Olika övervaknings- och detektionsmodeller
Olika övervaknings- och detektionsmodeller
Olika övervaknings- och detektionsmodeller
Tyvärr finns det ingen “silver-bullet”, eller magisk helhetslösning, när det kommer till att ha övervakning och detektionsförmåga på alla delar i miljön.
SIEM är ett fantastiskt verktyg, och när det kommer till att uppfylla compliance-krav så kanske det är det enda riktiga verktyget. Är det däremot detekteringsförmåga på olika sätt som är det viktigaste, så kanske det inte kan lösa alla utmaningar på bästa sätt utan andra metoder är bättre.
Vi guidar i olika metoder
I matrisen nedan visar vi verktygens olika förmåga att uppfylla de olika detektionsmöjligheterna:
| SIEM* | Network | |
|---|---|---|
| Command and Control | XX | XXX |
| Lateral Movement | X | XXX |
| Data exfilitration | X | XXX |
| Privilege Escalation | XX | — |
| Internal recon | XX | XXX |
| Security Policy breaches | XXX | — |
| Compliance Reporting | XXXX | — |
Olika övervaknings- och detektionsmodeller
Ett annat sätt att jämföra olika metoder är följande:
| Detektionsmodell | Ger snabbast värde (onboarding) | Värdera och sortera | Detektering | Respons |
|---|---|---|---|---|
| Nätverksbaserad | 2 | Utmärkt för händelser på nätverket. Begränsat på händelser som sker på klienterna. | Detektering görs baserat på indikatorer av malicious beteenden. | Ingen. Är en passiv lösning. |
| Loggbaserad | 3 | Bra men helt beroende på vilket loggdata som samlas in. | Detektering är bra men beroende på vilket loggdata som samlats in. Blind för det som inte samlats in. | Ingen. Är en passiv lösning. |
| Klientbaserad | 1 | Utmärkt. Detektering görs baserat på alla aktiviteter över alla klienter. | Detektering kan göras baserat på alla aktiviteter över alla klienter. | Infekterade klienter isoleras och forensiska undersökningar kan göras. |