SIEM-Lösung mit mehr Automatisierung

SIEM-Lösung mit mehr Automatisierung - Bild von Gerd Altmann auf Pixabay

Beitrag teilen

Mit dem Motto weniger Routine, dafür mehr Automatisierung hat Kaspersky seine SIEM-Lösung um neue Funktionen erweitert. Schnellere Bedrohungserkennung, mehr Automatisierung und flexiblere Datenverwaltung dank Update von Kaspersky Unified Monitoring and Analysis Platform.

Die aktualisierte Version von Unified Monitoring and Analysis Platform in Kasperskys SIEM soll eine optimierte Bedrohungserkennung und -reaktion bieten, sodass SOC-Teams in Unternehmen routinierter, automatisierter und damit letztlich produktiver agieren können.

Anzeige

Zwei Drittel der Unternehmen mit Cybersicherheitsvorfall

Im vergangenen Jahr waren 77 Prozent der Unternehmen mindestens von einem Cybersicherheitsvorfall betroffen – bei 75 Prozent handelte es sich sogar um schwerwiegende Vorfälle. Unternehmen benötigen deshalb Lösungen zur Echtzeit-Erfassung und -Analyse von Telemetriedaten, um ihr aktuelles Situationsbewusstsein und Schutzlevel zu verbessern.

Die Kaspersky Unified Monitoring and Analysis Plattform ist eine Next-Generation SIEM-Lösung zur Verwaltung von Sicherheitsdaten und -ereignissen. Sie sammelt, aggregiert, analysiert und speichert nicht nur Protokolldaten aus der gesamten IT-Infrastruktur, sondern bietet IT-Sicherheitsexperten auch kontextbezogene Anreicherung und umsetzbare Threat-Intelligence-Insights. Das Update ermöglicht SOC-Experten, besser auf der Plattform zu navigieren und Bedrohungen frühzeitig und effizient zu erkennen.

Neue SIEM-Funktionen

  • Weiterleitung von Ereignissen von Remote-Standorten in einen einzigen Stream: Ein neuer Event-Router entlastet die Kommunikationskanäle und reduziert die Anzahl offener Ports an den Netzwerk-Firewalls. Er empfängt Ereignisse aus unterschiedlichen Standorten und leitet sie, basierend auf den für den Dienst konfigurierten Filtern, an vorab bestimmte Ziele weiter. Ein solcher Zwischendienst ermöglicht ein effektives Load-Balancing zwischen den Verbindungen und den Einsatz von Verbindungen mit geringer Bandbreite.
  • Gruppierung nach beliebigen Feldern unter Verwendung von Zeitrundungsfunktionen des Event-Interface: Bei Untersuchungen müssen Analysten Ereignisse auswählen und Abfragen mit Gruppierungen und Aggregationsfunktionen erstellen. Kunden können nun Aggregationsabfragen ausführen, indem sie ein oder mehrere Felder auswählen, die sie als Gruppierungsparameter verwenden können, und auf „Abfrage ausführen“ klicken.
  • Suche nach Ereignissen in mehreren ausgewählten Speichern: Nutzer können eine Suchabfrage nun gleichzeitig in mehreren Speicherclustern starten und die Ergebnisse in einer einzigen konsolidierten Tabelle erhalten. Dies ermöglicht ein effizienteres und einfacheres Abrufen der benötigten Ereignisse in verteilten Speicherclustern. Die kombinierte Tabelle enthält den Speicherort jedes Datensatzes.
  • Zuordnung von Regeln zu MITRE ATT&CK®: Ein neuer Mechanismus unterstützt Analysten dabei, die Abdeckung der MITRE ATT&CK®-Matrix durch erstellte Regeln zu visualisieren und so das Sicherheitsniveau zu bewerten. Dadurch können sie eine aktuelle Datei mit der Liste der Techniken und Taktiken in das SIEM-System importieren, deren Eigenschaften, die von einer Regel erkannt werden, spezifizieren und eine Liste der Regeln aus dem SIEM-System, die entsprechend der Matrix markiert sind, in den MITRE ATT&CK Navigator exportieren.
  • Sammlung von DNS-Analytics-Protokollen: Der neue ETW-Transport (Event Tracing for Windows), der zum Lesen von DNS-Analytics-Abonnements verwendet wird, liefert ein erweitertes DNS-Protokoll, diagnostische Ereignisse und analytische Daten zu DNS-Server-Operationen. Dies liefert mehr Informationen als das DNS-Debug-Protokoll und wirkt sich weniger auf die DNS-Serverleistung aus.

„Das SIEM-System ist eines der wichtigsten Tools für Cybersicherheitsexperten. Die Sicherheit eines Unternehmens hängt weitgehend davon ab, wie einfach die Experten mit SIEM interagieren und sich auf die Bedrohungsbekämpfung konzentrieren können, anstatt Routineaufgaben erledigen zu müssen. Basierend auf den Stimmen aus dem Markt und dem Feedback unserer eigenen Kunden optimieren wir stets aktiv unsere Lösung und führen laufend neue Funktionen ein, um die Arbeit der Analysten zu vereinfachen“, kommentiert Ilya Markelov, Head of Unified Platform Product Line bei Kaspersky.

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen

Gemeinsamkeiten und Unterschiede von PIM und PAM

Nicht selten werden die Aufgaben und Ziele der beiden Prinzipien PIM und PAM für die sichere Identifikationen und deren Verwaltung ➡ Weiterlesen