访问数据:中央日志管理、SIEM 平台还是两者?
安全团队通常依赖现有的 SIEM 平台进行威胁追踪。然而,大多数 SIEM 解决方案都是为合规和报告目的而设计和实施的,因此可能 威胁搜寻的局限性。
SIEM 的缺点
日志数据类型的数量或能够提取的上下文信息量有限
受许可模式的约束,导致长期存储数据的成本过高
随着数据量的增加,会出现性能问题(搜索速度慢)
为了提高威胁搜寻能力,安全主 喀麦隆电话号码数据 管通常选择使用集中式日志管理解决方案来补充 SIEM。这些工具不是竞争性的,而是互补的。
此策略使两者并行工作,数据湖平台接受从 SIEM 转发的日志。还可以使用自动化数据管道在两者之间拆分数据。
制定威胁追踪计划
一旦找到了人才并制定了流程,接下来就是允许灵活、集成地访问数据的技术。
Kibana 最初开发为 Elasticsearch 搜索引擎的用户界面,现已发展成为当今威胁搜寻中最广泛使用的数据分析工具之一。
Kibana 功能强大且灵活,可让威胁猎手执行各种查询、执行数据关联并创建数据可视化,从而帮助发现数据集中隐藏的见解。其功能包括深入仪表板构建、时间序列分析,以及创建各种可视化(包括条形图和饼图、表格、直方图和地图)的能力。这些可视化功能使威胁猎手能够搜索大量聚合数据,以高效且一致的方式快速识别异常值。