Как Unomaly дополняет SIEM систему

1. Погружение в среду без парсинга и нормализации логов

Причины, по которым SIEM требуются месяцы или годы для внедрения заключается в том, что все они требуют парсинга и нормализации логов для корректной работы, а так же настройки правил и панелей инструментов, и всё вышеперечисленное делается вручную. Что означает, что они требуют длительных операционных вложений, прежде чем смогут окончательно интегрироваться в систему.

Причины, по которым SIEM требуются месяцы или годы для внедрения заключается в том, что все они требуют парсинга и нормализации логов для корректной работы, а так же настройки правил и панелей инструментов, и всё вышеперечисленное делается вручную. Что означает, что они требуют длительных операционных вложений, прежде чем смогут окончательно интегрироваться в систему.

2. Автоматический и непрерывный анализ

Обычно SIEM системы требуют усилий персонала целого отдела для определения предмета поиска и корреляций, т.к. это сугубо ручной процесс создания правил. По этой причине чаще всего SIEM-ы аутсорсятся и многие клиенты получают весьма небольшую отдачу за высокую цену. Различные встроенные правила только «царапают по поверхности» и не могут заметить наиболее важные проблемы, т.к. они опираются на правила, а не на аномалии.

Unomaly автоматизирует аналитику всех неструктурированных данных, которые получает в ходе машинного обучения. Unomaly собирает все данные, которые получает, в т.н. asset profiles. Unomaly не хранит все полученные данные, что избавляет нас от классических дилемм с масштабами SIEM и управлением логами. Assets profiles также выступают в роли показательной модели для нахождения аномалий, что означает, что как бы не менялся вид данных в системе, Unomaly к этому адаптируется. Именно так достигается уменьшение входящих данных на 99.9993% и возможность замечать любой инцидент, не задавая правил вообще. Возможность разбора данных, сгенерированных всеми системами в любой момент времени, возможность замечать, исследовать и реагировать на проблемы — это тот эталон, к которому стремятся отделы разработки, тех.поддержки и безопасности, и к которому стремимся мы.

3. Лицензирование по количеству систем, а не объёму данных

SIEM системы быстро становятся крайне дорогостоящими в обслуживании. Более того, SIEM системы лицензируются по объему данных, что в свою очередь не очень удобно для клиентов, т.к. довольно сложно определить коммерческую ценность данных, ведь обычно мы не знаем с какими данными имеем дело, тем более, когда мы говорим о различных неизвестных инцидентах.

SIEM системы быстро становятся крайне дорогостоящими в обслуживании. Более того, SIEM системы лицензируются по объему данных, что в свою очередь не очень удобно для клиентов, т.к. довольно сложно определить коммерческую ценность данных, ведь обычно мы не знаем с какими данными имеем дело, тем более, когда мы говорим о различных неизвестных инцидентах.

Интеграция

У нас есть множество примеров SOC-ов следующего поколения, рискованных с точки зрения стратегии и безопасности проектов, в которых мы помогаем организациям интегрировать гигантские объёмы данных в своих процессах. Словом, с помощью Unomaly вы сможете анализировать все данные из приложений, операционных систем, серверов и т.д., вы сможете выйти на новый уровень видимости событий в вашей сети. Единственное ограничение — классические источники данных безопасности ИТ, такие как сетевой трафик, журналы межсетевого экрана и журналы аудита.

Мы относимся к такой видимости данных (100%) как к эталону, где каждая единица данных, генерируемая инфраструктурой, её ресурсы и софт анализируются по мере их поступления. Каждая аномалия, и все данные когда-либо созданные хранятся более 15 лет. Когда у кого-либо появляется вопрос «что же произошло» или «что происходит именно сейчас» — у него будет возможность найти ответ.

Благодаря следующему мы получаем большее число способов использования:

1. Корреляция аномальных активностей в SIEM (например, IDS обращается к веб-серверу и выясняется, что сервер занят необычной активностью). Необходимо только настроить в SIEM парсер для получения аномалий от Unomaly. Сделав это, вы прокачаете свой SIEM до абсолютной видимости всех событий, а не только событий безопасности. Сервис-провайдеры и крупнейшие банки уже пользуются этой возможностью. Ценность обычного SIEM-а повысится менее чем за месяц.
2. Необходимо проводить ежедневный обзор логов, обусловленный стандартами PCI, ISO-27001 и т.д. ИТ-платформам и их персоналу необходимо лишь взглянуть на самый маленький набор логов (ранее незаметных) для получения максимально полезной информации с наименьшими ресурсозатратами. Во время поиска событий, влияющих на безопасность, вы так же можете выявлять более мелкие проблемы и ошибки, и это поможет повысить вам эффективность вашей работы в разы. Многие энергетические и медико-технические компании работают таким образом.
3. Сделайте возможным SecOps, в котором оперативная безопасность распределена на всю организацию, а не выделена в отдельный ИБ-департамент. Многие быстроразвивающиеся организациями с ИТ-платформами, которые недавно были созданы, с большим успехом используют данный метод. Многие компании, занимающиеся онлайн-играми, сотрудничают с нами.