مع تواصل نمو التحديات التي تواجه فرق الأمن السيبراني، كشفت كاسبرسكي النقاب عن تحديث مهم لمنصة المراقبة والتحليل الموحدة خاصتها، وهذا التحديث هو نظام معلومات الأمان وإدارة الأحداث (SIEM). وقد تم تصميم القدرة الوظيفية المحسّنة لتعزيز إنتاجية فرق الأمن السيبراني من خلال توسيع قدرات اكتشاف التهديدات والاستجابة لها.
تواجه فرق الأمن السيبراني تحديات شتى، تتجلى في محاولات متكررة لاختراق البنى التحتية للشركات، وتزايد في عدد الهجمات المعقدة. ووفقاً لتقرير Kaspersky Human Factor 360، فقد تعرضت 78% من الشركات في منطقة الشرق الأوسط و تركيا و أفريقيا لخرق واحد على الأقل في الأمن الرقمي في العام 2023 والعام الذي سبقه. وللارتقاء بمواردها وتحسين كفاءة الأمن السيبراني، تبحث الشركات عن حلول تساعدها على جمع وتحليل بيانات القياس عن بعد لأمن المعلومات في الوقت الفعلي، مما يزيد بشكل كبير من إدراكها للظروف المحيطة.
إن منصة Kaspersky Unified Monitoring and Analysis هي حل الجيل التالي لمعلومات الأمان وإدارة الأحداث الأمنية. ولا تقتصر وظيفة المنصة على جمع، ومراكمة، وتحليل، وتخزين بيانات سجلات الأحداث من كامل البنية التحتية لتكنولوجيا المعلومات فحسب، بل إنها توفر أيضاً إثراءً سياقياً ورؤى لمعلومات التهديدات يمكن اتخاذ إجراءات بناء عليها. وهذه الوظائف مفيدة جداً لخبراء أمن تكنولوجيا المعلومات في كثير من الحالات. كما وأضافت كاسبرسكي ميزات جديدة تسمح لمحترفي الأمن السيبراني بالتنقل بشكل أفضل على المنصة واكتشاف التهديدات بفاعلية في الوقت المحدد.
توجيه الأحداث من المكاتب البعيدة إلى تدفق بيانات واحد. تمت إضافة جهاز توجيه أحداث لتقليل الحمل على قنوات الاتصال، وتقليص عدد المنافذ التي تنفتح على جدران حماية الشبكة. إذ يعمل هذا على استقبال الأحداث من نقاط الجمع، ويرسلها إلى وجهات محددة بناءً على عوامل تصفية التي جرى إعدادها للخدمة. ويتيح توظيف خدمة وسيطة كهذه موازنة فعالة للحمل بين الروابط، ويسمح باستخدام روابط ذات عرض نطاق ترددي منخفض.
التجميع حسب الحقول العشوائية، باستخدام وظائف تقريب الوقت من واجهة الحدث. أثناء التحقيقات، يحتاج المحللون إلى انتقاء الأحداث وإنشاء استعلامات مع التشكيلات والوظائف المجمعة. والآن، يمكن للعملاء إجراء استعلامات التجميع ببساطة عن طريق تحديد واحد أو أكثر من الحقول، بحيث يمكنهم استخدامها كمعاملات تجميع، والنقر فوق «تشغيل الاستعلام».
تقصي الأحداث في عدة وحدات تخزين مختارة. بات من الممكن الآن تشغيل استعلام بحث ضمن عناقيد تخزين متعددة في آن واحد، والحصول على نتائج في جدول متكامل واحد. حيث تتيح هذه الإمكانية استرجاع الأحداث الضرورية في عناقيد التخزين الموزعة على نحو أكثر كفاءة ومباشرة. ويشير الجدول المدمج إلى موقع تخزين كل سجل.
تخصيص القواعد وفق ®MITRE ATT&CK. تم إنشاء آلية بغرض مساعدة المحللين في وضع تصور لتغطية مصفوفة ®MITRE ATT&CK من خلال قواعد مطورة، وبالتالي تقييم مستوى الأمان. وتسمح تلك القدرة الوظيفية للمحللين أيضاً باستيراد ملف محدث بقائمة الأساليب والتدابير إلى نظام معلومات الأمان وإدارة الأحداث، وتحديد الأساليب والتدابير المكتشفة من خلال قاعدة في خصائصها، وتصدير قائمة قواعد من نظام معلومات الأمان وإدارة الأحداث، مشار إليها وفقاً لمصفوفة إلى MITRE ATT&CK Navigator.
جمع سجلات تحليلات DNS. يوفر ناقل ETW (تتبع الأحداث لنظام Windows) الجديد، المستخدم لقراءة اشتراكات DNS Analytics، سجل DNS موسعاً، بالإضافة إلى أحداث تشخيصية، وبيانات تحليلية حول عمليات خادم DNS. ويوفر هذا مقداراً أكبر من المعلومات بالمقارنة مع سجل تصحيح أخطاء DNS، ويؤثر بشكل أقل على أداء خادم DNS.
حول ذلك، علّق رئيس خط منتجات المنصة الموحدة في كاسبرسكي، إيليا ماركيلوف، قائلاً: «يعد نظام معلومات الأمان وإدارة الأحداث أحد أدوات العمل الأساسية المصممة لمحترفي الأمن السيبراني. إذ يعتمد أمن الشركة إلى حد كبير على مدى أريحية تفاعل الخبراء مع نظام معلومات الأمان وإدارة الأحداث، ما يعطيهم فرصة للتركيز مباشرة على مكافحة التهديدات بدلاً من أداء مهام روتينية. ونحن نواصل تحسين الحل بنشاط استناداً إلى احتياجات السوق وملاحظات العملاء، ونقدم باستمرار ميزات جديدة لجعل عمل المحللين أكثر بساطة.»
لمعرفة المزيد حول حل Kaspersky SIEM، يرجى زيارة الموقع الإلكتروني.