为了提高网络安全团队的生产力和效率,卡巴斯基对其安全信息与事件管理(SIEM)解决方案进行了重大更新。增强后的平台提供了一个新的AI模块,用于更快、更有效地进行警报分类,帮助可视化资源依赖关系,并支持扩展的搜索功能。
根据Verified Market Research的研究,SIEM市场在2024年的估值为52.1亿美元,预计到2031年将达到100.9亿美元。推动这一增长的主要因素包括网络威胁的增加、法规合规要求以及对快速威胁检测的需求。企业正在寻找能够实时收集和分析数据的解决方案,以显著提升其态势感知能力。为了满足这一需求,卡巴斯基在其SIEM中新增了多项功能,使网络安全专业人员能够更高效地检测威胁。
卡巴斯基SIEM是一款基于AI技术栈构建的安全运营中心(SOC)平台,并辅以世界领先的威胁情报。该平台收集日志数据,并通过上下文信息和可操作的威胁情报对其进行丰富,为事件调查和响应提供所需的所有数据,同时支持警报的自动化响应和威胁追踪。
新的AI模块
卡巴斯基SIEM具有一个新的人工智能模块,通过分析历史数据来改善警报和事件的分类,同时基于人工智能的资产风险评分为主动搜索提供了有价值的假设。
该模块分析特定活动的特征如何与不同资产(如工作站、虚拟机、手机等)相关联。如果系统通过事件关联检测到的警报对于被检测资产来说并不典型,则此类检测将在界面中标记为额外状态。因此,分析师可以快速识别需要立即关注的事件。
卡巴斯基端点安全代理收集的数据
之前,要从运行Windows和Linux的工作站收集数据,需要在每个工作站上安装SIEM代理,或者配置数据传输到中间主机,然后再与SIEM进行数据交换。现在,如果主机上安装了卡巴斯基端点安全代理,它可以直接将数据发送到SIEM系统。这些数据可用于进一步的事件搜索、分析和关联。因此,对于已经使用卡巴斯基产品进行端点防护的客户来说,无需再额外安装和监控单独的SIEM代理。
资源依赖关系图和扩展搜索功能
该平台还增强了搜索功能,现在允许客户可视化资源(过滤器、规则、列表)之间的连接关系。资源依赖关系图采用分层文件夹结构,使大型团队或多个存储搜索更容易找到正确的搜索查询。分析人员可以快速而准确地定位相关事件,或通过定义搜索查询或报告的开始和结束时间范围来创建“滚动窗口”报告。存储搜索查询历史使用户能够轻松访问之前的查询。
内容版本控制
卡巴斯基SIEM以版本形式存储资源更改的历史记录。当分析师创建新资源或保存对现有资源参数的更改时,会自动创建资源版本。版本存储简化了分析师团队内部的协作。例如,团队成员可以查看同事在关联规则中所做的任何更改,并在必要时撤销这些更改。
唯一字段映射
利用更新后的平台,分析师现在可以将关联规则中独特字段部分的指定字段值数组添加到关联事件中,从而节省时间,无需在底层事件中搜索字段值。
卡巴斯基SIEM还支持在警报被识别为误报时将特定字段值添加到例外中。每个关联规则都会生成一个单独的例外列表,使分析师能够专注于关键警报,并快速减少关联规则的“噪音”。
“由于 SIEM 是 SOC 团队和 IT 安全部门的主要工具之一,我们竭尽所能使我们的平台更易于使用。这些新功能意味着企业可以更快、更轻松地应对事件。此外,我们通过丰富事件源连接器和关联规则来增强卡巴斯基SIEM。如今,我们的开箱即用规则已经覆盖了MITRE ATT&CK矩阵中的400多种技术,支持的事件源数量已接近300个,并且这一数字还在不断增长,”卡巴斯基统一平台产品线负责人Ilya Markelov评论说。
要了解更多有关卡巴斯基SIEM的详情,请访问这个网站。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
