Update der Security-Operations-Center (SOC)-Plattform ermöglicht schnellere und effizientere Vorfallreaktion
Kaspersky aktualisiert seine Security Information and Event Management (SIEM)-Lösung um weitere Funktionen. Kaspersky SIEM [1] bietet nun unter anderem ein neues KI-Modul für eine schnellere und effektivere Warnmeldungssichtung, hilft bei der Visualisierung von Ressourcenabhängigkeiten und erweitert die Suchfunktionen, so dass Sicherheitsteams schneller und effizienter auf Vorfälle reagieren können.
Im vergangenen Jahr haben Kaspersky-Lösungen durchschnittlich 467.000 neue schädliche Dateien entdeckt – täglich [2]. Aufgrund der stetig zunehmenden Bedrohungslage benötigen Unternehmen Lösungen, mit denen sie Daten in Echtzeit erfassen und analysieren können. Um dieser Nachfrage gerecht zu werden, hat Kaspersky seiner Security-Operations-Center (SOC)-Plattform, Kaspersky SIEM, neue Funktionen hinzugefügt, mit denen Cybersicherheitsexperten Bedrohungen effizienter erkennen können.
Kaspersky SIEM basiert auf einem KI-gestützten Technologie-Stack und wird durch die weltweit führende Threat Intelligence des Unternehmens [3] angereichert. Die SOC-Plattform sammelt Protokolldaten und reichert sie mit Kontextinformationen und Bedrohungsinformationen an, die für die Untersuchung und Reaktion auf Vorfälle erforderlich sind. Weiterhin bietet die Plattform automatisierte Reaktionen auf Warnungen und ermöglicht die Suche nach Bedrohungen.
Neues KI-Modul
Kaspersky SIEM bietet ein neues KI-Modul, das die Triage von Warnungen und Vorfällen durch die Analyse historischer Daten optimiert. Gleichzeitig unterstützt die KI-basierte Risikobewertung von Assets bei der Generierung wertvoller Hypothesen für proaktives Suchen. Das neue Modul untersucht, wie bestimmte Aktivitäten mit verschiedenen Assets wie Workstations, virtuellen Maschinen oder Mobiltelefonen in Zusammenhang stehen. Wenn eine Warnung, die durch Ereigniskorrelation erkannt wurde, für das betreffende Asset untypisch erscheint, wird diese Erkennung in der Nutzeroberfläche mit einem zusätzlichen Status versehen. Dies ermöglicht es Experten, Vorfälle schnell zu identifizieren, die eine sofortige Aufmerksamkeit erfordern.
Datenerfassung durch den Kaspersky Endpoint Security-Agenten
Mit der Installation des Agenten von Kaspersky Endpoint Security auf dem Host können die Daten direkt an das SIEM-System gesendet werden. Früher war es erforderlich, auf jeder Workstation mit Windows oder Linux einen SIEM-Agenten zu installieren oder die Datenübertragung an einen Zwischenhost zu konfigurieren, bevor der Datenaustausch mit dem SIEM-System eingerichtet werden konnte. Die Daten des Agenten stehen dann für Ereignissuchen, Analysen und Korrelationen zur Verfügung. Dadurch entfällt der zusätzliche Aufwand der Installation und Überwachung separater SIEM-Agenten für Kunden, die bereits Kaspersky-Produkte für den Endpoint-Schutz nutzen.
Abhängigkeitsdiagramme für Ressourcen und erweiterte Suchfunktionen
Kaspersky SIEM bietet nun auch erweiterte Suchfunktionen, mit denen Anwender die Verbindungen zwischen Ressourcen wie Filtern, Regeln und Listen visuell darstellen können. Ein Ressourcenabhängigkeitsdiagramm mit einer hierarchischen Ordnerstruktur vereinfacht das Auffinden der richtigen Suchanfragen, insbesondere für große Teams oder mehrere gespeicherte Suchvorgänge. Sicherheitsexperten können so relevante Ereignisse schnell und präzise identifizieren oder „Rolling Window“-Berichte erstellen, indem sie Start- und Endzeiträume für eine Suchanfrage oder einen Bericht festlegen. Zudem ermöglicht die Speicherung des Suchanfrageverlaufs einen einfachen Zugriff auf frühere Anfragen.
Erweiterte Protokollierung
Kaspersky SIEM protokolliert den Verlauf von Ressourcenänderungen in Form von Versionen. Eine neue Ressourcenversion wird automatisch erstellt, wenn ein Experte eine neue Ressource erstellt oder Änderungen an bestehenden Ressourcen speichert. Diese Versionsspeicherung erleichtert die Zusammenarbeit innerhalb von Analystenteams, da Teammitglieder Änderungen an Korrelationsregeln nachverfolgen und bei Bedarf rückgängig machen können.
Eindeutige Feldzuordnung
Mit der aktualisierten Plattform können Sicherheitsexperten nun auch eine Vielzahl von angegebenen Feldwerten aus dem eindeutigen Feldabschnitt der Korrelationsregel zu einem Korrelationsereignis hinzufügen und so Zeit sparen, da sie nicht mehr nach Feldwerten in zugrunde liegenden Ereignissen suchen müssen. Dabei ermöglicht Kaspersky SIEM auch das Hinzufügen bestimmter Feldwerte zu einer Ausnahme, wenn eine Warnung als False-Positive identifiziert wird. Jede Korrelationsregel generiert eine separate Ausnahmeliste, so dass sich das Team auf kritische Warnungen konzentrieren und das „Rauschen“ der Korrelationsregel schnell reduzieren kann.
„SIEM ist eines der wichtigsten Tools für SOC-Teams und IT-Sicherheitsabteilungen; daher tun wir alles, um die Nutzung unserer Plattform zu vereinfachen“, erklärt Ilya Markelov, Head of Unified Platform Product Line bei Kaspersky. „Dank der neuen Funktionen können Unternehmen schneller und mit weniger Aufwand auf Vorfälle reagieren. Wir haben unser Kaspersky SIEM mit Konnektoren zu Ereignisquellen und Korrelationsregeln angereichert und unsere sofort einsatzbereiten Regeln decken über 400 Techniken aus der MITRE ATT&CK-Matrix ab; die Anzahl der unterstützten Quellen hat fast 300 erreicht und nimmt stetig zu.“
Weitere Informationen zu Kaspersky SIEM sind verfügbar unter https://www.kaspersky.de/enterprise-security/unified-monitoring-and-analysis-platform
[1] https://www.kaspersky.de/enterprise-security/unified-monitoring-and-analysis-platform
[3] https://www.kaspersky.de/enterprise-security/threat-intelligence
Nützliche Links:
- Kaspersky SIEM: https://www.kaspersky.de/enterprise-security/unified-monitoring-and-analysis-platform
- Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence