SIEM y Security Analytics

1

En las últimas semanas he encontrado mucho los dos términos 'SIEM' y 'Security Analytics', lamentablemente todavía no entiendo la diferencia.

Según algunas investigaciones que he realizado sobre estos términos, los SIEM agregan datos de diferentes fuentes y los muestran de manera estandarizada para los analistas de seguridad que revisan los datos a mano. Los SIEM avanzados utilizan tecnologías de Big Data para identificar los comportamientos de los usuarios con los que se pueden comparar los datos recopilados. La última parte parece ser la misma definición que para el término 'Security Analytics'.

Entonces, ¿son las herramientas de Security Analytics avanzadas SIEMs o algo completamente diferente?

    
pregunta sherhol 15.02.2018 - 15:16
fuente

2 respuestas

1

SIEM es una herramienta, un objeto. Analytics es una acción, un verbo. La herramienta puede contener las funciones para acciones (como análisis). La acción no es una herramienta.

Es razonable que las herramientas de análisis no agreguen o muestren alertas.

    
respondido por el schroeder 15.02.2018 - 15:52
fuente
0

Un SIEM permite a los analistas de seguridad realizar análisis de seguridad. Un SIEM realiza lo siguiente:

  1. Analizar y normalizar los mensajes de registro recibidos.

    Por ejemplo, el proveedor de firewall A usa la clave src_ip para registrar la dirección IP de origen, mientras que el proveedor de firewall B usa la clave SOURCE en mensajes de registro. Estandarizar las propiedades extraídas del registro. Los mensajes no solo simplifican la búsqueda y el procesamiento posterior, sino que también También es eficiente porque las expresiones regulares para extraer datos de los mensajes de registro solo deben evaluarse una vez.

  2. Análisis de seguridad automatizados ejecutando pruebas configurables contra los mensajes de registro normalizados.

    Por ejemplo, pruebe y avise a los indicadores de compromiso, como un servidor de impresión balizamiento a una dirección IP externa.

  3. Permitir que los analistas de seguridad realicen análisis de seguridad manuales, incl. Informes y auditorías de cumplimiento.

    Un SIEM permite una fácil búsqueda y visualización de las actividades registradas en los mensajes de registro. Esto incluye almacenar los mensajes de registro normalizados y mantenerlos en un modo eficiente, lo cual es un desafío debido a la enorme cantidad de datos.

En tu pregunta, mencionas "comportamientos del usuario". Creo que es discutible si User Behavior Analytics (UBA) es una parte intrínseca de un SIEM. Micro Focus ArcSight e IBM QRadar SIEM agregaron UBA hace solo dos o tres años.

    
respondido por el Quartararo 15.02.2018 - 23:47
fuente

Lea otras preguntas en las etiquetas