Event Correlation. La sua importanza nel SIEM.

Event Correlation. Iniziamo dalle basi.

Le informazioni sulla sicurezza e event management (SIEM) aiutano a gestire e analizzare la grande quantità di informazioni dei log generati dalle reti. Di tutte le funzionalità SIEM, l’event correlation è quella più potente. Questa tecnica analizza i log di dati da server, applicazioni, router, firewall e altri dispositivi di rete e identifica i modelli di attività che indicano potenziali attacchi. L’event correlation consente di ottenere il massimo dalle informazioni già disponibili per semplificare il rilevamento degli incident di sicurezza.

Event Correlation. Che tipo di attacchi rileva?

L’event correlation segue un approccio “dal basso verso l’alto”. Rilevato un singolo evento che potrebbe essere parte di un attacco, cerca una sequenza correlata di eventi finché non riesce a convalidare l’esistenza di un potenziale modello di attacco. Con questo approccio, l’event correlation, ha la flessibilità di cercare un numero illimitato di pattern in modo da poter tenere il passo con attacchi in continua evoluzione sulla rete. Di seguito sono riportate alcune classi di attacchi che questa tecnica ti aiuta a respingere:

  • APT (Advanced persistent threats): Scopri gli “aggressori” che tentano di muoversi nella rete senza essere rilevati e svolgere attività dannose in background. L’event correlation degli eventi ti aiuta a scoprire questi tentativi cercando gli indicatori chiave che suggeriscono attività dannose in background. È possibile identificare la creazione di un backdoor account e l’installazione di software e servizi sospetti.
  • Data Breaches: Monitora i tuoi dati riservati per assicurarti che rimangano protetti da accessi illegali. Esempi di questo includono cancellazioni di file anomali o backup SQL non autorizzati.
  • Malicious Insider: monitora i tuoi dipendenti rilevando attività interne dannose. L’accesso forzato nei server o nelle workstation critiche dell’azienda e l’uso ingiustificato delle risorse di rete rientrano in questa categoria.
  • Lateral movement: Rileva i movimenti laterali attraverso la rete e contiene i danni prima che si diffondano. Ciò potrebbe includere un worm installato su diversi dispositivi di rete o più modifiche di file attraverso la rete, che potrebbero indicare possibili attività di ransomware.

Event Correlation. Quali sono i vantaggi?

Di seguito una piccola overview dei vantaggi legati all’Event Correlation:

  • Integrated perspective on security: con l’event correlation, la sicurezza viene applicata alla rete nel suo complesso invece che separatamente per i diversi dispositivi.
  • Incident detection rapida e accurata: l’event correlation identifica gli eventi non appena i registri vengono raccolti e elaborati.
  • Miglioramento continuo delle politiche di sicurezza: gli incident rilevati rivelano aree deboli nella rete, il che aiuta gli amministratori della sicurezza a stabilire le priorità e a rafforzare la sicurezza nelle aree che ne hanno più bisogno.
  • Efficienti indagini forensi: fornendo un quadro completo di come un utente malintenzionato è in grado di violare una rete, l’event correlation eventi getta solide basi per ulteriori indagini forensi.
  • Easy IT Compliance: essere compliance alle policies è più semplice quando puoi dimostrare che esistono sistemi efficaci per rilevare gli incident e scoprire esattamente come sono stati realizzati.

Ti interessa avere maggiori informazioni o provare la demo gratuita di Eventlog Analyzer? Scaricala subito dal nostro sito: http://www.manageengine.it/eventlog/ se invece vuoi avere subito dettagli di carattere tecnico o commerciale chiamaci allo 0643230077 o invia una e-mail a sales@bludis.it

Articoli correlati

Nessun commento

Commenta