Kaspersky, siber güvenlik gruplarının üretkenliğini ve aktifliğini artırmak için Güvenlik Bilgileri ve Olay İdaresi (Security Information and Event Management-SIEM) tahlilinde kıymetli bir güncelleme yaptığını duyurdu.
Geliştirilmiş platform, daha süratli ve daha tesirli ihtar önceliklendirmesi için yeni bir yapay zeka modülü sunuyor, kaynak bağımlılıklarını görselleştirmeye yardımcı oluyor ve genişletilmiş arama yetenekleri getiriyor.
Verified Market Research bilgilerine nazaran, SIEM pazarı 2024 yılında 5,21 milyar dolar kıymetine ulaştı ve bu sayının 2031 yılına kadar 10,09 milyar dolara ulaşması bekleniyor. Bu büyümeye katkıda bulunan temel faktörler ortasında artan siber tehditler, yasal uyumluluk düzenlemeleri ve süratli tehdit tespiti talebi yer alıyor. İşletmeler, dataları gerçek vakitli olarak toplamalarını ve tahlil etmelerini sağlayan ve farkındalıklarını değerli ölçüde artıran tahlillerin arayışına giriyor. Kaspersky, bu talebi karşılamak için SIEM’ine yeni özellikler ekleyerek siber güvenlik uzmanlarının tehditleri daha verimli bir halde tespit etmesini sağlıyor.
Kaspersky SIEM, yapay zeka takviyeli bir teknoloji yığınına dayanan, dünya lideri Tehdit Zekası ile güçlendirilmiş bir güvenlik operasyon merkezi (SOC) platformu olarak öne çıkıyor. Platform günlük bilgilerini toplayarak ve bunları bağlamsal bilgiler ve harekete geçirilebilir tehdit istihbaratı ile zenginleştirerek olay araştırması ve müdahalesi için gereken tüm bilgileri sağlamanın yanı sıra, ikazlara otomatik cevaplar verilmesini ve tehdit avcılığı yapılmasını mümkün kılıyor.
Yeni yapay zeka modülü
Kaspersky SIEM, geçmiş bilgileri tahlil ederek triyaj ikazlarını ve olayları uygunlaştıran yeni yapay zeka modülüyle, varlıkların yapay tabanlı risk puanlamasını yapabiliyor ve proaktif aramalar için bedelli hipotezler sağlıyor.
Bu modül, belli bir aktifliğin karakteristiğinin farklı varlıklarla (iş istasyonları, sanal makineler, cep telefonları vb.) nasıl bir ilgi içinde olduğunu tahlil ediyor. Olay korelasyonu sonucunda sistem tarafından tespit edilen bir ihtar, tespit edildiği varlık için tipik değilse, tespit arayüzde ek bir göstergeyle işaretleniyor. Böylelikle analistler acil müdahale gerektiren olayları süratli bir formda görebiliyor.
Kaspersky Endpoint Security casusu tarafından data toplama
Önceden, Windows ve Linux çalıştıran iş istasyonlarından data toplamak için her istasyona bir SIEM casusu yüklemek, yahut bir orta ana bilgisayarda data iletimini yapılandırmak ve akabinde SIEM ile bilgi alışverişini düzenlemek gerekiyordu. Kaspersky Endpoint Security casusu artık ana bilgisayara kurulduğunda bilgileri direkt SIEM sistemine gönderebiliyor. Bu bilgiler daha fazla olay araması, tahlili ve korelasyonu için kullanılabiliyor. Böylelikle uç nokta güvenliği için Kaspersky eserlerini zati kullanan müşteriler için başka SIEM aracıları kurma ve izleme için gereken ek adım ortadan kalkıyor.
Kaynak bağımlılıkları grafiği ve genişletilmiş arama özellikleri
Platformun arama yetenekleri de geliştirildi ve artık müşterilerin kaynakların (filtreler, kurallar, listeler) birbirleriyle nasıl irtibatlı olduğunu görselleştirmelerine imkan tanıyor. Hiyerarşik bir klasör yapısı içeren kaynak bağımlılıkları grafiği, büyük takımlar yahut birden fazla depolanmış arama için yanlışsız arama sorgusunu bulmayı kolaylaştırıyor. Analistler, bir arama sorgusu yahut rapor için başlangıç ve bitiş vakit dilimlerini tanımlayarak ilgili olayları süratli ve kesin bir halde bulabiliyor yahut “dönen pencere” raporları oluşturabiliyor. Arama sorgusu geçmişinin saklanması, kullanıcının evvelki sorgulara çarçabuk erişmesini sağlıyor.
İçerik versiyonlama
Kaspersky SIEM, kaynak değişikliklerinin geçmişini sürümler biçiminde saklıyor. Bir analist yeni bir kaynak oluşturduğunda yahut mevcut bir kaynaktaki parametrelerdeki değişiklikleri kaydettiğinde otomatik olarak bir kaynak sürümü oluşturuluyor. Sürüm depolama, analist grupları içindeki etkileşimi de kolaylaştırıyor. Örneğin bir takım üyesi, bir meslektaşının bir korelasyon kuralında yaptığı değişiklikleri görebiliyor ve gerekirse bunları geri alabiliyor.
Benzersiz alan eşlemesi
Güncellenen platform sayesinde analistler artık bir korelasyon olayına korelasyon kuralının eşsiz alan kısmından belirtilen alan bedellerinden oluşan bir dizi ekleyebiliyor. Böylelikle temel olaylardaki alan bedelleri ortasında arama yapma muhtaçlığını ortadan kaldırarak vakitten tasarruf sağlıyor.
Kaspersky SIEM, bir ikazın yanlış olumlu olarak tanımlanması durumunda belli alan kıymetlerinin bir istisnaya eklenmesini de sağlıyor. Her korelasyon kuralı başka bir istisna listesi oluşturarak analistlerin kritik ihtarlara odaklanmasına ve korelasyon kuralı “gürültüsünü” süratle azaltmasına imkan tanıyor.
Kaspersky Birleşik Platform Eser Kümesi Başkanı Ilya Markelov, şunları söylüyor: “SIEM, SOC grupları ve BT güvenlik departmanları için ana araçlardan biri olduğundan, platformumuzun kullanımını kolaylaştırmak için elimizden gelen her şeyi yapıyoruz. Bu yeni özellikler, işletmelerin olaylara daha süratli ve daha az eforla reaksiyon verebileceği manasına geliyor. Ayrıyeten Kaspersky SIEM’imizi olay kaynaklarına ve korelasyon kurallarına bağlayıcılarla zenginleştirerek geliştirdik. Bugün, kullanıma hazır kurallarımız MITRE ATT&CK matrisindeki 400’den fazla tekniği kapsıyor. Desteklenen kaynak sayısı da 300’e yaklaştı ve bu sayı daima artıyor.”
Kaynak: (BYZHA) Beyaz Haber Ajansı