Kaspersky, siber güvenlik gruplarının üretkenliğini ve aktifliğini artırmak için Güvenlik Bilgileri ve Olay İdaresi (Security Information and Event Management-SIEM) tahlilinde kıymetli bir güncelleme yaptığını duyurdu.
Geliştirilmiş platform, daha süratli ve daha tesirli ikaz önceliklendirmesi için yeni bir yapay zeka modülü sunuyor, kaynak bağımlılıklarını görselleştirmeye yardımcı oluyor ve genişletilmiş arama yetenekleri getiriyor.
Verified Market Research datalarına nazaran, SIEM pazarı 2024 yılında 5,21 milyar dolar pahasına ulaştı ve bu sayının 2031 yılına kadar 10,09 milyar dolara ulaşması bekleniyor. Bu büyümeye katkıda bulunan temel faktörler ortasında artan siber tehditler, yasal uyumluluk düzenlemeleri ve süratli tehdit tespiti talebi yer alıyor. İşletmeler, dataları gerçek vakitli olarak toplamalarını ve tahlil etmelerini sağlayan ve farkındalıklarını kıymetli ölçüde artıran tahlillerin arayışına giriyor. Kaspersky, bu talebi karşılamak için SIEM’ine yeni özellikler ekleyerek siber güvenlik uzmanlarının tehditleri daha verimli bir halde tespit etmesini sağlıyor.
Kaspersky SIEM, yapay zeka takviyeli bir teknoloji yığınına dayanan, dünya lideri Tehdit Zekası ile güçlendirilmiş bir güvenlik operasyon merkezi (SOC) platformu olarak öne çıkıyor. Platform günlük bilgilerini toplayarak ve bunları bağlamsal bilgiler ve aksiyona geçirilebilir tehdit istihbaratı ile zenginleştirerek olay araştırması ve müdahalesi için gereken tüm dataları sağlamanın yanı sıra, ikazlara otomatik karşılıklar verilmesini ve tehdit avcılığı yapılmasını mümkün kılıyor.
Yeni yapay zeka modülü
Kaspersky SIEM, geçmiş bilgileri tahlil ederek triyaj ikazlarını ve olayları güzelleştiren yeni yapay zeka modülüyle, varlıkların yapay tabanlı risk puanlamasını yapabiliyor ve proaktif aramalar için kıymetli hipotezler sağlıyor.
Bu modül, muhakkak bir aktifliğin karakteristiğinin farklı varlıklarla (iş istasyonları, sanal makineler, cep telefonları vb.) nasıl bir bağ içinde olduğunu tahlil ediyor. Olay korelasyonu sonucunda sistem tarafından tespit edilen bir ihtar, tespit edildiği varlık için tipik değilse, tespit arayüzde ek bir göstergeyle işaretleniyor. Böylelikle analistler acil müdahale gerektiren olayları süratli bir biçimde görebiliyor.
Kaspersky Endpoint Security casusu tarafından data toplama
Önceden, Windows ve Linux çalıştıran iş istasyonlarından data toplamak için her istasyona bir SIEM casusu yüklemek, yahut bir orta ana bilgisayarda veri iletimini yapılandırmak ve akabinde SIEM ile bilgi alışverişini düzenlemek gerekiyordu. Kaspersky Endpoint Security casusu artık ana bilgisayara kurulduğunda bilgileri direkt SIEM sistemine gönderebiliyor. Bu bilgiler daha fazla olay araması, tahlili ve korelasyonu için kullanılabiliyor. Böylelikle uç nokta güvenliği için Kaspersky eserlerini aslında kullanan müşteriler için başka SIEM aracıları kurma ve izleme için gereken ek adım ortadan kalkıyor.
Kaynak bağımlılıkları grafiği ve genişletilmiş arama özellikleri
Platformun arama yetenekleri de geliştirildi ve artık müşterilerin kaynakların (filtreler, kurallar, listeler) birbirleriyle nasıl kontaklı olduğunu görselleştirmelerine imkan tanıyor. Hiyerarşik bir klasör yapısı içeren kaynak bağımlılıkları grafiği, büyük takımlar yahut birden fazla depolanmış arama için yanlışsız arama sorgusunu bulmayı kolaylaştırıyor. Analistler, bir arama sorgusu yahut rapor için başlangıç ve bitiş vakit dilimlerini tanımlayarak ilgili olayları süratli ve kesin bir biçimde bulabiliyor yahut “dönen pencere” raporları oluşturabiliyor. Arama sorgusu geçmişinin saklanması, kullanıcının evvelki sorgulara çarçabuk erişmesini sağlıyor.
İçerik versiyonlama
Kaspersky SIEM, kaynak değişikliklerinin geçmişini sürümler halinde saklıyor. Bir analist yeni bir kaynak oluşturduğunda yahut mevcut bir kaynaktaki parametrelerdeki değişiklikleri kaydettiğinde otomatik olarak bir kaynak sürümü oluşturuluyor. Sürüm depolama, analist takımları içindeki etkileşimi de kolaylaştırıyor. Örneğin bir takım üyesi, bir meslektaşının bir korelasyon kuralında yaptığı değişiklikleri görebiliyor ve gerekirse bunları geri alabiliyor.
Benzersiz alan eşlemesi
Güncellenen platform sayesinde analistler artık bir korelasyon olayına korelasyon kuralının eşsiz alan kısmından belirtilen alan kıymetlerinden oluşan bir dizi ekleyebiliyor. Böylelikle temel olaylardaki alan kıymetleri ortasında arama yapma gereksinimini ortadan kaldırarak vakitten tasarruf sağlıyor.
Kaspersky SIEM, bir ikazın yanlış olumlu olarak tanımlanması durumunda makul alan bedellerinin bir istisnaya eklenmesini de sağlıyor. Her korelasyon kuralı başka bir istisna listesi oluşturarak analistlerin kritik ikazlara odaklanmasına ve korelasyon kuralı “gürültüsünü” süratle azaltmasına imkan tanıyor.
Kaspersky Birleşik Platform Eser Kümesi Başkanı Ilya Markelov, şunları söylüyor: “SIEM, SOC takımları ve BT güvenlik departmanları için ana araçlardan biri olduğundan, platformumuzun kullanımını kolaylaştırmak için elimizden gelen her şeyi yapıyoruz. Bu yeni özellikler, işletmelerin olaylara daha süratli ve daha az uğraşla reaksiyon verebileceği manasına geliyor. Ayrıyeten Kaspersky SIEM’imizi olay kaynaklarına ve korelasyon kurallarına bağlayıcılarla zenginleştirerek geliştirdik. Bugün, kullanıma hazır kurallarımız MITRE ATT&CK matrisindeki 400’den fazla tekniği kapsıyor. Desteklenen kaynak sayısı da 300’e yaklaştı ve bu sayı daima artıyor.”
Kaynak: (BYZHA) Beyaz Haber Ajansı
