Google Cloud SIEM шилжих

Бүтээгдэхүүний мэдээлэл

Үзүүлэлтүүд:

• Бүтээгдэхүүний нэр: SIEM шилжих гарын авлага
• Зохиогч: Тодорхойгүй
• Нийтэлсэн Жил: Тодорхойлоогүй

Бүтээгдэхүүнийг ашиглах заавар

• Шинэ SIEM сонгох
  Өргөл бүрийн давуу болон сул талуудыг олж илрүүлэхэд туслахын тулд өөрөөсөө болон багийнхаа үндсэн асуултуудыг асууж эхэл. SIEM бүрийн супер хүчийг хурдан тодорхойлж, танай байгууллага хэрхэн ахиц дэвшил гаргахаа төлөвлөtagтэдгээрийн нэг.
• Үүлэнд суурилсан SIEM
  SIEM-ийг дэлхийн хэмжээний дэд бүтцийг бөөний үнээр хангаж чадах үүлэн үйлчилгээ үзүүлэгч (CSP) санал болгож байгаа эсэхийг анхаарч үзээрэй. Үүлэнд суурилсан SIEM байршуулалтын загварууд нь үүлний ажлын ачааллыг өргөжүүлэх, динамик удирдах боломжийг олгодог.
• Тагнуултай SIEM
  SIEM борлуулагч нь шинэ болон шинээр гарч ирж буй аюул заналыг илрүүлэхийн тулд тасралтгүй фронтын аюулын тагнуулыг санал болгодог эсэхийг шалгана уу.

SIEM үхсэн, SIEM урт наслаарай

Хэрэв та бидэнтэй адил бол 2024 онд аюулгүй байдлын мэдээлэл, үйл явдлын менежмент (SIEM) системүүд нь ихэнх аюулгүй байдлын үйл ажиллагааны төвүүдийн (SOC) гол тулгуур хэвээр байгаад гайхах байх. SIEM-ийг танай байгууллагын аюулгүй байдлын мэдээллийг цуглуулж, дүн шинжилгээ хийхэд ашигладаг бөгөөд танд аюул заналыг хурдан, үр дүнтэй тодорхойлох, судлах, хариу арга хэмжээ авахад туслах болно. Гэвч бодит байдал нь өнөөгийн орчин үеийн SIEM-ууд нь үүлэн архитектур, хэрэглэгчийн байгууллага, зан төлөвийн шинжилгээ (UEBA), аюулгүй байдлын зохион байгуулалт, автоматжуулалт ба хариу арга хэмжээ (SOAR), халдлагын гадаргуугийн менежмент бий болохоос өмнө 15+ жилийн өмнө бүтээгдсэнтэй бараг төстэй биш юм. мөн мэдээжийн хэрэг хиймэл оюун ухаан, заримыг нь нэрлэвэл.
Хуучин SIEM нь ихэвчлэн удаан, нүсэр, ашиглахад хэцүү байдаг. Тэдний хуучин архитектур нь ихэвчлэн өндөр хэмжээний бүртгэлийн эх сурвалжийг ашиглахын тулд өргөтгөхөөс сэргийлдэг бөгөөд тэд хамгийн сүүлийн үеийн аюул заналхийллийг дагаж мөрдөх эсвэл хамгийн сүүлийн үеийн онцлог, чадавхийг дэмжих боломжгүй байж магадгүй юм. Тэд танай байгууллагын тодорхой шаардлагыг хангах уян хатан байдлыг санал болгодоггүй эсвэл өнөөгийн ихэнх байгууллагуудын бодит байдал болсон олон үүлэн стратегид тохирохгүй байж магадгүй юм. Эцэст нь, тэд урьдчилж авахын тулд муу байр суурьтай байж магадгүй юмtagхиймэл оюун ухаан (AI) зэрэг хамгийн сүүлийн үеийн технологийн дэвшлүүд.
Тиймээс өөр ямар ч нэртэй SIEM нь яг л сайхан сонсогдож болох ч аюулгүй байдлын үйл ажиллагааны багууд найдсаар байх болно
Ойрын ирээдүйд аюул заналыг илрүүлэх, мөрдөн шалгах, хариу арга хэмжээ авах зорилгоор "аюулгүй байдлын үйл ажиллагааны платформууд" (эсвэл ямар ч нэртэй).

SIEM-ийн агуу шилжилт хөдөлгөөн эхэллээ

SIEM шилжих нь шинэ зүйл биш юм. Байгууллагууд одоо байгаа SIEM-дээ дурлаж, олон жилийн турш илүү шинэ, илүү сайн сонголтыг эрэлхийлсээр ирсэн. Байгууллагууд ихэвчлэн SIEM шилжилтийг шийдвэрлэхэд төвөгтэй байдагтай холбоотой санаа зовнилоос болж өөрсдийн дутуу гүйцэтгэлтэй ба/эсвэл хэт өндөр үнэтэй SIEM-ээ хүссэнээсээ илүү удаан хугацаагаар тэвчдэг байж болох юм.
Гэвч сүүлийн саруудад SIEM-ийн орон зайд тектоник шилжилтүүд гарсан бөгөөд үүнийг дутуу дурдаж болохгүй. SIEM-ийн ландшафт хэдхэн жилийн дараа бүрэн өөрчлөгдөнө гэдэгт эргэлзэх зүйл алга - шинэ зах зээлд тэргүүлэгчдийг төрүүлж, SIEM-ийн газрыг хэдэн арван жилийн турш захирч байсан "үлэг гүрвэлүүд" буурч, магадгүй бүр мөхлийг харах болно (эсвэл " eons” гэдэг нь кибер аюулгүй байдлын нэр томъёонд). Эдгээр хөгжил нь хуучин SIEM платформоос орчин үеийн платформ руу шилжих шилжилтийг хурдасгах нь дамжиггүй бөгөөд одоо олон байгууллага шилжин суурьшихын оронд хэзээ шилжих ёстой вэ гэсэн бодит байдалтай тулгарч байна.

Зөвхөн сүүлийн 9 сарын хугацаанд хийгдсэн томоохон алхамуудын хураангуйг энд харуулав.

Таны одоогийн SIEM-ийн дутагдалтай талуудыг тодорхойлох нь хамгийн сайн орлуулахыг сонгож, амжилттай шилжилт хөдөлгөөн хийхээс хамаагүй хялбар юм. SIEM-ийн суулгацын алдаа нь зөвхөн технологиос бус үйл явцаас (заримдаа хүмүүс) шалтгаалж болохыг анхаарах нь чухал юм. Эндээс л энэ нийтлэл гарч байна. Зохиогчид олон арван жилийн турш дадлагажигч, шинжээч, борлуулагчид болох SIEM-ийн олон зуун шилжилтийг үзсэн. Тиймээс, 2024 оны шилдэг SIEM шилжилтийн зөвлөмжийг авч үзье. Бид энэ жагсаалтыг ангилалд хувааж, суваг дээрээс сурсан сургамжуудаа цацна.

Шинэ SIEM сонгох

Өргөл бүрийн давуу болон сул талуудыг олж илрүүлэхэд туслахын тулд өөрөөсөө болон багийнхаа үндсэн асуултуудыг асууж эхэл. Бид SIEM бүрийн "супер хүч"-ийг хурдан тодорхойлж, танай байгууллага хэрхэн ахиц дэвшил гаргахыг төлөвлөхийг зөвлөж байнаtagтэдгээрийн нэг. Жишээ ньampле:

• Үүлэнд суурилсан SIEM
  
  • SIEM нь дэлхийн хэмжээний дэд бүтцийг бөөний үнээр хангаж чадах үндсэн үүлэн үйлчилгээ үзүүлэгчээс (CSP) санал болгодог уу?
    Бидний туршлагаас харахад өөрсдийн эзэмшдэггүй үүлэн дээр ажилладаг SIEM үйлчилгээ үзүүлэгчид ийм загвартай хамт ирдэг зайлшгүй "маржин овоолох"-ыг даван туулахад бэрхшээлтэй байдаг. Энэ асуулт зардалтай салшгүй холбоотой.
    Үүлэнд суурилсан SIEM байршуулалтын загвар нь SIEM-д шинэ аюул заналхийллийн хариуд масштабыг нэмэгдүүлэх, багасгах боломжийг олгодог бөгөөд байгууллагын үүлэн ачааллын динамик шинж чанарыг удирдах боломжийг олгодог. Үүлэн дэд бүтэц, программууд хэдхэн минутын дотор огцом өсөх боломжтой. Үүлэнд суурилсан SIEM архитектур нь аюулгүй байдлын багуудын чухал хэрэгслийг томоохон байгууллагын хэрэгцээнд нийцүүлэн ижил хурдаар масштаблах боломжийг олгодог.
    Үүлэнд суурилсан SIEM-ууд нь үүлэн ачааллыг хамгаалахад тохиромжтой. Тэд үүлэн үйлчилгээнүүдээс бага хоцрогдолтой өгөгдөл залгих боломжийг олгож, үүлэн доторх нийтлэг халдлагыг илрүүлэхэд туслах илрүүлэх контентыг нийлүүлдэг.
• Тагнуултай SIEM
  • SIEM худалдагч нь шинэ болон шинээр гарч ирж буй аюул заналхийллийг илрүүлэхийн тулд урд талын аюулын тагнуулын тасралтгүй урсгалтай байдаг уу?
    Эдгээр алтан эх сурвалжууд нь ихэвчлэн осол аваарт хариу арга хэмжээ авах дээд түвшний туршлагаас, өргөн хэрэглээний IaaS эсвэл SaaS үүлэн саналуудын үйл ажиллагаа эсвэл аюулгүй байдлын програм хангамжийн бүтээгдэхүүн эсвэл үйлдлийн системүүдийн дэлхийн суурилуулалтын баазаас үүсдэг.
    Аюулгүй байдлын талаарх мэдээллийг илрүүлэх нь байгууллагуудад аюулгүй байдлын зөрчлийг үр дүнтэй илрүүлэх, илрүүлэх, мөрдөн шалгах, хариу арга хэмжээ авахад чухал үүрэгтэй. Ялангуяа фронтын аюулын тагнуул нь хамгийн сүүлийн үеийн аюул заналхийлэл, эмзэг байдлын талаар бодит мэдээллийг өгдөг учраас үнэ цэнэтэй юм. Энэхүү мэдээллийг аюулгүй байдлын зөрчлийг хурдан тодорхойлж, эрэмбэлэх, хариу арга хэмжээ авах үр дүнтэй стратеги боловсруулж хэрэгжүүлэхэд ашиглаж болно.
    Бодит цагийн аюулыг илрүүлэх, хариу арга хэмжээ авах чадварыг сайжруулахын тулд аюулгүй байдлын байгууллагууд аюулын тагнуулын мэдээлэл болон холбогдох өгөгдлийн хангамжийг аюулгүй байдлын үйл ажиллагааны ажлын урсгал болон багаж хэрэгсэлдээ тасралтгүй нэгтгэхийг эрэлхийлж байна. Эргэдэг сандал, хуулж буулгах, SIEM болон аюулын мэдээллийн эх сурвалжуудын хооронд хэврэг интеграцчлал зэрэг нь бүтээмжийг бууруулж, багийн үр ашиг, шинжээчдийн туршлагад сөргөөр нөлөөлдөг.
• Сонгосон контент бүхий SIEM
  • SIEM нь дэмжигдсэн задлан шинжлэгч, илрүүлэх дүрэм, хариу арга хэмжээний өргөн хүрээний номын санг санал болгодог уу?
    Зөвлөгөө: Зарим SIEM борлуулагчид түгээмэл дата хангамжийн задлан шинжлэгчийг бий болгохын тулд бараг зөвхөн өөрсдийн хэрэглэгчийн нийгэмлэг эсвэл техникийн холбооны түншүүддээ найддаг. Хөгжиж буй хэрэглэгчийн нийгэмлэг зайлшгүй чухал боловч задлан шинжлэх гэх мэт үндсэн чадавхийг хангахын тулд түүнд хэт найдах нь асуудал юм. Нийтлэг өгөгдлийн эх сурвалжийн задлан шинжлэгчийг SIEM борлуулагч шууд үүсгэж, засварлаж, дэмжих ёстой. Илрүүлэх дүрмийн агуулгыг үзэхдээ ижил хандлагыг баримтал. Олон нийтийн дүрэм маш чухал боловч та өөрийн борлуулагчаас байнга туршиж, дэмжиж, сайжруулж байдаг үндсэн илрүүлэлтийн санг бий болгож, хадгалахыг хүлээх хэрэгтэй. Байгууллагууд аюулгүй байдлын байр сууриа үр дүнтэй удирдахад өндөр чанартай, тусгайлсан аюулыг илрүүлэх нь чухал юм. Google SecOps нь шинэ болон шинээр гарч ирж буй аюулыг илрүүлэх боломжийг олгодог бөгөөд энэ нь байгууллагуудад аюулгүй байдлын зөрчлийг хурдан илрүүлж, хариу арга хэмжээ авахад тусалдаг.
• AI-тай SIEM
  • SIEM нь хиймэл оюун ухааныг агуулдаг уу, мөн инновацийг үргэлжлүүлэх боломжтой юу?
    SIEM дахь хиймэл оюун ухааны үүргийг аль ч үйлдвэрлэгч бүрэн ойлгоогүй хэвээр байна (илүү бага хэрэгжүүлсэн). Гэсэн хэдий ч тэргүүлэгч SIEM-үүд өнөөдөр хиймэл оюун ухаанд суурилсан бодит боломжуудтай. Эдгээр онцлогууд нь хайлт, дүрмийг илэрхийлэх байгалийн хэлээр боловсруулалт, хэргийг автоматаар нэгтгэн дүгнэх, санал болгож буй хариу үйлдэл зэргийг багтаадаг. Ихэнх үйлчлүүлэгчид болон салбарын ажиглагчид аюул заналыг илрүүлэх, дайсантай холбоотой шинжилгээ хийх зэрэг шинж чанаруудыг хиймэл оюун ухаанд суурилсан SIEM чадавхийн зарим нэг "ариун мэйл" гэж үздэг. Өнөөдөр ямар ч SIEM эдгээр функцийг найдвартай санал болгодоггүй. 2024 онд шинэ SIEM-ийг сонгохдоо үйлдвэрлэгч эдгээр өөрчлөлтийн чадавхид чухал ахиц гаргахад шаардлагатай нөөцийг хөрөнгө оруулалт хийж байгаа эсэхийг анхаарч үзээрэй.

Google Security Operations (хуучнаар Chronicle) нь Google Cloud-аас санал болгож буй үүлэнд суурилсан SIEM шийдэл юм. Энэ нь байгууллагуудад бүртгэл болон бусад аюулгүй байдлын телеметрийг төвлөрсөн байдлаар цуглуулж, дараа нь бодит цаг хугацаанд аюулгүй байдлын аюулыг илрүүлэх, судлах, хариу арга хэмжээ авахад туслах зорилготой юм. 

• Аюулгүй байдлын аюулыг илрүүлж, эрэмбэлэх: Google SecOps-ийн бэлэн илрүүлэлтийн дүрмүүд нь аюулгүй байдлын аюул заналхийллийг бодит цаг хугацаанд тодорхойлж, эрэмбэлдэг. Энэ нь байгууллагуудад хамгийн чухал аюул заналхийлэлд хурдан, үр дүнтэй хариу өгөхөд тусалдаг.
• Аюулгүй байдлын зөрчлийг судлах: Google SecOps нь аюулгүй байдлын зөрчлийг судлах төвлөрсөн платформоор хангадаг. Энэ нь байгууллагуудад нотлох баримтыг хурдан бөгөөд үр дүнтэй цуглуулж, хэргийн хамрах хүрээг тодорхойлоход тусалдаг.
• Аюулгүй байдлын зөрчилд хариу өгөх: Google SecOps нь байгууллагуудад автоматаар засч залруулах зэрэг аюулгүй байдлын ослын үед хариу үйлдэл үзүүлэхэд туслах төрөл бүрийн хэрэгслээр хангадаг. Аюул заналхийлэгчид платформын хурд, хайлтын чадвар, ашигласан аюул заналхийллийн тагнуулын тусламжтайгаар хагарсан байж болзошгүй халдагчдыг мөшгихөд үнэлж баршгүй ач холбогдолтой гэж үздэг. Энэ нь байгууллагуудад аюулгүй байдлын ослын нөлөөллийг хурдан бөгөөд үр дүнтэйгээр дарж, бууруулахад тусалдаг.
  Google SecOps нь хэд хэдэн давуу талтайtages уламжлалт SIEM шийдлүүдээс илүү, үүнд:
• Хиймэл оюун ухаан: Google SecOps нь Google-ийн Gemini AI технологийг ашиглан хамгаалагчдад байгалийн хэлээр асар их хэмжээний өгөгдлийг секундын дотор хайж, асуултад хариулах, үйл явдлыг нэгтгэн дүгнэх, аюул заналыг хайх, дүрэм журам үүсгэх, мөрдөн байцаалтын хүрээнд санал болгосон арга хэмжээг хэрэгжүүлэх замаар илүү хурдан шийдвэр гаргах боломжийг олгодог. Хамгаалалтын багууд мөн Gemini-г Аюулгүй байдлын үйл ажиллагаанд ашиглаж, хариу арга хэмжээ авах номыг хялбархан бүтээх, тохиргоог өөрчлөх, шилдэг туршлагуудыг нэгтгэх боломжтой бөгөөд энэ нь гүн гүнзгий мэдлэг шаарддаг цаг хугацаа шаардсан ажлуудыг хялбарчлахад тусалдаг.
• Хэрэглээний аюулын тагнуул: Google SecOps нь VirusTotal, Mandiant Threat Intelligence болон Google Threat тагнуулын дотоод эх сурвалжуудын хосолсон тагнуулын мэдээллийг багтаасан Google Threat Intelligence (GTI)-тай үндсэндээ нэгтгэгдэж, үйлчлүүлэгчдэд бага хүчин чармайлтаар илүү олон аюулыг илрүүлэхэд тусалдаг.
• Өргөтгөх чадвар: Google SecOps нь үүлд суурилсан шийдэл тул Google клоудаас олгосон хэт масштабтай үүлэн дэд бүтцийг ашиглан хэмжээнээс үл хамааран аливаа байгууллагын хүчин чадал, гүйцэтгэлийн хэрэгцээг хангах боломжтой.
• Google Cloud-тай нэгтгэх: Google SecOps нь Google Cloud Security Command Center Enterprise (SCCE) зэрэг бусад Google Cloud бүтээгдэхүүн, үйлчилгээнүүдтэй нягт уялдаатай байдаг. Энэхүү интеграци нь байгууллагуудад аюулгүй байдлын үйл ажиллагаагаа нэг, нэгдсэн платформ дээр удирдахад хялбар болгодог. Google SecOps нь GCP үйлчилгээний телеметрийн хамгийн шилдэг SIEM бөгөөд AWS болон Azure зэрэг бусад томоохон үүл үйлчилгээ үзүүлэгчдэд зориулсан таних агуулгыг багтаасан болно.

Google SecOps дахь аюулын мэдээллийн хэрэглүүр
Google SecOps нь аюулгүй байдлын багуудад аюулын өгөгдөлтэй автоматаар харилцан уялдаатай, баяжуулсан аюулгүй байдлын өгөгдлийг удирдах, шинжлэх боломжийг олгодог. Аюулын тагнуулыг өөрийн SIEM системд шууд нэгтгэснээр байгууллагууд дараахь зүйлийг хийх боломжтой.

• Илрүүлэх, илрүүлэх шинжилгээг сайжруулах: Аюул заналхийллийн өгөгдлийг бодит цаг хугацаанд хортой үйл ажиллагааг тодорхойлоход туслах дүрмийг бий болгоход шууд ашиглаж болно. Энэ өгөгдлийг бусад анхааруулгад контекст нэмэх, сэрэмжлүүлэгт итгэх итгэлийг автоматаар тохируулахад ашигладаг. Энэ нь байгууллагуудад аюулгүй байдлын зөрчлийг хурдан илрүүлж, урьдчилан сэргийлэх, нөөцөө хамгийн чухал аюул заналхийлэлд төвлөрүүлэхэд тусалдаг.
• Мөрдөн байцаалт, хариу арга хэмжээг сайжруулах: Аюулгүй байдлын мөрдөн байцаалтын явцад нөхцөл байдал, ойлголт өгөхийн тулд аюулын тагнуулыг ашиглаж болно. Энэ нь шинжээчдэд ослын үндсэн шалтгааныг хурдан тодорхойлж, үр дүнтэй хариу арга хэмжээ авах стратегийг боловсруулж хэрэгжүүлэхэд тусална.
• Аюул заналхийллийн ландшафтаас түрүүлж байгаарай: Аюул заналхийллийн тагнуул нь хамгийн сүүлийн үеийн аюул заналхийлэл, эмзэг байдлын талаар мэдээллээр хангах замаар байгууллагуудад аюул заналхийллээс түрүүлэхэд тусалдаг. Энэхүү мэдээллийг аюул заналхийллийг агнах, аюулгүй байдлын мэдлэг олгох сургалт зэрэг аюулгүй байдлын идэвхтэй арга хэмжээг боловсруулж хэрэгжүүлэхэд ашиглаж болно.

Google SecOps дахь аюулыг илрүүлэх
Google SecOps-ийн аюулыг илрүүлэх нь Google-ийн аюулгүй байдлын багуудаас ирсэн аюулын тагнуулын тасралтгүй урсгал дээр суурилдаг. Энэхүү тагнуулыг бодит цаг хугацаанд хорлонтой үйл ажиллагааг тодорхойлох дүрэм журам, сэрэмжлүүлэг үүсгэхэд ашигладаг. Google SecOps нь аюулгүй байдлын өгөгдлийн сэжигтэй хэв маягийг тодорхойлохын тулд зан үйлийн аналитик болон эрсдэлийн оноог ашигладаг. Энэ нь Google SecOps-д уламжлалт илрүүлэх дүрмээр илрүүлэх боломжгүй аюулыг илрүүлэх боломжийг олгодог.

Өндөр чанартай, тусгайлан боловсруулсан аюул заналыг илрүүлэх үнэ цэнэ нь тодорхой юм. Google SecOps ашигладаг байгууллагууд дараахь давуу талыг олж авах боломжтой.

• Илрүүлэх, ангилах сайжруулсан: Google SecOps нь байгууллагуудад аюулгүй байдлын зөрчлийг хурдан олж тогтооход тусалдаг. Энэ нь байгууллагуудад нөөцөө хамгийн чухал аюул заналхийлэлд төвлөрүүлэх боломжийг олгодог.
• Сайжруулсан судалгаа, хариу арга хэмжээ: Google SecOps нь аюулгүй байдлын шалгалтын явцад контекст болон ойлголтыг өгөх боломжтой. Энэ нь шинжээчдэд ослын үндсэн шалтгааныг хурдан тодорхойлж, хариу арга хэмжээний үр дүнтэй стратеги боловсруулж хэрэгжүүлэхэд тусална.
• Аюул заналхийллээс түрүүлээрэй: Google SecOps нь хамгийн сүүлийн үеийн аюул занал, эмзэг байдлын талаар мэдээллээр хангаснаар байгууллагуудад аюул заналхийллийн ландшафтаас түрүүлэхэд тусалж чадна. Энэхүү мэдээллийг аюул заналхийллийг агнах, аюулгүй байдлын мэдлэг олгох сургалт зэрэг аюулгүй байдлын идэвхтэй арга хэмжээг боловсруулж хэрэгжүүлэхэд ашиглаж болно.

SIEM шилжих

Тиймээс та алхам хийхээр шийдсэн. Таны шилжилт хөдөлгөөнд хандах хандлага нь шаардлагатай чадавхийг хадгалах, шинэ платформоос үнэ цэнийг аль болох хурдан гаргаж эхлэхэд маш чухал юм. Энэ нь тэргүүлэх ач холбогдол өгөхөд хүргэдэг. SIEM-ийн шилжилт хөдөлгөөн нь мөрдөн байцаалт, илрүүлэх, хариу арга хэмжээ авах арга барилыг бүхэлд нь шинэчлэх боломжийг олгодог боловч байгууллагууд "далайг буцалгах" оролдлого хийдэг тул олон SIEM шилжилтүүд бүтэлгүйтдэг гэдгийг хүлээн зөвшөөрөх явдал юм.

Тиймээс SIEM шилжүүлгийг амжилттай төлөвлөх, хэрэгжүүлэх хамгийн сайн зөвлөмжүүд энд байна:

• Шилжилт хөдөлгөөний зорилгоо тодорхойл. Энэ нь ойлгомжтой сонсогдож байгаа ч таны SIEM шилжилт нь урт процесс тул хүссэн үр дүнгээ тодорхойлох (жишээ нь: аюул заналыг хурдан илрүүлэх, дагаж мөрдөх журмын талаар тайлагнах, харагдах байдлыг сайжруулах, шинжээчийн хөдөлмөрийг багасгах, мөн зардлыг бууруулах гэх мэт) амжилттай холбоотой.
• Шилжилт хөдөлгөөнийг байшин цэвэрлэх боломж болгон ашигла. Энэ бол цэвэрлэгээ хийхэд тохиромжтой цаг юм таны илрүүлэх дүрэм болон бүртгэлийн эх сурвалж зөвхөн өөрийн ашиглаж байгаа зүйлээ шилжүүлээрэй. Энэ нь бас дахин хийхэд тохиромжтой цаг юмview Таны сэрэмжлүүлэг, тохируулгын процессууд шинэчлэгдсэн эсэхийг шалгаарай.
• Бүртгэлийн эх сурвалж бүрийг бүү шилжүүл. Шинэ SIEM руу шилжих нь дагаж мөрдөх эсвэл аюулгүй байдлын үүднээс ямар бүртгэл хэрэгтэйг шийдэх сайхан боломж юм. Олон байгууллага цаг хугацааны явцад асар их хэмжээний бүртгэлийн өгөгдлийг хуримтлуулдаг бөгөөд тэдгээр нь бүгд үнэ цэнэтэй, хамааралтай байх албагүй. Бүртгэлийн эх сурвалжаа шилжүүлэхээсээ өмнө үнэлж дүгнэх цаг гаргаснаар та SIEM-ээ оновчтой болгож, аюулгүй байдал, дагаж мөрдөх шаардлагад хамгийн чухал ач холбогдолтой өгөгдөлд анхаарлаа төвлөрүүлж чадна.
• Бүх контентыг бүү шилжүүл. Одоо байгаа бүх илрүүлэлтийн агуулга, дүрэм, сэрэмжлүүлэг, хяналтын самбар, дүрслэл, тоглоомын дэвтэр зэргийг шинэ SIEM руу шилжүүлэх нь үргэлж шаардлагатай байдаггүй. Одоогийн илрүүлэлтийн хамрах хүрээгээ үнэлж, шаардлагатай дүрмээ шилжүүлэхэд цаг гаргаарай. Та дүрмүүдийг нэгтгэх, телеметрийн дутагдал эсвэл алдаатай логик зэргээс болж хэзээ ч ажиллах боломжгүй дүрэм, эсвэл хайрцагнаас гарсан агуулгаар илүү сайн зохицуулагддаг дүрмүүдийг арилгах боломжийг олох болно. Ганцаарчилсан дүрмийн шилжилтийг дэмждэг аливаа борлуулагч эсвэл байршуулах түншээс асуугаарай.
• Агуулгыг эрт шилжүүлэхийг эрэмбэлэх. Ашиглалтын тодорхой тохиолдол бүрт шаардлагатай бүртгэлийн эх сурвалж, баяжуулалт бэлэн болмогц илрүүлэх агуулгын шилжилтийг нэн даруй эхлүүлнэ үү. Энэхүү өгөгдөлд тулгуурласан арга нь эх сурвалжийг ашиглалтын тохиолдолтой уялдуулах нь оновчтой үр ашиг, үр дүнд хүрэхийн тулд зэрэгцээ шилжих хүчин чармайлтыг бий болгодог.
• Илрүүлэх контентыг шилжүүлэх нь хүний ​​удирддаг үйл явц юм. Илрүүлэх агуулгыг (дүрэм, сэрэмжлүүлэг, хяналтын самбар, загвар гэх мэт) (ихэнхдээ) эхнээс нь сэргээж, хуучин контентоо урам зориг болгон ашиглахад бэлтгэ. Өнөөдөр дүрмийг нэг SIEM платформоос нөгөө рүү автоматаар хөрвүүлэх ямар ч тэнэг арга байхгүй. Зарим борлуулагчид синтакс орчуулагчийг санал болгодог ч төгс орчуулагдсан дүрэм, хайлт эсвэл хяналтын самбар гэхээсээ илүү сайн үсрэлтийн цэгийг бий болгодог. Та хамгийн их урьдчилан сэргийлэх хэрэгтэйtagЭдгээр хэрэгслүүдийн аль нэг нь боловч эдгээр нь эм биш гэдгийг хүлээн зөвшөөр.
• Илрүүлэх контент нь олон эх сурвалжаас ирдэг. Илрүүлэх хамрах хүрээнийхээ хэрэгцээнд дүн шинжилгээ хийж, шаардлагатай бол илрүүлэлтийн ашиглалтын тохиолдлуудыг авч эсвэл үүсгэнэ үү. Таны SIEM худалдагч нь боломжтой бол үргэлж ашиглах ёстой агуулгыг өгөх болно. Мөн олон нийтийн дүрмийн сангууд болон гуравдагч этгээдийн илрүүлэгч контент нийлүүлэгчдийг анхаарч үзээрэй. Шаардлагатай бол өөрийн дүрмээ бичиж, ихэнх дүрмүүдийг гарал үүслээс үл хамааран байгууллагынхаа тодорхой орчинд тохируулах шаардлагатай гэдгийг санаарай.
• Шилжилт хөдөлгөөний бодит цагийн хуваарийг боловсруулах. Үүнд өгөгдөл дамжуулах, турших, тааруулах, сургах, хоёр системийг зэрэгцүүлэн ажиллуулах шаардлагатай байж болзошгүй давхцлын бүртгэл орно. Нарийвчилсан шилжилт хөдөлгөөний төлөвлөгөө нь эрсдэлийг тодорхойлж, бууруулахад тусалж, шилжилт хөдөлгөөн амжилттай дуусахад тусална. Төлөвлөгөө нь нарийвчилсан цаг хугацаа, ажлын жагсаалт, нөөц, төсөв зэргийг багтаасан байх ёстой. SIEM шилжилт гэх мэт томоохон төслүүдийг үе шат болгон хуваах ёстой гэдгийг хүлээн зөвшөөр.
• Туршилт хийх. Бид таны илрүүлэлтийг идэвхжүүлэх өгөгдлийг тогтмол оруулах, задлан шинжлэх, илрүүлэхээс хэрэг, хариултын дэвтэр хүртэлх өгөгдлийн урсгалыг баталгаажуулах замаар SIEM болон илрүүлэлтийн агуулгыг туршиж үзэхийг зөвлөж байна. SIEM шилжилт нь нарийн ширийн зүйлийг хэрэгжүүлэхэд тохиромжтой цаг юм илрүүлэх инженерийн програм үүнд иймэрхүү туршилтууд орно.
• Хуучин болон шинэ хэрэгслийг хоёуланг нь ажиллуулах шилжилтийн үед бэлтгэ. "Урааж, солих" аргаас зайлсхий. Бүртгэлийн эх сурвалжийг шилжүүлж, кейс ашигладаг үе шаттай шилжүүлэг нь үйл явцыг хянахад тусалж, эрсдлийг бууруулдаг. Мөн хуучин SIEM-ийнхээ өгөгдлийг шинэ рүү дахин оруулах талаар хоёр удаа бодоорой. Зарим тохиолдолд та өмнөх SIEM-г удаан хугацаагаар ажиллуулахын тулд түүхэн өгөгдөлд хандах боломжтой байж болно.
• Багуудаа идэвхжүүлнэ үү. Хэрэв таны шинжээчид шинэ системийг ашиглаж чадахгүй бол таны SIEM шилжилт амжилтгүй болно. Шилжилтийн сайн төлөвлөгөө нь танай багуудад гүнзгий идэвхжүүлэлтийг багтаана. Инженерүүдийг өгөгдөлд оруулах, задлан шинжлэх, хэргийн менежмент/мөрдөн байцаалт/триаж хийх чиглэлээр шинжээчдийг сургах, аномали илрүүлэх/хайлт хийх чиглэлээр аюулын ангуучдыг, дүрэм бичихэд илрүүлэх инженерүүдийг сургах талаар бод. Идэвхжүүлэхэд цаг хугацаа чухал. Ажилчдыг шилжилт хөдөлгөөний тодорхой үе шатуудыг эхлүүлэхийн тулд эдгээр ур чадвар шаардагдахаас өмнө сургах нь дээр.
• Туслах! Хэрэв та дадлагажигч эсвэл удирдагчийн хувьд азтай (эсвэл азгүй болов уу?) Хэрэв та карьертаа SIEM-ийн нэг эсвэл хоёр шилжилтийг туулсан байх магадлалтай. Үүнийг хэдэн арван, хэдэн зуун удаа хийсэн мэргэжилтнүүдээс яагаад тусламж хүсч болохгүй гэж? Худалдагчийн мэргэжлийн үйлчилгээний багууд ба/эсвэл мэргэшсэн үйлчилгээний түншүүдийн зөвлөх багууд нь маш сайн сонголт юм. SIEM шилжилт хөдөлгөөн нь ихэвчлэн хүн төвтэй хүчин чармайлт юм.

Гол үйл явц: Байршуулах түншийг сонгоно уу
Ямар ч шийдвэр SIEM шилжилтийн эцсийн амжилтад байршуулах түншийг сонгохоос илүү нөлөө үзүүлэхгүй. SIEM платформууд нь том хэмжээний, нарийн төвөгтэй, байгууллагын систем юм. Ганцаараа явах гэж бүү оролд; олон шилжилт хөдөлгөөнийг туулсан байршуулах хамтрагчтайгаа хамт байгаарай.

Байршуулах түнш нь шинэ SIEM борлуулагчийн мэргэжлийн үйлчилгээний хэсэг байж болно. Гэхдээ шилжилт хөдөлгөөнийг явуулахын тулд гуравдагч талын түншийг сонгох нь илүү түгээмэл байдаг. SIEM шилжилт хөдөлгөөн нь хүнээр удирдуулсан хүчин чармайлт гэдгийг санаарай. Шинэ SIEM-д гэрчилгээжсэн, лавлах боломжтой олон түнштэй түнш сонгох нь хамгийн сайн арга юм. Энэ нь таны шилжиж буй SIEM-ийн талаар мэдлэгтэй байвал тустай. Лавлахаас гадна шинэ SIEM-тэй хамтрагчийнхаа туршлагын түвшинг тодорхойлох ухаалаг арга бол олон нийтийн форумыг шалгаж, баг идэвхтэй оролцогч байсан эсэхийг шалгах явдал юм. Зохиогчдын үзэж байгаагаар, өндөр оролцоотой түншийн ажилтнууд SIEM-ийн амжилттай шилжилттэй холбоотой байдаг. SIEM шилжилтийн техникийн бит, байтаас гадна та өөрийн салбартаа, эсвэл дагаж мөрдөх орчинд тодорхой туршлагатай түншүүдийг сонгож болно. таны бүс, эсвэл гурвуулаа! Та хэлний ур чадвар, нөөц бололцоогоо урьдчилан хайх боломжтойtagцаг хугацааны бүсүүд. Та мөн таны SIEM-ийг танд зориулж ажиллуулдаг эсвэл танай байгууллагын SIEM-ийг хэсэгчлэн эсвэл бүрэн гүйцэд аутсорсинг хийх боломжтой аюулгүй байдлын үйлчилгээ үзүүлэгчийн хувьд ижил төстэй үр дүнд хүргэх түншүүдийг хайж олох боломжтой.

Гол үйл явц: Одоогийн тохиргоо болон хэрэглээний тохиолдлуудыг баримтжуулах
SIEM-ийн суурилуулалт нь ихэвчлэн өргөн цар хүрээтэй бөгөөд ашиглалтын жилийн туршид цар хүрээ, нарийн төвөгтэй байдлын хувьд тогтвортой өсдөг. Баримт бичгийг бага эсвэл огт байхгүй гэж бэлд. SIEM-ийн анхны тохиргоо, тохируулга хийсэн ажилтнууд ихэвчлэн алга болсон гэж найдаж байна. Шилжин суурьших үйл явцын эхэн үед тохиргоо, чадавхийг сайтар баримтжуулах нь амжилт, бүтэлгүйтлийн хоорондох ялгааг илэрхийлж болно.

• SIEM-д ашигладаг таних тэмдэг, хандалтын удирдлагыг баримтжуулах. Та өгөгдөл болон функцүүдэд дүрд суурилсан зарим хандалтыг хадгалах хэрэгтэй. Нөгөөтэйгүүр, шилжилт хөдөлгөөн нь ихэнх байгууллагад байгалиасаа тохиолддог хүртээмжийн тэлэлтийг шинжлэх, шийдвэрлэх боломж юм. Та мөн шилжилтийн үйл явцыг корпорацийн стандарттай таних тэмдэгтийг нэгтгэх, олон хүчин зүйлийн баталгаажуулалтыг хэрэгжүүлэх зэрэг баталгаажуулалт/зөвшөөрлийн аргуудыг шинэчлэх боломж гэж үзэж болно.
• Цуглуулж буй өгөгдлийн төрлүүдийн нэрийг бичнэ үү. Зарим SIEM-үүд эдгээр нэрийг "эх сурвалжийн төрөл" эсвэл "логийн төрөл" гэж нэрлэдэг болохыг анхаарна уу. Өгөгдлийн төрөл бүрийн хэр их өгөгдөл урсаж байгааг хэмжигдэхүүн болгон гигабайт/өдөр ашиглан аваарай. Өгөгдлийн эх үүсвэр бүрийн өгөгдлийн шугамыг баримтжуулах (агент суурилсан, API асуулга, web дэгээ, үүлэн хувин залгих, залгих API, HTTP сонсогч гэх мэт) болон SIEM-ийн задлан шинжлэлийн тохиргоог дурын тохиргооны хамт авч болно.
• Хадгалсан хайлт, хяналтын самбарын тодорхойлолт, илрүүлэх дүрмийг цуглуул. Олон SIEM нь хайлтын хүснэгт гэх мэт байнгын өгөгдөл хадгалах механизмтай байдаг. Эдгээрийг хэрхэн байршуулж, ашиглаж байгааг ойлгож, баримтжуулахаа мартуузай.
• Гадны системтэй нэгтгэсэн тооллого хийх. Олон SIEM нь хэргийн удирдлагын систем, харилцааны мэдээллийн сан, мэдэгдлийн үйлчилгээ (и-мэйл, SMS гэх мэт) болон аюулын тагнуулын платформуудтай нэгддэг.
• Тоглуулах ном, хэргийн менежментийн загвар, аль хэдийн баримтжуулж амжаагүй идэвхтэй интеграцчлал зэрэг хариултын агуулгыг аваарай.

Эдгээр чухал техникийн нарийн ширийн зүйлийг цуглуулахаас гадна цаг зав гаргах нь чухал юмview одоо байгаа SIEM-ийн хэрэглэгчид өөрсдийн ажлын урсгалыг ойлгох. Тэд SIEM-ийг хэрхэн ашигладаг, SIEM-д ямар стандарт үйлдлийн горимууд тулгуурладаг талаар асуу. Хамгаалалтаас гадуур ямар баг SIEM-ийг ашиглаж болох вэ гэх мэт өргөн хүрээтэй асуултуудыг асуух нь бас чухал юм. Жишээ ньample, дагаж мөрдөх багууд эсвэл мэдээллийн технологийн үйл ажиллагааны ажилтнууд SIEM-д найдах нь ердийн зүйл биш юм. Эдгээр ашиглалтын тохиолдлуудыг авч чадахгүй бол шилжилт хөдөлгөөний явцад хожим хүлээлт алдагдах болно.

Гол үйл явц: Бүртгэлийн эх сурвалжийг шилжүүлэх
Бүртгэлийн эх үүсвэрийг шилжүүлэх нь өгөгдлийн эх сурвалжийг хуучин SIEM-ээс шинэ SIEM руу шилжүүлэх явдал юм. Энэ процесс нь файлд цуглуулсан одоогийн тохиргооны баримтаас хамаарна Процесс: Одоогийн тохиргоо, ашиглалтыг баримтжуулах хэсэг.

Бүртгэлийн эх сурвалжийг шилжүүлэх үйл явцад дараах алхмууд ихэвчлэн оролцдог:

1. Нээлт ба бараа материал: Эхний алхам бол хуучин SIEM-д одоо нэвтэрч буй бүртгэлийн бүх эх сурвалжийг олж, тооллого хийх явдал юм. Үүнийг дахин гэх мэт янз бүрийн аргуудыг ашиглан хийж болноviewSIEM-ийн тохиргоог хийх files эсвэл API болон холбогдох хэрэгслийг ашиглах.
2. Тэргүүлэх: Бүртгэлийн эх сурвалжуудыг илрүүлж, бүртгэлжүүлсний дараа тэдгээрийг шилжүүлэхэд тэргүүлэх ач холбогдол өгөх шаардлагатай. Бүртгэлийн эх сурвалжаас үүдэлтэй аналитик, өгөгдлийн хэмжээ, өгөгдлийн чухал байдал, дагаж мөрдөх шаардлага, шилжих үйл явцын нарийн төвөгтэй байдал зэрэг олон хүчин зүйл дээр үндэслэн үүнийг хийж болно.
3. Шилжилтийн төлөвлөлт: Бүртгэлийн эх сурвалжуудыг эрэмбэлэн тогтоосны дараа шилжих төлөвлөгөөг боловсруулах ёстой.
4. Шилжилтийн гүйцэтгэл: Дараа нь шилжих үйл явцыг төлөвлөгөөний дагуу гүйцэтгэж болно. Үүнд шинэ SIEM-д тэжээлийг тохируулах, агентуудыг суулгах, API-г тохируулах гэх мэт төрөл бүрийн ажлууд багтаж болно.
5. Туршилт ба баталгаажуулалт: Шилжүүлэлт дууссаны дараа бүртгэлийн өгөгдлийг зөв залгиж байгаа эсэхийг шалгаж, баталгаажуулах нь чухал юм. Үүнийг чимээгүй болсон өгөгдлийн эх сурвалжийн сэрэмжлүүлгийг тохируулах боломж болгон ашигла.
6. Баримт бичиг: Эцэст нь шинэ бүртгэлийн эхийн тохиргоог баримтжуулах нь чухал юм.

Гол үйл явц: Илрүүлэх болон хариу өгөх контентыг шилжүүлэх
SIEM илрүүлэх, хариу үйлдэл үзүүлэх агуулга нь дүрэм, хайлт, тоглоомын дэвтэр, хяналтын самбар болон бусад тохиргооноос бүрддэг бөгөөд энэ нь таны SIEM анхааруулга юу болохыг тодорхойлж, шинжээчдэд эдгээр сэрэмжлүүлгийг хэрхэн зохицуулахад тусалдаг. Зөв тохируулагдсан контентгүй бол SIEM нь хайлт хийх сонирхолтой арга юм. Энэ бол "үнэтэй grep" гэсэн нэр томъёог зохиолчдын хамтран зүтгэгч хэдэн жилийн өмнө гаргаж ирсэн. SIEM контент нь танай байгууллагын нээлтийн хамрах хүрээг тодорхойлоход чухал үүрэг гүйцэтгэдэг.

• Илрүүлэх дүрмийг аюулгүй байдлын зөрчлийг тодорхойлоход ашигладаг. Аюулгүй байдлын аюул заналхийлэгчид болон тэдгээрт нийтлэг байдаг тактик, арга техник, журмын (TTP) талаар гүнзгий мэдлэгтэй илрүүлэх инженерүүд тэдгээрийг бичдэг. Илрүүлэх дүрмүүд нь бүртгэлийн өгөгдөлд эдгээр TTP-ийг төлөөлөх хэв маягийг хайдаг. Илрүүлэх дүрэм нь ихэвчлэн янз бүрийн бүртгэлийн эх сурвалжуудыг хооронд нь холбож, аюулын тагнуулын өгөгдлийг ашигладаг.
• Хариу үйлдлийн номыг аюулгүй байдлын дохиоллын хариуг автоматжуулахад ашигладаг. Эдгээрт мэдэгдэл илгээх, эвдэрсэн хостуудыг тусгаарлах, сэрэмжлүүлгийг контекст өгөгдөл/аюулын тагнуулаар баяжуулах, засах скрипт ажиллуулах зэрэг ажлууд багтаж болно.
• Хяналтын самбарыг аюулгүй байдлын өгөгдлийг дүрслэн харуулах, аюулгүй байдлын ослын статусыг хянахад ашигладаг. Тэдгээрийг байгууллагын аюулгүй байдлын ерөнхий байдлыг хянах, чиг хандлага, хэв маягийг тодорхойлоход ашиглаж болно.
• Шинэ илрүүлэх, хариу үйлдэл үзүүлэх агуулгыг боловсруулах нь давтагдах үйл явц юм. SIEM-ийг тасралтгүй хянаж, шаардлагатай бол контентод тохируулга хийх нь чухал юм. SIEM шилжилт нь код болгон илрүүлэх (DaC) гэх мэт аргуудыг ашиглан процессуудаа сайжруулахад тохиромжтой үе юм.

Гол үйл явц: Сургалт ба идэвхжүүлэлт
SIEM шилжих явцад ихэвчлэн үл тоомсорлодог үйл явц бол хэрэглэгчийн сургалт юм. SIEM нь аюулгүй байдлын үйл ажиллагааны багийн ашигладаг хамгийн чухал хэрэгсэл юм. Тэдний үүнийг үр дүнтэй, үр бүтээлтэй ашиглах чадвар нь шилжилт хөдөлгөөнийг амжилттай явуулах, танай байгууллагыг хамгаалах чадварт ихээхэн үүрэг гүйцэтгэнэ. Сургалтын агуулга, хүргэлтийг хангахын тулд SIEM үйлчилгээ үзүүлэгч болон байршуулах түншдээ найдаж болно. Танай багууд идэвхжүүлэх ёстой сэдвүүдийн товч жагсаалт энд байна.

• Бүртгэлийн тэжээл залгих болон задлан шинжилнэ
• Хайлт / Мөрдөн байцаалт
• Кейс менежмент
• Дүрэм зохиох
• Хяналтын самбар боловсруулах
• Тоглоомын дэвтэр / Автоматжуулалт

Дүгнэлт

• Эцсийн эцэст, хуучин SIEM-ээс орчин үеийн шийдэл рүү шилжих нь зайлшгүй юм. Хэдийгээр сорилтууд нь хэцүү мэт санагдаж болох ч сайтар төлөвлөж, гүйцэтгэсэн шилжилт хөдөлгөөн нь аюул заналыг илрүүлэх, хариу арга хэмжээ авах чадвар, аюулгүй байдлын ерөнхий байдлыг мэдэгдэхүйц сайжруулахад хүргэдэг.
• Шинэ SIEM-ийн сонголтыг нухацтай авч үзэж, үүлэнд суурилсан архитектурын давуу талыг ашиглан, аюулын мэдээллийн дэвшилтэт мэдээллийг нэгтгэж, хиймэл оюун ухаанд суурилсан функцуудыг ашигласнаар байгууллагууд аюулгүй байдлын багаа байнга хувьсан өөрчлөгдөж буй аюулаас идэвхтэй хамгаалах боломжийг олгож чадна. Амжилттай шилжих үйл явц нь нарийн төлөвлөлт, иж бүрэн баримтжуулалт, стратегийн бүртгэлийн эх сурвалж, агуулгын шилжилт, нарийн туршилт, хэрэглэгчийн цогц сургалтыг багтаадаг.
• Туршлагатай байршуулах мэргэжилтнүүдтэй хамтран ажиллах нь нарийн төвөгтэй байдлыг даван туулах, шилжилтийг жигд явуулахад үнэлж баршгүй ач холбогдолтой юм. Байгууллагууд тасралтгүй сайжруулж, илрүүлэх инженерчлэлд анхаарлаа төвлөрүүлснээр бүх зүйлийг бүрэн ашиглаж чадна
• шинэ SIEM-ийн чадавхийг нэмэгдүүлж, аюулгүй байдлын хамгаалалтаа олон жилийн турш бэхжүүлнэ.

Нэмэлт уншлага

• "Google SecOps нь таны SIEM стекийг нэмэгдүүлэхэд хэрхэн тусалж чадах вэ" нийтлэл
• "ХБХ-ны ирээдүй: хувьсал эсвэл оновчлол - замаа сонго" цаас
• Google Cloud аюулгүй байдлын олон нийтийн блог
• Илрүүлэх инженерийн долоо хоног тутмын мэдээллийн товхимол
• илрүүлэх.fyi – Илрүүлэх инженерийн талаарх дадлагажигч төвтэй зөвлөмжүүд
• Код болгон илрүүлэх болон Google-ийн аюулгүй байдлын ажиллагааг эхлүүлэх - Дэвид Франц (Нэгдүгээр хэсэг, хоёрдугаар хэсэг)
• Орчин үеийн илрүүлэх инженерийн ажлын урсгалыг хэрэгжүүлэх нь - Дан Луссиер (Нэгдүгээр хэсэг, хоёрдугаар хэсэг, гуравдугаар хэсэг)

Дэлгэрэнгүй мэдээллийг зочилно уу cloud.google.com

Түгээмэл асуултууд

А: Great SIEM Migration гарын авлагын зорилго юу вэ?
Хариулт: Энэхүү гарын авлага нь байгууллагуудыг хуучирсан SIEM шийдлээс аюулыг илрүүлэх, хариу арга хэмжээ авах шинэ, илүү үр ашигтай хувилбар руу шилжүүлэхэд туслах зорилготой юм.

Асуулт: Би үүлд суурилсан SIEM-ээс хэрхэн ашиг хүртэх вэ?
Х: Үүлэнд суурилсан SIEM-ууд нь архитектур, чадавхаасаа шалтгаалан үүлэн ачааллын хувьд өргөтгөх боломжтой, өртөг хэмнэлттэй, үр дүнтэй аюулгүй байдлыг хангадаг.

Баримт бичиг / нөөц

Google Cloud SIEM шилжих [pdf] Заавар SIEM шилжилт хөдөлгөөн, шилжилт хөдөлгөөн

Лавлагаа

• Хэрэглэгчийн гарын авлага