現在、情報セキュリティについて考えていない会社を想像することは非常に困難です。 情報セキュリティの開発レベルは、ビジネスとITの開発レベルに大きく依存します。 情報セキュリティは常にシンプルなものから始まります。ファイアウォール、アンチウイルスなどをインストールする必要があります。つまり、インフラストラクチャレベルで問題を解決します。 この段階では、関連するプロセスとその規制を構築することに注意が払われていません。 時間の経過とともに、タスクはより複雑になり、DLPシステム、非構造化または半構造化データ管理システム、セキュリティスキャナー、セキュリティ情報およびイベント管理(SIEM)クラスシステムなど、より複雑なソリューションを使用する必要があります。 そして、無秩序で無秩序な一連のプロセス、膨大な数の保護機器がそれぞれ重要であると、すべてがどのように機能するのか、管理方法、情報セキュリティの観点から企業で何が起こるのかを本当に理解しているかどうかがすでに不明な状態になります。 実践では、保護具の数を常に増やすと人員が増えるわけではないことが示されています。 多くの場合、マネージャーは、情報セキュリティを確保するためにかなりの金額を投資しているので、人間の関与がほとんどまたはまったくなくてもすべてが機能するはずだと考えています。 しかし、これはそうではありません。 原則として、そのようなアプローチは、スタッフの混雑と情報セキュリティ運用の実装の低効率につながります。
この問題を解決して運用コストを削減する1つの方法は、原則として、特定のSIEMソリューションに基づいてセキュリティ管理センターを構築することです。 または、すべてのIBシステムを単一のSIEMシステムに接続するだけです。
「一度にすべて」の救済策は存在しないことを理解することが重要です。 さまざまなソフトウェアおよびハードウェアツールが、特定の種類の脅威から保護します。 そして、原則として、さまざまな人々が責任を負っています。 そのため、Varonis製品をSIEMクラスシステムと統合するタスクが頻繁に発生するため、1つのコンソールですべての情報セキュリティイベントを確認できます。
Varonis製品は、SIEMソリューションとシームレスに統合します。 ここにはいくつかの可能性があります。
1.アラート。 Varonisには、ユーザーに警告するかなり豊富な機能があります。 これらは、SNMPの形式でイベントログに記録された電子メールで送信できます。 syslogを介してアラートを送信する方法に興味があります。 ここでは、Varonis自体を適切に設定することが重要です。結局、正しく構造化されたインシデント管理プロセスは、どのアラートに関心があるかによって異なります。 情報の大量コピーまたは削除、特定のフォルダー内の特定のユーザーの作業、そのような権限を持たない従業員の機密データへのアクセスに関心がある場合は、そのような通知を構成する必要があります。 バロニスからのメッセージの結果が最も正しいと思われる条件に応じたインシデントになるように、SIEMソリューションの相関ルールを調整する必要があることを忘れてはなりません。 これは双方向プロセスであることを理解することが重要です-Varonisでアラートを設定し、SIEMシステムでこのアラートを確認したら、すぐに相関ルールを設定する必要があります。 Varonisからのイベントを正規化するプロセスにもそれほど時間はかかりません。メッセージは非常に近いCEF形式であり、HP Arcsightで簡単に解釈できます。 他のSIEMソリューションもVaronisからのメッセージを簡単に解釈し、わずかに長いセットアップのみを必要とします。 したがって、SIEMソリューションでは、Varonisで発生する可能性のあるアラートに関するすべての情報を取得でき、製品コンソール自体に連絡することさえできません。 初期設定を行い、インフラストラクチャの変更に応じて調整するだけです。
2. Varonisレポートによる統合。 この場合、原則として、Varonisからの警告システムはありません(おそらく最初からそれを必要としなかったので、購入しませんでした)が、既存のSIEMソリューションに関連付けたい製品自体があります。 Varonisには広範なレポート機能があり、アラートにあった可能性のあるすべての情報セキュリティインシデントもレポートに含まれます。 アンロードするレポートを正確に設定し、どの基準、アップロードの頻度、フォーマットに従って設定する必要があるだけです。 ここでの主な欠点は、効率性の欠如です。これは、警告システムがなく、レポートから翌日だけに何が起こったのかを知ることができるためです。 また、ここでのSIEMとの統合は異なります。最初のケースでsyslogがあった場合、ここではcsvファイルになり、一定の頻度でアップロードされます。 ただし、この場合も最終目標は達成されます。関心のあるすべての情報セキュリティインシデントを1つのコンソールで確認できます。
3.バロニス自体のイベント。 ここでは、Varonisがサーバー自体のイベントログに書き込むイベントについて説明しています。これらは、その状態に関するイベントです。 Varonisが現在実行されているかどうかを常に知りたい場合、製品コンソールを開いたり、Varonisサービスが実行されているかどうかを確認したりする場合、Varonis Serverイベントログを読み取って情報セキュリティインシデントを生成することを妨げるものはありませんエラーがある場合。 この場合、すべてが私たちの管理下にあることを完全に確信できます。
したがって、会社の従業員が作成したデータに関連するインシデントを管理するという点で、ISのニーズを完全に満たすソリューションを取得できます。 これにより、運用費用が削減され、IS部門の従業員は日常のタスクをより迅速かつ効率的に解決して、情報セキュリティを確保できます。
データ管理からインシデント管理まで:Varonisをインシデント管理プロセスに適切に統合する方法
All Articles