SureLog SIEM — это платформа безопасности, которая отличается от многих продуктов SIEM. Основное отличие; механизм корреляции, в котором вы можете разработать свою собственную логику с помощью языка высокого уровня для предметной области. В логике нет ограничений, потому что вы можете разрабатывать свою логику в JAVA, включая машинное обучение, статистические методы и искусственный интеллект. SureLog также готов для следующих библиотек машинного обучения.
· http://spark.apache.org/docs/latest/mllib-guide.html
· https://github.com/padreati/rapaio
SureLog имеет механизм корреляции и имеет функцию под названием «Правило как код», которая представляет собой «Правило + код».
SIEM — это сложно, и все это знают. Требуется персонал и требуется настройка.
Вот почему текущие тенденции SIEM — это проекты Co-Managed или Managed SIEM. Очевидно, что конечные пользователи не хотят тратить время на разработку правил SIEM. Они хотят, чтобы правила разрабатывались опытными консультантами или компаниями. Таким образом, вместо того, чтобы полностью работать на стороне мастера корреляции (GUI), которая используется конечными пользователями, мы обнаружили, что устранение барьеров на возможностях обнаружения (механизм корреляции + структура кодирования) SIEM является более ценным, и мы разработали структуру кодирования, чтобы открытые границы корреляционных ограничений SIEM.
Чем SureLog отличается от инструмента SIEM?
Прежде всего, речь идет о дополнительных услугах, знаниях и опыте, которые предоставляет наша человеческая команда.
Корреляция SureLog основана на правилах и структуре кодирования:
Правила предопределены для обнаружения закономерностей. Они постоянно совершенствуются и настраиваются.
Структура кодирования включает в себя возможности механизма корреляции для разработки любой логики в виде правила SIEM.
SureLog использует JAVA в качестве предметно-ориентированного языка высокого уровня, который устраняет барьеры для создания правил для системы SIEM. Например:
· Следите за тем, чтобы один из ваших ИТ-специалистов покинет компанию (журналы HR), и он достигает компьютеров, которые не доступны до или после работы, и отправляет некоторые документы в общедоступные хранилища.
· У вас есть алгоритм выброса в Python, и вы хотите применить его к прошлому месяцу.
· У вас есть код Scala для обнаружения аномалий и вы хотите его применить
· Привязки Java для Yara (https://github.com/Yara-Rules/rules)
· Вы хотите отправить эхо-запрос на важный сервер, а время эхо-запроса составляет › 0,3 мс.
дамп новых вошедших в систему пользователей и после каких процессов эти пользователи запустились
· Если значение ячейки превышает 50% стандартного отклонения столбца A в таблице B, уведомить
С помощью корреляционной структуры (механизм правил плюс интерпретатор правил Java в режиме реального времени) легко разработать правила обнаружения статистических аномалий, а также многие другие алгоритмы машинного обучения и искусственного интеллекта.
Любой Java-код может быть введен в систему без необходимости перезагрузки.
Некоторые решения SIEM могут не обнаруживать некоторые атаки, но пользовательский код и расширенные аналитики это делают.
Команде необходимо создать ценность сверху с помощью пользовательского кода. Будь то аналитика старой школы (большинство людей назвали бы это диаграммами трендов) или более новая аналитика (включающая контролируемое машинное обучение и временной поведенческий анализ), большой опыт в области безопасности и исторический анализ используются в самых надежных организациях по обнаружению, построенных на данных, которые они случается хранить в их SIEM. Обогащенная ресурсами команда безопасности не работает с обнаружением SIEM по умолчанию, а использует свои данные в качестве источника для своего сложного программного обеспечения, которое ищет шаблоны и объединяет поисковые запросы, чтобы повысить свои шансы и использовать доступные возможности поиска для расследования. Это не означает, что ваша команда использует SIEM в качестве базы данных. Лучшие решения SIEM просто позволяют вам создавать этот собственный код поверх своих данных, предоставляя комплекты для разработки программного обеспечения. Это очень хорошо работает для проектов Co-Managed и Managed SIEM.
Платформа открытого кодирования отличается от технологий черного ящика, таких как UEBA, NBA.
Важнейшим компонентом точности и эффективности структуры корреляционного кодирования SureLog является тот факт, что кодирование и производственные результаты полностью прозрачны и отслеживаемы, что невозможно в решениях «черного ящика», таких как подходы машинного обучения. Текущие инструменты UBA поставляются с фиксированной конфигурацией аналитики и являются скрытыми поставщиками, которые не могут продавать черные ящики. Пользователи должны понимать, что делает модель машинного обучения и как они сами могут управлять, контролировать и настраивать результаты по мере необходимости.
Некоторые поставщики предложили своим клиентам инновационный подход к решению этой дилеммы черного ящика. Механизмы машинного обучения автоматически генерируют правила, используя атрибуты, предоставленные их моделями машинного обучения.
