SIEM- ja sensorijärjestelmien tekninen konsultointi

SIEM-järjestelmät toimivat keskitettyinä tietoturvan valvontajärjestelminä jotka keräävät ympäristössä tapahtuvat tapahtumat yhteen paikkaan ja pyrkivät korreloinnin, hälytyssääntöjen ja koneoppimisen avulla nostamaan esiin huomiotavat asiat. Useimmiten keskitetty tietoturvavalvonta ja SOC-palvelut perustuvatkin SIEM-järjestelmään ja siihen tietoa tuottaviin sensorijärjestelmiin.

SIEM-järjestelmän havainnointikyky perustuu sille saatujen tapahtumatietojen laadusta ja kattavuudesta sekä tapahtumatietojen korreloinnista eri lähteistä tulevasta niin ulkoisesta kuin sisäisestä uhkatiedosta.Ensimmäinen asia on saada tapahtumatiedot ympäristössä olevista järjestelmistä ja tietoturvasensoreista keskitettyyn SIEM-järjestelmään. Useimmiten tämä tehdään hyödyntäen eri järjestelmien tuottamia lokitietoja ja monasti tämä yhdistetään keskitettyyn lokienhallintaan. Keskitetty lokienhallinta voi olla osa SIEM-järjestelmää tai kokonaan oma kokonaisuutensa riippuen siitä mikä on toimintaprosessien ja teknisten näkökohtien kannalta järkevintä.

Tapahtumatietojen saaminen SIEM-järjestelmään on useimmiten merkittävän suuri ja niin teknisesti kuin muutoshallinnallisesti monimutkainen projekti. Ihan liian usein hankitaan järjestelmä huomioimatta tapahtumatietojen laatu ja näiden saattamisesta keskitettyyn järjestelmään aiheutuvat kustannukset. Tämä tapahtumatietojen saattaminen SIEMille tuleekin suunnitella ja resursoida huolella sekä huomioida tähän liittyvät kustannukset ja rajoitteet esim. jaetusta kapasiteetista tuotettujen palvelujen suhteen.

Kun tapahtumatiedot on saatu SIEMille alkaa varsinainen valvonnan toteutus eli tietojen korrelointi ja hälytysten, valvontanäyttöjen, koneoppimismallien yms. määrittely ja rakentaminen. Useimmat SIEM-järjestelmät sisältävät suoraan paketista ison kasan valmiita malleja, sääntöjä ja valvontanäyttöjä mutta harvemmin nämä sellaisenaan soveltuvat suoraan asiakasympäristöön tai SOCin käyttöön. Monesti kuvitellaan että SIEM-järjestelmä ”taikoo” itsellään huomiotavat asiat suuresta tapahtumamassasta mutta näin ei pääosin ole vaan järjestelmä tulee integroida valvottavaan ympäristöön ja opettaa sille mikä on tärkeää, mitä asioita halutaan valvoa jne.

SIEM-järjestelmä vaatii jatkuvaa ylläpitoa ja kehitystä jotta se pysyy ajan tasalla niin ympäristön muutostilanteissa kuin uusien uhkien ilmaantuessa. SIEM-järjestelmän käyttöönotto ja ylläpito vaatikin osaavia resursseja ja jatkuvaa aktiivista kehittämistä. Kyberturvan/tietoturvan uhkakuvat muuttuvat jatkuvasti ja uhkien havaitsemiseksi tuodaan markkinoille jatkuvasti uusia teknologioita ja – tuotteita joiden tuottama tieto pitää saada SIEM-järjestelmälle tilannekuvan aikaansaamiseksi ympäristön tietoturvatilanteesta. Lisäksi paljon puhutut Machine Learning / Artificial Intelligence-teknologiat ovat tuoneet uusia keinoja tietoturvavalvontaan ja ovat osana nykyaikaisia SIEM-järjestelmiä.

Defensec on toiminut SIEM-järjestelmien, lokienhallinnan ja ylipäätään tietoturvavalvonnan parissa jo 25 vuoden ajan. Defensecillä on näkemystä ja kokemusta monista erilaisista SIEM-järjestelmistä ja näiden avulla tuotetuista tietoturvan valvontakokonaisuuksista. Jos teillä on lähdössä käyntiin SIEM-hanke tai teillä on ongelmia nykyisen SIEM-järjestelmänne suhteen niin ottakaa yhteyttä, Defensec auttaa.