این یادداشت بهدنبال پاسخ به این پرسش است که آیا روالهای استفاده فعلی و ابزارهای موجود در SIEM های رایج میتواند سازمانها را در برابر حوادثی مانند حملات سایبری شامگاه هفدهم فروردینماه مصون کند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یکی از معیارهای کلیدی در انتخاب یک SIEM، میزان پتانسیل استفاده از امکانات آن در جهت Threat hunting است. به همین دلیل در مراکز عملیات امنیت مدرن از محصولات مکمل دیگری بهمنظور تقویت توان Threat hunting در کنار SIEM استفاده میکنند.
اگر سطوح بلوغ هر مرکز عملیات امنیت در threat hunting را پنج سطح در نظر بگیریم، استفاده از SIEM و IDS های رایج در بهترین حالت امکانات لازم برای رسیدن به سطح ۲ را ارائه میکند. اگر حملات بعدی برخلاف حملات شامگاه جمعه که ایران و چندین کشور دیگر را درگیر کرد و به ستون فقرات مراکز داده انجام شد از نوع ناشناخته باشند، گریزی جز اجرای گامهای حلقه Threat hunting برای شناسایی سریع و رسیدگی بهموقع به این حملات نیست وگرنه هزینه خسارت ناشی از آن، بسیار افزایش خواهدیافت.
وجود امکانات و ابزارهای کافی در جهت فرضیهسازی حمله، شناسایی الگو، شناسایی IoCها، یادگیری و تحلیل عمیق داده از ضروریات این امر است.
بلوغ در ابزارهای مرکز عملیات امنیت از جستوجوهای ساده به سمت بصریسازی پیشرفته داده، جستوجوی یک IoC ساده مانند آدرس IP بدنام به سمت نشانههای پیچیده یک حمله و فرضیههای ساده به سمت الگوهای چندبعدی حرکت میکند تا شرایط لازم برای انجام کامل روالهای پیش فعالانه به جای اقدامات صرفا واکنشی را در مرکز عملیات امنیت فراهم کند.