilizzando l’ App CCM di SOC Prime per Splunk. 

SOC Prime ha introdotto un aggiornamento importante categorizzando i rilevamenti basati sul comportamento Sigma che vengono automaticamente distribuiti nell’ambiente in Avvisi e Query. I team SOC possono ora scegliere la categoria di rilevamento più adatta ai loro scopi — avvisi che sono completamente testati e meno probabilità di generare falsi positivi o query di natura più sperimentale per investigare o cercare minacce. Questo elimina l’ambiguità riguardo allo scopo inteso del contenuto, riduce il carico di lavoro del team SOC e aiuta a semplificare le operazioni SOC.

Per ottenere approfondimenti tecnici sul sistema completamente automatizzato di gestione dei contenuti, leggi il post dedicato sul blog ed esplora le capacità del modulo CCM su larga scala. I team SOC sono invitati a vedere la funzionalità del CCM in azione unendosi alla piattaforma Detection as Code di SOC Prime ora disponibile per una gamma più ampia di pubblico nel campo della cybersecurity. Rompi i limiti della complessità dei dati con una minima dipendenza da schemi dati specifici del fornitore per consentire una distribuzione e gestione dei contenuti senza problemi e conveniente.