Kaspersky, SIEM sistemine yeni özellikler ekliyor

Handan Aybars Tarafından 3 Eylül 2024

1.1K Görüntülemeler

Siber güvenlik ekiplerinin karşılaştığı zorluklar artmaya devam ederken, Kaspersky güvenlik bilgi ve olay yönetim sistemi (SIEM) Birleşik İzleme ve Analiz Platformu için önemli bir güncelleme sundu. Bu güncelleme, geliştirilmiş işlevsellik, tehdit algılama ve müdahale yeteneklerini genişleterek siber güvenlik ekiplerinin verimliliğini artırmak üzere tasarlandı.
Siber güvenlik ekipleri, sık sık şirketlerin altyapılarına sızma girişimleri ve karmaşık saldırıların sayısındaki artış gibi çok sayıda zorlukla karşı karşıya kalıyor. Kaspersky Human Factor 360 Raporu’na göre, Türkiye’deki işletmelerin %73’ü 2023’te ve bir önceki yıl en az bir siber güvenlik ihlali yaşadı. Şirketler, kaynaklarını optimize etmek ve siber güvenlikte verimliliği artırmak için bilgi güvenliği telemetrisini gerçek zamanlı olarak toplamalarına ve analiz etmelerine yardımcı olan ve durumsal farkındalıklarını önemli ölçüde artıran çözümler arıyor.
Kaspersky Unified Monitoring and Analysis platformu, güvenlik verilerini ve olaylarını yönetmek için şirketin yeni nesil SIEM çözümü olarak öne çıkıyor. Platform yalnızca tüm BT altyapısından günlük verilerini toplamakla, bir araya getirmekle, analiz etmekle ve depolamakla kalmıyor, aynı zamanda bağlamsal zenginleştirme ve eyleme geçirilebilir tehdit istihbaratı içgörüleri de sağlıyor. Bu işlevler birçok durumda BT güvenlik uzmanları için son derece yararlı. Kaspersky, şimdi siber güvenlik uzmanlarının bu platformda daha iyi gezinmesine ve tehditleri zamanında verimli bir şekilde tespit etmesine olanak tanıyan yeni özellikler ekledi.

İletişim kanalları üzerindeki yükü ve ağ güvenlik duvarlarında açılan bağlantı noktası sayısını azaltmak için platforma bir olay yönlendiricisi eklendi. Bu, toplayıcılardan olayları alıyor ve hizmet için yapılandırılan filtrelere göre bunları belirtilen hedeflere gönderiyor. Bunun gibi bir ara hizmetin kullanılması, bağlantılar arasında etkili yük dengeleme sağlıyor ve düşük bant genişliğine sahip bağlantıların kullanılmasına olanak tanıyor.
Araştırmalar sırasında analistlerin olayları seçmesi ve gruplama ve toplama işlevleriyle sorgular oluşturması gerekiyor. Artık kullanıcılar, gruplama parametreleri olarak kullanabilecekleri bir veya daha fazla alan seçip “Sorguyu çalıştır” düğmesine tıklayarak gruplanmış sorguları çalıştırabilecekler.
Artık birden fazla depolama kümesinde aynı anda bir arama sorgusu başlatmak ve sonuçları tek bir konsolide tabloda elde etmek mümkün hale geldi. Bu özellik, dağıtılmış depolama kümelerinde gerekli olayların daha verimli ve kolay bir şekilde alınmasını sağlıyor. Birleştirilmiş tablo, her bir kaydın depolama konumunu gösteriyor.
Analistlerin MITRE ATT&CK® matrisinin kapsamını geliştirilen kurallarla görselleştirmelerine yardımcı olmak ve böylece güvenlik düzeyini değerlendirmek için bir mekanizma oluşturularak platforma eklendi. Bu işlevsellik ayrıca analistlerin SIEM sistemine teknik ve taktiklerin listesini içeren güncel bir dosyayı aktarmalarına, kural tarafından tespit edilen teknik ve taktikleri özelliklerinde belirtmelerine, SIEM sisteminde matrise uygun olarak işaretlenmiş kuralların listesini MITRE ATT&CK Navigator’a aktarmalarına olanak tanıyor.
DNS Analytics aboneliklerini okumak için kullanılan yeni ETW (Event Tracing for Windows – Windows için Olay İzleme) aktarımı, genişletilmiş bir DNS günlüğü, tanılama olayları ve DNS sunucusu işlemleri hakkında analitik veriler sağlıyor. Bu, DNS hata ayıklama günlüğünden daha fazla bilgi edinilmesine yardımcı oluyor ve DNS sunucusu performansını daha az etkiliyor.