English
Tiếng ViệtTrong phần thứ hai của loạt bài “Điều gì làm cho SIEM thế hệ mới trở nên đặc biệt?”, chúng ta sẽ khám phá lý do tại sao các SIEM truyền thống thường bỏ lỡ các mối đe dọa thực sự và cách mà CrowdStrike Falcon Next-Gen SIEM phát hiện và loại bỏ chúng một cách chính xác.
Các đội SOC trên khắp các doanh nghiệp, ngành nghề và khu vực đều có cùng một mục tiêu: Ngăn chặn các cuộc tấn công mạng trước khi gây ra thiệt hại. Tuy nhiên, đối với những tổ chức sử dụng SIEM truyền thống, điều này gần như là không thể đạt được. Các SIEM truyền thống đòi hỏi một lượng lớn thời gian, tài nguyên và chuyên môn để thiết lập và duy trì.
Các SIEM truyền thống buộc các đội SOC phải định nghĩa thủ công mọi kịch bản tấn công có thể xảy ra và tiếp nhận một khối lượng lớn dữ liệu để phát hiện các mối đe dọa, tạo ra sự phức tạp và tăng chi phí. Tiếp theo, họ phải xây dựng hàng ngàn quy tắc để bao quát mọi kịch bản tấn công, từ phần mềm độc hại đến mối đe dọa từ bên trong, trong tất cả các giai đoạn của kill chain. Mặc dù hầu hết các SIEM đều cung cấp các quy tắc tương quan mặc định, nhưng các kỹ sư phát hiện phải tùy chỉnh những quy tắc này cho các môi trường riêng biệt của họ và cập nhật chúng để theo kịp các mối đe dọa đang phát triển và các định dạng thay đổi của log.
Mặc dù đã có nỗ lực lớn trong việc xây dựng các quy tắc tương quan, nhưng các SIEM truyền thống vẫn gửi đến các đội SOC một lượng lớn cảnh báo không chính xác. Họ phải dành tới hai giờ mỗi ngày để điều tra các cảnh báo false-positive, làm tăng cảm giác kiệt sức và trì hoãn phản ứng. Mô hình SIEM truyền thống không chỉ không hiệu quả — nó đã bị hỏng. Các đội security cần một cách tiếp cận mới.
Mehmet Halit Sumen, Giám đốc CNTT của Domino’s Pizza Eurasia, đã gặp phải thách thức này: Ông cho biết “Thách thức lớn nhất của chúng tôi là các cảnh báo giả”. “Bất kỳ chính sách nào chúng tôi thực thi trong mạng lưới của mình có thể gây ra sự cố. Và vì chúng tôi hoạt động 24/7, bất kỳ sự cố nào cũng có thể dẫn đến mất doanh thu… vì vậy, điều quan trọng là SOC của chúng tôi hoạt động hiệu quả và hiệu suất.”
Phát hiện Được Hỗ Trợ Bởi Dữ Liệu, AI và Hiểu Biết Sâu Sắc Về Kẻ Thù
CrowdStrike định nghĩa lại SIEM bằng cách kết hợp dữ liệu phù hợp, AI và phân tích do các chuyên gia của CrowdStrike để đạt được khả năng phát hiện mối đe dọa vượt trội. Mục tiêu rất đơn giản: cung cấp các phát hiện chính xác, cập nhật, hoạt động hiệu quả ngay từ đầu và cung cấp độ bao phủ tối đa với sự điều chỉnh tối thiểu. Điều này giúp các đội Security thích nghi với tốc độ của kẻ thù, một sự tiến hóa mà làm cho CrowdStrike Falcon® Next-Gen SIEM trở nên khác biệt so với các phiên bản trước.
Falcon Next-Gen SIEM được thiết kế để phát hiện mối đe dọa nhanh hơn. Nó thu thập và xử lý dữ liệu một cách nhanh chóng, tránh các điểm nghẽn trong việc tiếp nhận dữ liệu như các công cụ truyền thống. Nhờ tích hợp chặt chẽ với các giải pháp bảo mật endpoint của CrowdStrike, threat Intelligence và khả năng SOAR, nó có thể phát hiện các cuộc tấn công ngay lập tức mà không cần chờ đợi việc chuyển giao dữ liệu hoặc các công cụ riêng biệt kích hoạt cảnh báo và bắt đầu quy trình phân tích. Điều này loại bỏ sự chậm trễ và đảm bảo rằng các đội security luôn đi trước một bước so với các mối đe dọa.
Mặc dù các tổ chức cần có khả năng quan sát trên hàng chục hoặc thậm chí hàng trăm nguồn dữ liệu để phát hiện các mối đe dọa, nhưng hầu hết các phát hiện lại đến từ chỉ một vài nguồn dữ liệu chính. Falcon Next-Gen SIEM đơn giản hóa kỹ thuật phát hiện bằng cách tập trung vào những nguồn quan trọng này và cung cấp hàng nghìn phát hiện có sẵn với độ chính xác cao — sẵn sàng hoạt động ngay từ Ngày Đầu tiên, không cần xây dựng quy tắc.
CrowdStrike đạt được điều này bằng cách tích hợp EDR, Identity protection, cloud security và Next-gen SIEM hàng đầu ngành vào một nền tảng duy nhất. Với hơn 10.000 dấu hiệu tấn công (IOAs), khách hàng thấy giá trị ngay lập tức và quản lý quy tắc được tối ưu hóa. Chẳng hạn, một công ty dược phẩm của Mỹ đã loại bỏ 60-70% quy tắc tương quan của mình khi chuyển từ SIEM truyền thống sang Falcon Next-Gen SIEM và tận dụng các phát hiện endpoint đã có trong nền tảng CrowdStrike Falcon.
Bằng cách thống nhất các hoạt động bảo mật, Falcon Next–Gen SIEM giảm thiểu độ phức tạp và chi phí, nâng cao hiệu suất và cải thiện lợi tức đầu tư.
Phát Hiện Các Cuộc Tấn Công Nâng Cao Bằng AI và Sức Mạnh Của Crowd
Falcon Next-Gen SIEM khai thác toàn bộ tiềm năng của AI bằng cách kết hợp khả năng xử lý cloud-scale với hiểu biết sâu sắc về các nguồn dữ liệu quan trọng như dữ liệu endpoint, cloud và Identity. Nó áp dụng machine learning vào khối lượng sự kiện khổng lồ để cung cấp các phát hiện dựa trên AI, xác định các cuộc tấn công với độ chính xác cao. Ngoài ra, nó còn có khả năng giải mã các ngôn ngữ lập trình và lệnh để phát hiện các hành vi độc hại mà các SIEM truyền thống thường bỏ lỡ.
CrowdStrike tự động cập nhật các phát hiện để nhận diện các kỹ thuật và hành vi tấn công mới. Khác với các quy tắc tĩnh và nhiễu của SIEM truyền thống, các phát hiện được hỗ trợ bởi AI trong nền tảng Falcon phát triển để đối phó với các mối đe dọa đang thay đổi, loại bỏ những bất cập trong việc duy trì quy tắc thủ công. Điều này không chỉ là một cải tiến — mà là một sự chuyển biến cơ bản trong cách thức vận hành bảo mật ở quy mô lớn.
Mở Rộng Phát Hiện Hàng Đầu Ngành Đến Tất Cả Các Nguồn Dữ Liệu
Các cuộc tấn công có thể đến từ bất kỳ đâu — thiết bị mạng, email gateway, thông tin đăng nhập, IoT, và nhiều hơn nữa — và nhắm vào bất kỳ mục tiêu nào. Để cung cấp cái nhìn toàn diện và bảo vệ hiệu quả, Falcon Next-Gen SIEM kết nối các điểm dữ liệu để tương quan thông tin và phát hiện những cuộc tấn công tinh vi nhất.
Nó phát hiện các kỹ thuật trên toàn bộ kill chain với các quy tắc tương quan sẵn có được ánh xạ đến cả kẻ thù cụ thể và MITRE ATT&CK framework. Hàng trăm quy tắc tương quan được thiết kế chính xác, kết hợp với hàng nghìn dấu hiệu tấn công (IOAs) được hỗ trợ bởi AI cho các nguồn dữ liệu quan trọng, giúp các đội security phát hiện gần như bất kỳ loại tấn công nào.
Falcon Next-Gen SIEM cho phép các đội security xây dựng quy tắc tương quan tùy chỉnh bằng một ngôn ngữ truy vấn đơn giản và trực quan — giống như ngôn ngữ được sử dụng cho tìm kiếm và dashboard. Các đội có thể tối ưu hóa hoạt động bằng cách thêm các thuộc tính tùy chỉnh, hoặc thẻ, vào các quy tắc phát hiện, giúp quản lý và tổ chức quy tắc trở nên đơn giản hơn. Họ có thể chọn liệu các quy tắc tương quan sẽ tạo ra phát hiện hoặc sự cố để tăng cường tính linh hoạt, và có thể nhận thông báo cảnh báo ngay lập tức qua email, Slack, và nhiều hơn nữa.
Một Cái Nhìn Rõ Ràng Về Phạm Vi Phát Hiện
Hình 2. Dashboard Detection Coverage trong Falcon Next-Gen SIEM cho phép các đội bảo mật đánh giá và củng cố các biện pháp phòng thủ của họ.
Các kỹ sư có thể dễ dàng xem các kỹ thuật ATT&CK mà Falcon NextGen SIEM có thể phát hiện, xác định các khoảng trống trong phạm vi bao phủ, và xác định các nguồn dữ liệu cần thiết để lấp đầy chúng. Họ cũng có thể ánh xạ các quy tắc dữ liệu đến các kẻ thù cụ thể và xem quy tắc nào tạo ra nhiều cảnh báo nhất để điều chỉnh và giảm thiểu các cảnh báo false-positive. Phạm vi bao phủ giúp các đội security khám phá các điểm mù và củng cố hình thái bảo mật của họ để luôn đi trước các mối đe dọa đang phát triển.
Tối Ưu Hóa Next-Gen SIEM with NextGen MDR
Cũng giống như các công cụ truyền thống, những phương pháp lỗi thời trong quản lý bảo mật không còn đủ hiệu quả. Các tổ chức cần có những chuyên gia hiểu sâu về công nghệ của họ và có khả năng cung cấp giám sát 24/7, phát hiện mối đe dọa nhanh chóng, phân tích chuyên sâu, và khắc phục toàn diện. Dịch vụ quản lý phát hiện và phản ứng thế hệ mới (MDR) không chỉ đơn thuần là phát hiện — mà còn là hành động quyết đoán. Đó chính xác là những gì CrowdStrike Falcon Complete Next-Gen MDR mang lại.
Falcon Complete Next-Gen MDR kết hợp các chuyên gia bảo mật hàng đầu với công nghệ tiên tiến để ngăn chặn các vụ xâm nhập. Ở trung tâm của nó là các phát hiện cao cấp, chính xác, được xây dựng bởi một đội ngũ kỹ sư tận tâm, sử dụng threat intelligence tinh vi và các mẫu tấn công thực tế. Vòng phản hồi liên tục này nâng cao độ chính xác của các phát hiện, giúp các nhà phân tích ngăn chặn mối đe dọa sớm hơn trong chuỗi tấn công, và cung cấp dữ liệu cho các phát hiện mới trong Falcon Next-Gen SIEM.
DJ Goldsworthy, Phó Chủ tịch Vận hành An ninh tại Aflac, chia sẻ trải nghiệm của công ty: “Khi chúng tôi bắt đầu, chúng tôi có một SOC lớn và tự xây dựng hầu hết các phát hiện. Kể từ khi chuyển sang Falcon Complete Next-Gen MDR, số lượng cảnh báo đã giảm 20 lần. Nó tiên tiến và hiệu quả gấp bội so với những gì chúng tôi có trong quá khứ.”
Nâng Cao Năng Lực Phát Hiện Đến Cấp Độ Mới
Các SIEM truyền thống, bị gánh nặng bởi các bộ quy tắc được định nghĩa thủ công, thường không đủ khả năng phát hiện các cuộc tấn công hiện đại. Các phương pháp thế hệ mới, như Falcon Next-Gen SIEM, cung cấp các khả năng phát hiện hiện đại, dựa trên cloud, bao gồm các quy tắc tương quan được tạo ra một cách chuyên nghiệp nhằm tăng cường bảo vệ trên toàn bộ môi trường. Các IOA (Indicators of Attack) sử dụng trí tuệ nhân tạo cho các nguồn dữ liệu quan trọng xác định các mối đe dọa lén lút mà không cần xây dựng và điều chỉnh quy tắc tốn thời gian. Đối với các đội ngũ cần hỗ trợ thêm, Falcon Complete Next-Gen MDR hoạt động như một yếu tố tăng cường, cung cấp phát hiện mối đe dọa liên tục, điều tra và phản ứng nhằm nâng cao hoạt động của SOC.
Đây chính là điều mà SIEM thế hệ mới hướng tới: phát hiện các mối đe dọa nâng cao và loại bỏ sự nhiễu loạn, giúp bạn tập trung vào việc ngăn chặn các vụ xâm nhập.
