למערכת ה-SIEM שלכם לא חסר מידע.
היא רואה הכול, אבל לא תמיד מבינה מה באמת חשוב.
בלי ההקשר הארגוני, גם מערכת עשירה בלוגים ובהתראות לא תדע להגיב נכון ובזמן.
⚙️ מאמר שלישי בסדרה על אינטגרציות בין רכיבי אבטחת מידע בארגון
מערכת SIEM מרכזת כמויות עצומות של התראות מכל רחבי הארגון.
גם כשהיא מועשרת במידע בסיסי מ־Active Directory (כמו שם משתמש או קבוצת שייכות), עדיין חסר לה המרכיב שמאפשר להבין מי באמת עומד מאחורי האירוע.
בארגונים שבהם פועלת מערכת ניהול זהויות, כדאי לחבר ביניהן.
המידע שמגיע ממערכת ניהול הזהויות מספק הקשר מסוג אחר לגמרי, כזה שלא קיים במערכות אחרות.
דוגמאות לערך שנוצר מהחיבור:
- תיעדוף חכם של אירועים
התראות שקשורות למשתמשים בעלי הרשאות ניהול, תפקידים רגישים או גישה למידע עסקי קריטי יקבלו תיעדוף גבוה יותר. - סגירת מעגלי בקרה
מידע על אירועים חוזרים שנצפים ב־SIEM יכול לתרום לשיפור תהליכי ביקורת, אישורים וניהול הרשאות.
כאשר נתוני זהויות, תפקידים ורמות סיכון מונגשים למערכת ה־SIEM (באמצעות API או Feed ייעודי), כל התראה "טכנית" הופכת לתובנה שניתן לפעול על פיה בזמן אמת.
לדוגמה:
במקום הודעה כמו: " משתמש dlevi ניגש לשרת הכספים "
תקבלו: " דבורית לוי, סמנכ"לית כספים, משתמשת פריבילגית, ניגשה לשרת מחוץ לשעות העבודה "
לחיבור כזה, לרוב לא נדרש שינוי ארכיטקטוני משמעותי.
מערכות SIEM ממילא מאפשרות שימוש במידע העשרה למטרת קבלת החלטות. תנו להם אותו
לסיכום:
- מערכות SIEM יודעות לזהות אירועים
- מערכות ניהול זהויות עוזרות להבנת גודל הסיכון
- החיבור ביניהן מאפשר תגובה אסטרטגית ויעילה יותר
קישור למאמרים בסדרה:
