随着网络安全团队面临的挑战不断增加,卡巴斯基对其统一监控和分析平台(一种安全信息和事件管理系统,SIEM)进行了重大更新。增强的功能旨在通过扩展威胁检测和响应能力来提高网络安全团队的工作效率。
网络安全团队面临诸多挑战,如频繁尝试渗透公司基础设施以及复杂攻击数量的增加。根据卡巴斯基人类因素 360报告,77%的企业在2023年至少经历过一次网络安全事件,其中许多企业在该期间经历了多达六次事件。为了优化资源和提高网络安全效率,企业正在寻找能够帮助他们实时收集和分析信息安全遥测数据的解决方案,从而大大提高对态势的感知能力。
卡巴斯基统一监控和分析平台是一种新一代SIEM解决方案,用于管理安全数据和事件。该平台不仅收集、汇总、分析和存储整个IT基础设施的日志数据,还提供上下文丰富和可操作的威胁情报洞察。这些功能在许多情况下对IT安全专家非常有用。卡巴斯基增加了新功能,使网络安全专家能够更好地驾驭平台,及时有效地检测威胁。
将远程办事处的事件转发为单一数据流。增加了一个事件路由器,以减轻通信通道的负荷,减少网络防火墙上打开的端口数量。它从收集器接收事件,并根据为服务配置的过滤器将事件发送到指定目的地。使用像这样的中间服务可以有效平衡链路之间的负载,并允许使用低带宽链路。
按任意字段分组,使用事件界面中的时间舍入函数。在调查过程中,分析师需要选择事件并构建带有分组和聚合函数的查询。现在,客户只需选择一个或多个字段(可用作分组参数)并点击“运行查询”,即可轻松运行聚合查询。
在多个选定存储中搜索事件。现在可以同时在多个存储集群中启动搜索查询,并在一个单一的合并表中获取结果。这一功能允许在分布式存储集群中更高效和直接地检索必要事件。合并表显示了每条记录的存储位置。
将规则映射到 MITRE ATT&CK®。创建了一种机制,帮助分析人员直观地了解已开发规则对 MITRE ATT&CK® 矩阵的覆盖情况,从而评估安全级别。该功能还允许分析师将包含技术和战术列表的最新文件导入 SIEM 系统,在规则属性中指定规则检测到的技术和战术,并将 SIEM 系统中按照矩阵标记的规则列表导出到 MITRE ATT&CK Navigator。
收集 DNS 分析日志。用于读取 DNS 分析订阅的新 ETW(Windows 事件跟踪)传输提供了扩展的 DNS 日志、诊断事件以及有关 DNS 服务器操作的分析数据。这提供了比 DNS 调试日志更多的信息,并且对 DNS 服务器性能的影响更小。
“SIEM 系统是为网络安全专业人员设计的首要工作工具之一。公司的安全性在很大程度上取决于专家们如何方便地与 SIEM 互动,使他们能够直接专注于应对威胁,而不是执行常规任务。我们正在根据市场需求和客户反馈继续积极改进解决方案,并不断引入新功能,使分析师的工作更轻松,”卡巴斯基统一平台产品线负责人Ilya Markelov评论说。
想要了解更多有关卡巴斯基SIEM的详情,请访问这个网站。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球220,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.