Olet tässä:
Tapahtumien hallinta
Keskuskonsoli, joka aktivoi reaaliaikaisen tallennustilan ja suoratoiston yli 50 tapahtumatyypille, mikä mahdollistaa historian analyysin Big-objektien kautta sekä välittömän ulkoisen kulutuksen Pub/Sub API:n kautta SIEM/suojausalustoille.
Ohjaimen nimi
Tapahtumien hallinta (valitse 'Ota tallennus käyttöön' ja/tai 'Ota striimaus käyttöön' sieppaamaan tapahtumadataa reaaliaikaisessa Event Monitoring -ominaisuudessa).
Ohjauksen yleiskatsaus
Keskuskonsoli, joka aktivoi reaaliaikaisen tallennustilan ja suoratoiston yli 50 tapahtumatyypille, mikä mahdollistaa historian analyysin Big-objektien kautta sekä välittömän ulkoisen kulutuksen Pub/Sub API:n kautta SIEM/suojausalustoille.
Kuvaus
Määritykset-valikon Tapahtumakohtainen vaihtokytkin > Tapahtumien hallinta -välilehti määrittää, täyttävätkö LoginEvent, ReportEvent, URIEvent jne. Tapahtumalokitiedostot (tallennus) vai julkaistaanko ne streaming-kanaviin. Tukee kaksinkertaista tilaa kattavan kattavuuden takaamiseksi.
Suositeltu kokoonpano
Valitse 'Event Manager' -> Valitse 'Enable Storing' ja/tai 'Enable Streaming' kerätäksesi tapahtumadataa reaaliaikaisessa Event Monitoring -ominaisuudessa. Ota molemmat käyttöön kriittisille tapahtumille (sisäänkirjautuminen, raportti, API) ja suoratoisto vain raskaan ja vähäisen säilytyksen tarpeisiin.
Tietoturvan vaikutus
Tarjoaa täydellisen käyttäjien toimintojen telemetrian tietoturvatarvikkeisiin reaaliajassa säilyttämällä 1–24 kuukauden historiatiedot oikeuslääketieteelle, mikä on perusta UEBA:lle, uhkien etsinnälle ja vaatimustenmukaisuudelle.
Liiketoiminnan vaikutus
Estää ulkoisten järjestelmien kyselyiden/synkronointiviiveet, ottaa käyttöön live-mittaristot ja tukee kustannusten optimoitua säilyttämistä (suuren määrän viestiketju, valinnainen säilytys).
Tietoturvariski, jos ei määritetty
Reaaliaikaisten tapahtumatietojen suoratoisto käytöstä valvonnan vuoksi luo havaintojen aukkoja ajasta riippuvaisille uhille, kuten tilien kompromisseille tai käynnissä oleville datan suodattamisille.
Uhkien skenaariot
Käytöstä poistettu reaaliaikainen valvonta estää tietoturvahyökkäysten ajoitetun havaitsemisen ja viivästyttää vahinkotapahtumien vastausta. Hyökkääjät suorittavat joukkosiirtoja tai oikeuksien eskaloinnin ennen havaitsemista.
Arvioitu CVSS-pistealue
Korkea (7.0–8,9).
Riskien vaikutuksissa huomioitavia asioita
Streaming lisää vähäisiä kustannuksia, mutta korkeaa arvoa; tallennustila skaalataan toimintojen määrällä; priorisoi korkean riskin tapahtumat ensin uhkakuvien mallin perusteella.
Korkeampi riski, kun
Ulkoinen/kumppanin käyttöoikeus käytössä, raskaat API-integraatiot, säännelty data (PHI/PII) tai olemassa oleva SIEM, joka odottaa Salesforcen RTEM-syötteitä.
Matalan riskin milloin
Vain sisäiset käyttäjät, yksinkertaiset työnkulut, riittävä sisäänkirjautumishistoria, ei reaaliaikaista ulkoista valvontaa.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
Testaa streaming-päätepisteitä ennen tuotantoympäristön käyttöönottoa. Suunnittele Big-objektien tallennusbudjetit tallennusvaihtoehtoa varten.
Tietoturvan terveystarkastuksen ohjeet
Vahvasti suositeltu.
Kuka vaikuttaa
Suojausteknikot, jotka määrittävät SIEM-viestiketjuja, analyytikot, jotka rakentavat mittaristoja, vaatimustenmukaisuustiimit, jotka vaativat kattavia kirjausketjuja, ja integraatioarkkitehtuurit.
