TECHTARGET

SIEM basati sul cloud: in che modo avvantaggiano i SOC

Gli strumenti di Security Information and Event Management basati sulle nuvole contribuiscono a dare ai team SOC una visione olistica di tutta l’infrastruttura cloud utilizzata dalla loro organizzazione

Pubblicato il 29 Giu 2021

SIEM basati sul cloud

SIEM basati sul cloud versus SIEM locali. L’evolutiva di una delle tecnologie più diffuse utilizzate nei centri operativi di sicurezza è un passaggio naturale per ottenere scalabilità e mantenere la promessa di monitoraggio, rilevamento e risposta delle minacce negli ambienti cloud.

I limiti delle piattaforme SIEM locali

La manutenzione di una distribuzione SIEM locale oggi può essere estremamente costosa, soprattutto per le grandi organizzazioni. In primo luogo, servono requisiti hardware che richiedono investimenti importanti. In secondo luogo, filiali e siti remoti dovranno raccogliere e inviare dati su collegamenti WAN dedicati a una fonte SIEM centrale. Il che può comportare una riduzione della larghezza di banda e potenzialmente portare a eventi persi o flussi di informazioni frammentati.

Le capacità e le funzionalità dei SIEM basati su cloud

Grazie a una piattaforma SIEM nel cloud, le organizzazioni possono unificare meglio i dati degli eventi dall’infrastruttura locale e dalle risorse native del cloud. Soprattutto per le distribuzioni di cloud ibrido, è essenziale una vista combinata di attività ed eventi. Gli strumenti SIEM basati su cloud possono migliorare il monitoraggio del SOC con le seguenti funzionalità:

Avvisi prioritari per l’ambiente cloud

La prioritizzazione automatica degli avvisi garantisce agli analisti di concentrarsi sugli avvisi associati al livello di rischio più elevato all’interno dell’ambiente cloud. Questo richiede una profonda conoscenza dell’infrastruttura e dei servizi cloudificati. Le funzionalità di rilevamento automatizzato dovrebbero utilizzare analisi e apprendimento automatico per aiutare gli analisti a identificare facilmente gli avvisi di interesse e le azioni di follow-up.

Cronologia degli attacchi

Il raggruppamento di eventi in base all’identificazione di modelli di attacco incentrati sul cloud è un’importante distinzione di una piattaforma SIEM basata su cloud. La visualizzazione delle comunicazioni nell’ambiente può anche aiutare a mostrare anche agli analisti junior quali tipi di pattern di attacco vengono osservati.

Integrazione con API cloud per l’automazione

Per migliorare la velocità e l’efficienza dei flussi di lavoro e dell’esecuzione del playbook, tutti gli strumenti SOC primari dovrebbero essere integrati il ​​più possibile con le API del cloud provider. In questo modo è possibile semplificare l’automazione relativa alle azioni di contenimento e risposta come, ad esempio, la codifica automatica di un carico di lavoro sospetto e la modifica dei suoi attributi di rete per l’isolamento durante un’indagine.

What is SIEM? (See Description)

What is SIEM? (See Description)

Guarda questo video su YouTube

SIEM basati su cloud: quali sono i vantaggi

Oltre ai vantaggi tattici del SIEM per il team SOC, i fornitori di SIEM basati sul cloud raccontano più nel dettaglio quali sono i vantaggi per la sicurezza e i diversi casi d’uso.

Profonda esperienza sugli attacchi specifici per il cloud

Parlando delle tattiche utilizzate dagli hacker, le tecnologie e gli ambienti cloud presentano nuove varianti degli attacchi ben noti che gli analisti della sicurezza devono comprendere bene. Anche le metodologie di attacco al cloud uniche devono essere capite dai fornitori di servizi SIEM. È necessario consolidare l’esperienza su tutti i flussi di lavoro incentrati sul cloud che potrebbero subire un attacco per garantire in modo nativo ai team SecOps un solido set di playbook che li aiuti a monitorare e rilevare comportamenti cloud dannosi o sospetti.

Siem basati sul cloud

Intelligence sulle minacce nel cloud

Molti team di sicurezza interni hanno difficoltà con la raccolta e l’analisi dei dati dagli ambienti cloud che possono rivelarsi utili per perfezionare le funzioni più operative. Molti team SOC per farsi aiutare a gestire il ginepraio della sicurezza in cloud si rivolgono a fornitori esterni. I servizi SIEM basati sul cloud aiutano i team SOC a cercare in modo rapido ed efficace le risorse compromesse in base a:

  • gli indicatori forniti
  • gli eventi generati sui carichi di lavoro
  • gli eventi all’interno dell’infrastruttura cloud, alle comunicazioni con indirizzi IP e ai domini dannosi noti

Gli obiettivi dell’intelligence sulle minacce incentrata sul cloud dovrebbero essere l’identificazione e la riparazione degli incidenti, sulla base delle informazioni raccolte.

Profonda integrazione dell’API del provider

Un altro vantaggio chiave di una piattaforma SIEM basata su cloud è la profonda integrazione con le API e i servizi del provider di servizi cloud. Questa funzione può migliorare lo streaming degli eventi in un ambiente di analisi centrale e consentire un rilevamento degli eventi più efficiente. Per ottenere il massimo dai loro strumenti SIEM basati sul cloud, i clienti dovrebbero cercare anche l’importazione delle funzionalità dei dati degli eventi puntando a una scalabilità automatica. Tipicamente costruite su un’architettura di microservizi , le piattaforme cloud SIEM forniscono alle organizzazioni l’elasticità delle risorse per scalare automaticamente verso l’alto o verso il basso rapidamente al variare della domanda.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 2