Kaspersky, siber güvenlik ekiplerinin üretkenliğini ve etkinliğini artırmak için Güvenlik Bilgileri ve Olay Yönetimi (Security Information and Event Management-SIEM) çözümünde önemli bir güncelleme yaptığını duyurdu.
Geliştirilmiş platform, daha hızlı ve daha etkili uyarı önceliklendirmesi için yeni bir yapay zeka modülü sunuyor, kaynak bağımlılıklarını görselleştirmeye yardımcı oluyor ve genişletilmiş arama yetenekleri getiriyor.
Verified Market Research verilerine göre, SIEM pazarı 2024 yılında 5,21 milyar dolar değerine ulaştı ve bu rakamın 2031 yılına kadar 10,09 milyar dolara ulaşması bekleniyor. Bu büyümeye katkıda bulunan temel faktörler arasında artan siber tehditler, yasal uyumluluk düzenlemeleri ve hızlı tehdit tespiti talebi yer alıyor. İşletmeler, verileri gerçek zamanlı olarak toplamalarını ve analiz etmelerini sağlayan ve farkındalıklarını önemli ölçüde artıran çözümlerin arayışına giriyor. Kaspersky, bu talebi karşılamak için SIEM’ine yeni özellikler ekleyerek siber güvenlik uzmanlarının tehditleri daha verimli bir şekilde tespit etmesini sağlıyor.
Kaspersky SIEM, yapay zeka destekli bir teknoloji yığınına dayanan, dünya lideri Tehdit Zekası ile güçlendirilmiş bir güvenlik operasyon merkezi (SOC) platformu olarak öne çıkıyor. Platform günlük verilerini toplayarak ve bunları bağlamsal bilgiler ve eyleme geçirilebilir tehdit istihbaratı ile zenginleştirerek olay araştırması ve müdahalesi için gereken tüm verileri sağlamanın yanı sıra, uyarılara otomatik yanıtlar verilmesini ve tehdit avcılığı yapılmasını mümkün kılıyor.
Yeni yapay zeka modülü
Kaspersky SIEM, geçmiş verileri analiz ederek triyaj uyarılarını ve olayları iyileştiren yeni yapay zeka modülüyle, varlıkların yapay tabanlı risk puanlamasını yapabiliyor ve proaktif aramalar için değerli hipotezler sağlıyor.
Bu modül, belirli bir etkinliğin karakteristiğinin farklı varlıklarla (iş istasyonları, sanal makineler, cep telefonları vb.) nasıl bir ilişki içinde olduğunu analiz ediyor. Olay korelasyonu sonucunda sistem tarafından tespit edilen bir uyarı, tespit edildiği varlık için tipik değilse, tespit arayüzde ek bir göstergeyle işaretleniyor. Böylece analistler acil müdahale gerektiren olayları hızlı bir şekilde görebiliyor.
Kaspersky Endpoint Security ajanı tarafından veri toplama
Önceden, Windows ve Linux çalıştıran iş istasyonlarından veri toplamak için her istasyona bir SIEM ajanı yüklemek, veya bir ara ana bilgisayarda veri iletimini yapılandırmak ve ardından SIEM ile veri alışverişini düzenlemek gerekiyordu. Kaspersky Endpoint Security ajanı artık ana bilgisayara kurulduğunda verileri doğrudan SIEM sistemine gönderebiliyor. Bu veriler daha fazla olay araması, analizi ve korelasyonu için kullanılabiliyor. Böylece uç nokta güvenliği için Kaspersky ürünlerini zaten kullanan müşteriler için ayrı SIEM aracıları kurma ve izleme için gereken ek adım ortadan kalkıyor.
Kaynak bağımlılıkları grafiği ve genişletilmiş arama özellikleri
Platformun arama yetenekleri de geliştirildi ve artık müşterilerin kaynakların (filtreler, kurallar, listeler) birbirleriyle nasıl bağlantılı olduğunu görselleştirmelerine olanak tanıyor. Hiyerarşik bir klasör yapısı içeren kaynak bağımlılıkları grafiği, büyük ekipler veya birden fazla depolanmış arama için doğru arama sorgusunu bulmayı kolaylaştırıyor. Analistler, bir arama sorgusu veya rapor için başlangıç ve bitiş zaman dilimlerini tanımlayarak ilgili olayları hızlı ve kesin bir şekilde bulabiliyor veya “dönen pencere” raporları oluşturabiliyor. Arama sorgusu geçmişinin saklanması, kullanıcının önceki sorgulara kolaylıkla erişmesini sağlıyor.
İçerik versiyonlama
Kaspersky SIEM, kaynak değişikliklerinin geçmişini sürümler şeklinde saklıyor. Bir analist yeni bir kaynak oluşturduğunda veya mevcut bir kaynaktaki parametrelerdeki değişiklikleri kaydettiğinde otomatik olarak bir kaynak sürümü oluşturuluyor. Sürüm depolama, analist ekipleri içindeki etkileşimi de kolaylaştırıyor. Örneğin bir ekip üyesi, bir meslektaşının bir korelasyon kuralında yaptığı değişiklikleri görebiliyor ve gerekirse bunları geri alabiliyor.
Benzersiz alan eşlemesi
Güncellenen platform sayesinde analistler artık bir korelasyon olayına korelasyon kuralının benzersiz alan bölümünden belirtilen alan değerlerinden oluşan bir dizi ekleyebiliyor. Böylece temel olaylardaki alan değerleri arasında arama yapma ihtiyacını ortadan kaldırarak zamandan tasarruf sağlıyor.
Kaspersky SIEM, bir uyarının yanlış pozitif olarak tanımlanması durumunda belirli alan değerlerinin bir istisnaya eklenmesini de sağlıyor. Her korelasyon kuralı ayrı bir istisna listesi oluşturarak analistlerin kritik uyarılara odaklanmasına ve korelasyon kuralı “gürültüsünü” hızla azaltmasına olanak tanıyor.
Kaspersky Birleşik Platform Ürün Grubu Başkanı Ilya Markelov, şunları söylüyor: “SIEM, SOC ekipleri ve BT güvenlik departmanları için ana araçlardan biri olduğundan, platformumuzun kullanımını kolaylaştırmak için elimizden gelen her şeyi yapıyoruz. Bu yeni özellikler, işletmelerin olaylara daha hızlı ve daha az çabayla tepki verebileceği anlamına geliyor. Ayrıca Kaspersky SIEM’imizi olay kaynaklarına ve korelasyon kurallarına bağlayıcılarla zenginleştirerek geliştirdik. Bugün, kullanıma hazır kurallarımız MITRE ATT&CK matrisindeki 400’den fazla tekniği kapsıyor. Desteklenen kaynak sayısı da 300’e yaklaştı ve bu sayı sürekli artıyor.”
Kaynak: (BYZHA) Beyaz Haber Ajansı