Kaspersky, siber güvenlik takımlarının üretkenliğini ve aktifliğini artırmak için Güvenlik Bilgileri ve Olay İdaresi (Security Information and Event Management-SIEM) tahlilinde kıymetli bir güncelleme yaptığını duyurdu.
Geliştirilmiş platform, daha süratli ve daha tesirli ikaz önceliklendirmesi için yeni bir yapay zeka modülü sunuyor, kaynak bağımlılıklarını görselleştirmeye yardımcı oluyor ve genişletilmiş arama yetenekleri getiriyor.
Verified Market Research bilgilerine nazaran, SIEM pazarı 2024 yılında 5,21 milyar dolar pahasına ulaştı ve bu sayının 2031 yılına kadar 10,09 milyar dolara ulaşması bekleniyor. Bu büyümeye katkıda bulunan temel faktörler ortasında artan siber tehditler, yasal uyumluluk düzenlemeleri ve süratli tehdit tespiti talebi yer alıyor. İşletmeler, bilgileri gerçek vakitli olarak toplamalarını ve tahlil etmelerini sağlayan ve farkındalıklarını değerli ölçüde artıran tahlillerin arayışına giriyor. Kaspersky, bu talebi karşılamak için SIEM’ine yeni özellikler ekleyerek siber güvenlik uzmanlarının tehditleri daha verimli bir biçimde tespit etmesini sağlıyor.
Kaspersky SIEM, yapay zeka takviyeli bir teknoloji yığınına dayanan, dünya lideri Tehdit Zekası ile güçlendirilmiş bir güvenlik operasyon merkezi (SOC) platformu olarak öne çıkıyor. Platform günlük bilgilerini toplayarak ve bunları bağlamsal bilgiler ve harekete geçirilebilir tehdit istihbaratı ile zenginleştirerek olay araştırması ve müdahalesi için gereken tüm dataları sağlamanın yanı sıra, ihtarlara otomatik karşılıklar verilmesini ve tehdit avcılığı yapılmasını mümkün kılıyor.
Yeni yapay zeka modülü
Kaspersky SIEM, geçmiş dataları tahlil ederek triyaj ihtarlarını ve olayları uygunlaştıran yeni yapay zeka modülüyle, varlıkların yapay tabanlı risk puanlamasını yapabiliyor ve proaktif aramalar için bedelli hipotezler sağlıyor.
Bu modül, muhakkak bir aktifliğin karakteristiğinin farklı varlıklarla (iş istasyonları, sanal makineler, cep telefonları vb.) nasıl bir münasebet içinde olduğunu tahlil ediyor. Olay korelasyonu sonucunda sistem tarafından tespit edilen bir ihtar, tespit edildiği varlık için tipik değilse, tespit arayüzde ek bir göstergeyle işaretleniyor. Böylelikle analistler acil müdahale gerektiren olayları süratli bir halde görebiliyor.
Kaspersky Endpoint Security casusu tarafından data toplama
Önceden, Windows ve Linux çalıştıran iş istasyonlarından data toplamak için her istasyona bir SIEM casusu yüklemek, yahut bir orta ana bilgisayarda veri iletimini yapılandırmak ve akabinde SIEM ile data alışverişini düzenlemek gerekiyordu. Kaspersky Endpoint Security casusu artık ana bilgisayara kurulduğunda bilgileri direkt SIEM sistemine gönderebiliyor. Bu datalar daha fazla olay araması, tahlili ve korelasyonu için kullanılabiliyor. Böylelikle uç nokta güvenliği için Kaspersky eserlerini esasen kullanan müşteriler için farklı SIEM aracıları kurma ve izleme için gereken ek adım ortadan kalkıyor.
Kaynak bağımlılıkları grafiği ve genişletilmiş arama özellikleri
Platformun arama yetenekleri de geliştirildi ve artık müşterilerin kaynakların (filtreler, kurallar, listeler) birbirleriyle nasıl kontaklı olduğunu görselleştirmelerine imkan tanıyor. Hiyerarşik bir klasör yapısı içeren kaynak bağımlılıkları grafiği, büyük gruplar yahut birden fazla depolanmış arama için hakikat arama sorgusunu bulmayı kolaylaştırıyor. Analistler, bir arama sorgusu yahut rapor için başlangıç ve bitiş vakit dilimlerini tanımlayarak ilgili olayları süratli ve kesin bir formda bulabiliyor yahut “dönen pencere” raporları oluşturabiliyor. Arama sorgusu geçmişinin saklanması, kullanıcının evvelki sorgulara çarçabuk erişmesini sağlıyor.
İçerik versiyonlama
Kaspersky SIEM, kaynak değişikliklerinin geçmişini sürümler formunda saklıyor. Bir analist yeni bir kaynak oluşturduğunda yahut mevcut bir kaynaktaki parametrelerdeki değişiklikleri kaydettiğinde otomatik olarak bir kaynak sürümü oluşturuluyor. Sürüm depolama, analist grupları içindeki etkileşimi de kolaylaştırıyor. Örneğin bir grup üyesi, bir meslektaşının bir korelasyon kuralında yaptığı değişiklikleri görebiliyor ve gerekirse bunları geri alabiliyor.
Benzersiz alan eşlemesi
Güncellenen platform sayesinde analistler artık bir korelasyon olayına korelasyon kuralının eşsiz alan kısmından belirtilen alan bedellerinden oluşan bir dizi ekleyebiliyor. Böylelikle temel olaylardaki alan kıymetleri ortasında arama yapma gereksinimini ortadan kaldırarak vakitten tasarruf sağlıyor.
Kaspersky SIEM, bir ihtarın yanlış olumlu olarak tanımlanması durumunda muhakkak alan kıymetlerinin bir istisnaya eklenmesini de sağlıyor. Her korelasyon kuralı farklı bir istisna listesi oluşturarak analistlerin kritik ikazlara odaklanmasına ve korelasyon kuralı “gürültüsünü” süratle azaltmasına imkan tanıyor.
Kaspersky Birleşik Platform Eser Kümesi Başkanı Ilya Markelov, şunları söylüyor: “SIEM, SOC grupları ve BT güvenlik departmanları için ana araçlardan biri olduğundan, platformumuzun kullanımını kolaylaştırmak için elimizden gelen her şeyi yapıyoruz. Bu yeni özellikler, işletmelerin olaylara daha süratli ve daha az eforla reaksiyon verebileceği manasına geliyor. Ayrıyeten Kaspersky SIEM’imizi olay kaynaklarına ve korelasyon kurallarına bağlayıcılarla zenginleştirerek geliştirdik. Bugün, kullanıma hazır kurallarımız MITRE ATT&CK matrisindeki 400’den fazla tekniği kapsıyor. Desteklenen kaynak sayısı da 300’e yaklaştı ve bu sayı daima artıyor.”
Kaynak: (BYZHA) Beyaz Haber Ajansı