Control de acceso físico Iniciar sesión en un SIEM: ¿vale la pena?

Question

Control de acceso físico Iniciar sesión en un SIEM: ¿vale la pena?

#1 de munkeyoto (3 votos)

0

La compañía para la que trabajo (Fabricación) está actualizando su Sistema de Control de Acceso Físico (PAC), y vendrá con el registro que puede incorporarse a nuestra herramienta SIEM (LogRhythm).

¿Alguien tiene alguna evidencia anecdótica o casos de uso que demuestren que estos datos de registro adicionales han demostrado ser útiles o valiosos para ellos?

Puedo imaginar usarlo para verificar contra reglas tales como; Si un usuario inicia sesión en un terminal en HO, también se habrá deslizado. Simplemente no estoy convencido de que esto sea infalible, ya que la gente podría estar en una máquina remota.

Puntos a tener en cuenta: somos una empresa global que recopila registros de todo el mundo. El sistema PAC está solo en un sitio. Con un presupuesto ajustado, y quiero asegurarme de que no estoy perdiendo el tiempo.

Gracias

access-control siem

pregunta Callum McCormick 30.06.2016 - 17:08

fuente

1 respuesta

Lea otras preguntas en las etiquetas access-control siem

SELinux ignorando la directiva / etc / sysconfig / selinux ¿Un malware en un teléfono Android tiene permiso para leer / modificar / eliminar datos de todas las aplicaciones?

score 3 · Accepted Answer

Esta información es útil cuando (si) tendría que realizar una respuesta a incidentes. Considere el siguiente escenario: "El empleado John Doe ha iniciado sesión en un sistema en HO e inmediatamente después de que se borran los datos". Su SIEM debería poder detallar lo que ocurrió:

date: 06/30/16 11:45EST
username jdoe
MAC ADDR 00:00:00:00:00:0a
HOST IP 192.168.1.100
ACCESSED -> This machine, that machine

Estos datos se correlacionan y debes poder determinar quién, qué, cuándo, dónde y cómo. Esto es SIEM. Ahora imagine el mismo escenario donde el nombre de usuario jdoe crea el caos, sin estar en el edificio. Lo que sucedió, ¿alguien más usó sus credenciales, fue su cuenta comprometida? Con el envío de PAC a SIEM, su dispositivo SIEM debería poder correlacionar todos los eventos:

date 06/30/2016 11:45EST
Employee John Doe
Door Front Door East Wing
date: 06/30/16 11:45EST
username jdoe
MAC ADDR 00:00:00:00:00:0a
HOST IP 192.168.1.100
ACCESSED -> This machine, that machine

Desde una perspectiva de respuesta a incidentes / análisis forense (DFIR), tiene la garantía (legalmente en algunos casos) de que tiene la información necesaria para actuar sobre la información. "John Doe debe ser arrestado / despedido / etc., ya que vemos que usó su tarjeta para ingresar al edificio y borrar datos" (datos inteligentes recopilados rápidamente) Versus: "John Doe debería ser arrestado / despedido / etc. ya que borró los datos. Vemos esto a través de su nombre de usuario de inicio de sesión ". Podrías abrirte a potenciales legalidades. Si lo tiene, inicie sesión.