Kaspersky’den Önemli SIEM Güncellemesi
Kaspersky, siber güvenlik ekiplerinin verimliliğini ve etkinliğini artırmak amacıyla Güvenlik Bilgileri ve Olay Yönetimi (SIEM) çözümünde önemli bir güncelleme gerçekleştirdi. Bu geliştirilmiş platform, daha hızlı ve etkili uyarı önceliklendirmesi için yeni bir yapay zeka modülü sunmakta, kaynak bağımlılıklarını görselleştirmeye yardımcı olmakta ve genişletilmiş arama yetenekleri ile donatılmıştır.
Verified Market Research verilerine göre, SIEM pazarı 2024 yılında 5,21 milyar dolara ulaşacak ve bu rakamın 2031 yılına kadar 10,09 milyar dolara yükselebileceği öngörülmektedir. Bu büyümenin arkasında yatan temel faktörler arasında artan siber tehditlerin varlığı, yasal uyumluluk düzenlemeleri ve hızlı tehdit tespiti talebinin yükselmesi yer almaktadır. İşletmeler, verileri gerçek zamanlı olarak toplayıp analiz edebilen ve farkındalıklarını önemli ölçüde artıran çözümlere yönelmekte. Kaspersky, bu talebi karşılamak adına SIEM’ine yeni özellikler ekleyerek siber güvenlik uzmanlarının tehditleri daha etkin bir şekilde tespit etmelerine olanak tanıyor.
Kaspersky SIEM’in Yenilikçi Yapısı
Kaspersky SIEM, yapay zeka destekli bir teknoloji yığınına dayanan ve dünya çapında lider Tehdit Zekası ile güçlendirilmiş bir güvenlik operasyon merkezi (SOC) platformu olarak dikkat çekiyor. Bu platform, günlük verilerini toplayarak bunları bağlamsal bilgiler ve eyleme geçirilebilir tehdit istihbaratı ile zenginleştiriyor. Böylece olay araştırması ve müdahalesi için gereken tüm verileri sağlarken, uyarılara otomatik yanıtlar verilmesine ve tehdit avcılığı faaliyetlerinin gerçekleştirilmesine olanak tanıyor.
Yeni Yapay Zeka Modülü
Kaspersky SIEM, geçmiş verileri analiz ederek uyarıların ve olayların triyajını iyileştiren yeni yapay zeka modülü ile donatılmış. Bu modül, varlıkların yapay zeka tabanlı risk puanlamasını yaparak proaktif aramalar için değerli hipotezler sunuyor. Belirli bir etkinliğin karakteristik özelliklerini, farklı varlıklarla (iş istasyonları, sanal makineler, cep telefonları vb.) nasıl ilişkilendirdiğini analiz eden bu modül, olay korelasyonu sonucunda sistem tarafından tespit edilen bir uyarının, tespit edildiği varlık için olağan dışı olup olmadığını belirlemek için ek göstergeler sunuyor. Bu sayede analistler, acil müdahale gerektiren olayları hızlıca tanımlayabiliyor.
Kaspersky Endpoint Security ile Veri Toplama
Önceden, Windows ve Linux işletim sistemini kullanan iş istasyonlarından veri toplamak için her istasyona ayrı bir SIEM ajanı yüklemek ya da bir ara ana bilgisayarda veri iletimini yapılandırmak gerekiyordu. Ancak, Kaspersky Endpoint Security ajanı artık ana bilgisayara kurulduğunda verileri doğrudan SIEM sistemine gönderebiliyor. Bu veriler, daha kapsamlı olay aramaları, analizler ve korelasyonlar için kullanılabiliyor. Böylece, Kaspersky’nin uç nokta güvenliği çözümlerini kullanan müşteriler için ayrı SIEM aracını kurma ve izleme süreci ortadan kalkmış oluyor.
Kaynak Bağımlılıkları ve Gelişmiş Arama Özellikleri
Platformun arama yetenekleri de önemli ölçüde geliştirildi ve bu sayede müşteriler, kaynakların (filtreler, kurallar, listeler) birbirleriyle nasıl bağlantılı olduğunu görselleştirebiliyor. Hiyerarşik bir klasör yapısına sahip kaynak bağımlılıkları grafiği, büyük ekiplerin veya birden fazla depolanmış arama için doğru arama sorgusunu bulmalarını kolaylaştırıyor. Analistler, bir arama sorgusu ya da rapor için başlangıç ve bitiş zaman dilimlerini belirleyerek ilgili olayları hızlı ve kesin bir şekilde bulabiliyor veya “dönen pencere” raporları oluşturabiliyor. Ayrıca, arama sorgusu geçmişinin saklanması, kullanıcıların önceki sorgularına kolayca erişmesini sağlıyor.
İçerik Versiyonlama Özelliği
Kaspersky SIEM, kaynak değişikliklerinin geçmişini sürümler halinde saklamakta. Bir analist yeni bir kaynak oluşturduğunda veya mevcut bir kaynaktaki parametrelerde değişiklik yaptığında otomatik olarak bir kaynak sürümü oluşturuluyor. Sürüm depolama, analist ekipleri içindeki etkileşimi kolaylaştırıyor. Örneğin, bir ekip üyesi, bir meslektaşının bir korelasyon kuralında yaptığı değişiklikleri görebiliyor ve gerektiğinde bu değişiklikleri geri alabiliyor.
Benzersiz Alan Eşlemesi
Güncellenen platform sayesinde analistler, bir korelasyon olayına, korelasyon kuralının benzersiz alan bölümünden belirtilen alan değerlerinden oluşan bir dizi ekleyebiliyor. Böylece temel olaylardaki alan değerleri arasında arama yapma ihtiyacını ortadan kaldırarak zamandan tasarruf sağlıyor. Kaspersky SIEM, bir uyarının yanlış pozitif olarak tanımlanması durumunda belirli alan değerlerini bir istisnaya eklemeye de olanak tanıyor. Her korelasyon kuralı için ayrı bir istisna listesi oluşturarak analistlerin kritik uyarılara odaklanmasını sağlıyor ve korelasyon kuralı “gürültüsünü” hızlı bir şekilde azaltıyor.
Kaspersky Yetkilisinin Açıklamaları
Kaspersky Birleşik Platform Ürün Grubu Başkanı Ilya Markelov, “SIEM, SOC ekipleri ve BT güvenlik departmanları için temel araçlardan biri olduğundan, platformumuzu daha kullanıcı dostu hale getirmek için elimizden geleni yapıyoruz. Bu yeni özellikler, işletmelerin olaylara daha hızlı ve daha az çabayla tepki verebileceği anlamına geliyor. Ayrıca Kaspersky SIEM’imizi olay kaynaklarına ve korelasyon kurallarına bağlayıcılarla zenginleştirerek geliştirdik. Günümüzde, kullanıma hazır kurallarımız MITRE ATT&CK matrisindeki 400’den fazla tekniği kapsıyor. Desteklenen kaynak sayısı da 300’e yaklaşıyor ve bu sayı sürekli artmakta.” şeklinde konuştu.
Kaynak: (BYZHA) Beyaz Haber Ajansı
