Kaspersky, siber güvenlik gruplarının üretkenliğini ve aktifliğini artırmak için Güvenlik Bilgileri ve Olay İdaresi (Security Information and Event Management-SIEM) tahlilinde değerli bir güncelleme yaptığını duyurdu.

Geliştirilmiş platform, daha süratli ve daha tesirli ikaz önceliklendirmesi için yeni bir yapay zeka modülü sunuyor, kaynak bağımlılıklarını görselleştirmeye yardımcı oluyor ve genişletilmiş arama yetenekleri getiriyor.

Verified Market Research bilgilerine nazaran, SIEM pazarı 2024 yılında 5,21 milyar dolar bedeline ulaştı ve bu sayının 2031 yılına kadar 10,09 milyar dolara ulaşması bekleniyor. Bu büyümeye katkıda bulunan temel faktörler ortasında artan siber tehditler, yasal uyumluluk düzenlemeleri ve süratli tehdit tespiti talebi yer alıyor. İşletmeler, dataları gerçek vakitli olarak toplamalarını ve tahlil etmelerini sağlayan ve farkındalıklarını değerli ölçüde artıran tahlillerin arayışına giriyor. Kaspersky, bu talebi karşılamak için SIEM’ine yeni özellikler ekleyerek siber güvenlik uzmanlarının tehditleri daha verimli bir halde tespit etmesini sağlıyor.

Kaspersky SIEM, yapay zeka dayanaklı bir teknoloji yığınına dayanan, dünya lideri Tehdit Zekası ile güçlendirilmiş bir güvenlik operasyon merkezi (SOC) platformu olarak öne çıkıyor. Platform günlük bilgilerini toplayarak ve bunları bağlamsal bilgiler ve harekete geçirilebilir tehdit istihbaratı ile zenginleştirerek olay araştırması ve müdahalesi için gereken tüm dataları sağlamanın yanı sıra, ikazlara otomatik karşılıklar verilmesini ve tehdit avcılığı yapılmasını mümkün kılıyor.

Yeni yapay zeka modülü

Kaspersky SIEM, geçmiş dataları tahlil ederek triyaj ikazlarını ve olayları düzgünleştiren yeni yapay zeka modülüyle, varlıkların yapay tabanlı risk puanlamasını yapabiliyor ve proaktif aramalar için bedelli hipotezler sağlıyor.

Bu modül, belli bir aktifliğin karakteristiğinin farklı varlıklarla (iş istasyonları, sanal makineler, cep telefonları vb.) nasıl bir münasebet içinde olduğunu tahlil ediyor. Olay korelasyonu sonucunda sistem tarafından tespit edilen bir ikaz, tespit edildiği varlık için tipik değilse, tespit arayüzde ek bir göstergeyle işaretleniyor. Böylelikle analistler acil müdahale gerektiren olayları süratli bir halde görebiliyor.

Kaspersky Endpoint Security casusu tarafından data toplama

Önceden, Windows ve Linux çalıştıran iş istasyonlarından bilgi toplamak için her istasyona bir SIEM casusu yüklemek, yahut bir orta ana bilgisayarda data iletimini yapılandırmak ve akabinde SIEM ile data alışverişini düzenlemek gerekiyordu. Kaspersky Endpoint Security casusu artık ana bilgisayara kurulduğunda dataları direkt SIEM sistemine gönderebiliyor. Bu datalar daha fazla olay araması, tahlili ve korelasyonu için kullanılabiliyor. Böylelikle uç nokta güvenliği için Kaspersky eserlerini zati kullanan müşteriler için farklı SIEM aracıları kurma ve izleme için gereken ek adım ortadan kalkıyor.

Kaynak bağımlılıkları grafiği ve genişletilmiş arama özellikleri

Platformun arama yetenekleri de geliştirildi ve artık müşterilerin kaynakların (filtreler, kurallar, listeler) birbirleriyle nasıl ilişkili olduğunu görselleştirmelerine imkan tanıyor. Hiyerarşik bir klasör yapısı içeren kaynak bağımlılıkları grafiği, büyük gruplar yahut birden fazla depolanmış arama için yanlışsız arama sorgusunu bulmayı kolaylaştırıyor. Analistler, bir arama sorgusu yahut rapor için başlangıç ve bitiş vakit dilimlerini tanımlayarak ilgili olayları süratli ve kesin bir formda bulabiliyor yahut “dönen pencere” raporları oluşturabiliyor. Arama sorgusu geçmişinin saklanması, kullanıcının evvelki sorgulara çarçabuk erişmesini sağlıyor.

İçerik versiyonlama

Kaspersky SIEM, kaynak değişikliklerinin geçmişini sürümler halinde saklıyor. Bir analist yeni bir kaynak oluşturduğunda yahut mevcut bir kaynaktaki parametrelerdeki değişiklikleri kaydettiğinde otomatik olarak bir kaynak sürümü oluşturuluyor. Sürüm depolama, analist grupları içindeki etkileşimi de kolaylaştırıyor. Örneğin bir grup üyesi, bir meslektaşının bir korelasyon kuralında yaptığı değişiklikleri görebiliyor ve gerekirse bunları geri alabiliyor.

Benzersiz alan eşlemesi

Güncellenen platform sayesinde analistler artık bir korelasyon olayına korelasyon kuralının eşsiz alan kısmından belirtilen alan bedellerinden oluşan bir dizi ekleyebiliyor. Böylelikle temel olaylardaki alan bedelleri ortasında arama yapma muhtaçlığını ortadan kaldırarak vakitten tasarruf sağlıyor.

Kaspersky SIEM, bir ihtarın yanlış olumlu olarak tanımlanması durumunda makul alan bedellerinin bir istisnaya eklenmesini de sağlıyor. Her korelasyon kuralı başka bir istisna listesi oluşturarak analistlerin kritik ikazlara odaklanmasına ve korelasyon kuralı “gürültüsünü” süratle azaltmasına imkan tanıyor.

Kaspersky Birleşik Platform Eser Kümesi Başkanı Ilya Markelov, şunları söylüyor: “SIEM, SOC takımları ve BT güvenlik departmanları için ana araçlardan biri olduğundan, platformumuzun kullanımını kolaylaştırmak için elimizden gelen her şeyi yapıyoruz. Bu yeni özellikler, işletmelerin olaylara daha süratli ve daha az uğraşla reaksiyon verebileceği manasına geliyor. Ayrıyeten Kaspersky SIEM’imizi olay kaynaklarına ve korelasyon kurallarına bağlayıcılarla zenginleştirerek geliştirdik. Bugün, kullanıma hazır kurallarımız MITRE ATT&CK matrisindeki 400’den fazla tekniği kapsıyor. Desteklenen kaynak sayısı da 300’e yaklaştı ve bu sayı daima artıyor.”

Kaynak: (BYZHA) Beyaz Haber Ajansı