Genişletilmiş yapay zeka özellikleri ve kaynak görselleştirme: Kaspersky SIEM yeni ve harika özelliklerle donatıldı

Kaspersky, siber güvenlik gruplarının üretkenliğini ve aktifliğini artırmak için Güvenlik Bilgileri ve Olay İdaresi (Security Information and Event Management-SIEM) tahlilinde kıymetli bir güncelleme yaptığını duyurdu.

Geliştirilmiş platform, daha süratli ve daha tesirli ihtar önceliklendirmesi için yeni bir yapay zeka modülü sunuyor, kaynak bağımlılıklarını görselleştirmeye yardımcı oluyor ve genişletilmiş arama yetenekleri getiriyor.

Verified Market Research bilgilerine nazaran, SIEM pazarı 2024 yılında 5,21 milyar dolar bedeline ulaştı ve bu sayının 2031 yılına kadar 10,09 milyar dolara ulaşması bekleniyor. Bu büyümeye katkıda bulunan temel faktörler ortasında artan siber tehditler, yasal uyumluluk düzenlemeleri ve süratli tehdit tespiti talebi yer alıyor. İşletmeler, bilgileri gerçek vakitli olarak toplamalarını ve tahlil etmelerini sağlayan ve farkındalıklarını değerli ölçüde artıran tahlillerin arayışına giriyor. Kaspersky, bu talebi karşılamak için SIEM’ine yeni özellikler ekleyerek siber güvenlik uzmanlarının tehditleri daha verimli bir halde tespit etmesini sağlıyor.

Kaspersky SIEM, yapay zeka takviyeli bir teknoloji yığınına dayanan, dünya lideri Tehdit Zekası ile güçlendirilmiş bir güvenlik operasyon merkezi (SOC) platformu olarak öne çıkıyor. Platform günlük datalarını toplayarak ve bunları bağlamsal bilgiler ve harekete geçirilebilir tehdit istihbaratı ile zenginleştirerek olay araştırması ve müdahalesi için gereken tüm bilgileri sağlamanın yanı sıra, ihtarlara otomatik cevaplar verilmesini ve tehdit avcılığı yapılmasını mümkün kılıyor.

Yeni yapay zeka modülü

Kaspersky SIEM, geçmiş dataları tahlil ederek triyaj ikazlarını ve olayları uygunlaştıran yeni yapay zeka modülüyle, varlıkların yapay tabanlı risk puanlamasını yapabiliyor ve proaktif aramalar için pahalı hipotezler sağlıyor.

Bu modül, belli bir aktifliğin karakteristiğinin farklı varlıklarla (iş istasyonları, sanal makineler, cep telefonları vb.) nasıl bir alaka içinde olduğunu tahlil ediyor. Olay korelasyonu sonucunda sistem tarafından tespit edilen bir ikaz, tespit edildiği varlık için tipik değilse, tespit arayüzde ek bir göstergeyle işaretleniyor. Böylelikle analistler acil müdahale gerektiren olayları süratli bir halde görebiliyor.

Kaspersky Endpoint Security casusu tarafından data toplama

Önceden, Windows ve Linux çalıştıran iş istasyonlarından bilgi toplamak için her istasyona bir SIEM casusu yüklemek, yahut bir orta ana bilgisayarda veri iletimini yapılandırmak ve akabinde SIEM ile data alışverişini düzenlemek gerekiyordu. Kaspersky Endpoint Security casusu artık ana bilgisayara kurulduğunda bilgileri direkt SIEM sistemine gönderebiliyor. Bu bilgiler daha fazla olay araması, tahlili ve korelasyonu için kullanılabiliyor. Böylelikle uç nokta güvenliği için Kaspersky eserlerini aslında kullanan müşteriler için başka SIEM aracıları kurma ve izleme için gereken ek adım ortadan kalkıyor.

Kaynak bağımlılıkları grafiği ve genişletilmiş arama özellikleri

Platformun arama yetenekleri de geliştirildi ve artık müşterilerin kaynakların (filtreler, kurallar, listeler) birbirleriyle nasıl kontaklı olduğunu görselleştirmelerine imkan tanıyor. Hiyerarşik bir klasör yapısı içeren kaynak bağımlılıkları grafiği, büyük takımlar yahut birden fazla depolanmış arama için yanlışsız arama sorgusunu bulmayı kolaylaştırıyor. Analistler, bir arama sorgusu yahut rapor için başlangıç ve bitiş vakit dilimlerini tanımlayarak ilgili olayları süratli ve kesin bir halde bulabiliyor yahut “dönen pencere” raporları oluşturabiliyor. Arama sorgusu geçmişinin saklanması, kullanıcının evvelki sorgulara çarçabuk erişmesini sağlıyor.

İçerik versiyonlama

Kaspersky SIEM, kaynak değişikliklerinin geçmişini sürümler biçiminde saklıyor. Bir analist yeni bir kaynak oluşturduğunda yahut mevcut bir kaynaktaki parametrelerdeki değişiklikleri kaydettiğinde otomatik olarak bir kaynak sürümü oluşturuluyor. Sürüm depolama, analist grupları içindeki etkileşimi de kolaylaştırıyor. Örneğin bir takım üyesi, bir meslektaşının bir korelasyon kuralında yaptığı değişiklikleri görebiliyor ve gerekirse bunları geri alabiliyor.

Benzersiz alan eşlemesi

Güncellenen platform sayesinde analistler artık bir korelasyon olayına korelasyon kuralının eşsiz alan kısmından belirtilen alan kıymetlerinden oluşan bir dizi ekleyebiliyor. Böylelikle temel olaylardaki alan bedelleri ortasında arama yapma gereksinimini ortadan kaldırarak vakitten tasarruf sağlıyor.

Kaspersky SIEM, bir ikazın yanlış müspet olarak tanımlanması durumunda makul alan kıymetlerinin bir istisnaya eklenmesini de sağlıyor. Her korelasyon kuralı başka bir istisna listesi oluşturarak analistlerin kritik ihtarlara odaklanmasına ve korelasyon kuralı “gürültüsünü” süratle azaltmasına imkan tanıyor.

Kaspersky Birleşik Platform Eser Kümesi Başkanı Ilya Markelov, şunları söylüyor: “SIEM, SOC takımları ve BT güvenlik departmanları için ana araçlardan biri olduğundan, platformumuzun kullanımını kolaylaştırmak için elimizden gelen her şeyi yapıyoruz. Bu yeni özellikler, işletmelerin olaylara daha süratli ve daha az uğraşla reaksiyon verebileceği manasına geliyor. Ayrıyeten Kaspersky SIEM’imizi olay kaynaklarına ve korelasyon kurallarına bağlayıcılarla zenginleştirerek geliştirdik. Bugün, kullanıma hazır kurallarımız MITRE ATT&CK matrisindeki 400’den fazla tekniği kapsıyor. Desteklenen kaynak sayısı da 300’e yaklaştı ve bu sayı daima artıyor.”

Kaynak: (BYZHA) Beyaz Haber Ajansı