Операционные центры безопасности (SOC) и управляемые поставщики услуг безопасности (MSSP) испытывают огромную нагрузку в связи с постоянно расширяющимся ландшафтом угроз и при этом сталкиваются с постоянной нехваткой специалистов в области кибербезопасности. Согласно отчету Агентства Европейского союза по кибербезопасности (ENISA) 2024, нехватка кадров в отрасли продолжает создавать проблемы для команд безопасности, что приводит к неэффективности и увеличению рабочей нагрузки. Многие специалисты по кибербезопасности не имеют формальной квалификации или стандартного обучения, что еще больше усложняет поддержание последовательных и эффективных операций по обеспечению безопасности.
Осознавая эти проблемы, Logpoint выпустила новую версию, призванную снизить операционную нагрузку, повысить эффективность и улучшить показатели безопасности. Эта версия, в которой особое внимание уделяется автоматизации, централизованному мониторингу и централизованному управлению, помогает командам SOC и MSSP оптимизировать рабочие процессы, масштабировать операции и максимизировать инвестиции в безопасность.
Удобное включение и мгновенная видимость
Начало работы с SIEM не должно быть сложной задачей. Чем больше времени это занимает, тем больше вы теряете и тем дороже обходится внедрение новых экземпляров SIEM.
Именно поэтому Logpoint теперь автоматически принимает сообщения Syslog прямо из коробки. Функция приема журналов по умолчанию означает немедленный сбор журналов после установки, удобную настройку для новых клиентов и плавное масштабирование при добавлении новых экземпляров Logpoint – и все это без потери ни одного журнала. Получите мгновенную видимость безопасности и сократите расходы на внедрение, обеспечив защиту с первого дня работы.
Релизы Logpoint продолжают избавлять пользователей от головной боли, связанной с ручным конфигурированием, и на этот раз расширяют возможности шаблонизированных источников журналов до FTP и ODBC Fetcher. Таким образом, команды SOC упрощают интеграцию данных из различных систем и быстро получают критически важные журналы для точного обнаружения угроз и реагирования на инциденты, освобождая команду для проактивной защиты.
Обеспечьте целостность данных и стабильность систем
Уверенность в безопасности данных и стабильности системы очень важна. Если вы не можете доверять журналам, которые вы получаете, или даже стабильности SIEM, вы можете пересмотреть свой подход к кибербезопасности организации. Этот выпуск призван помочь вам в этом.
Избегайте «слепых пятен» с помощью простой идентификации неактивных источников журналов
Никогда не пропускайте критически важные оповещения из-за сбоев в сборе журналов. Новая Log Source Activity Monitoring обеспечивает наглядный обзор с помощью системы визуального цветового кодирования для мгновенного выявления неактивных источников журналов, а также позволяет пользователям настраивать уведомления в режиме реального времени и оповещения по электронной почте. Определите собственный порог неактивности и получайте оповещения по нескольким каналам, обеспечивая непрерывную видимость безопасности и предотвращая перебои в оповещении, что особенно важно для крупных предприятий.
Повышайте точность обнаружения с помощью Log Integrity Checker
Обеспечьте бескомпромиссную безопасность и соответствие нормативным требованиям с помощью новейшего усовершенствования от Logpoint – Log Integrity Checker. Теперь пользователи консоли могут выполнить команду li-admin для проверки и мониторинга целостности данных журнала в режиме реального времени, что гарантирует защиту журналов от несанкционированного доступа, их полноту и соответствие нормативным стандартам. Обнаружение изменений и несоответствий, оптимизация аудита и проведение точных криминалистических расследований позволяют с уверенностью снизить риски, время простоя и потенциальные юридические и операционные расходы.
Больше эффективности работы команды, меньше «узких мест»
Эффективность – ключ к успеху команды безопасности. Зачастую речь идет не о более отлаженных методах работы, а об устранении препятствий, мешающих менеджерам SOC сотрудничать со своей командой. Исходя из этого, представлено два улучшения, которые оптимизируют рабочий процесс вашей команды и сократят ручную работу:
Управление оповещениями в массовом порядке для экономии времени и повышения эффективности работы
Работа с многочисленными правилами оповещений вскоре может превратиться в обременительную задачу, поскольку ваша команда безопасности может тратить больше времени на активацию и деактивацию оповещений, настройку уведомлений для них или изменение репозитория и временного диапазона. И это отнимает тем больше времени, чем больше у вас оповещений. Теперь можно управлять правилами оповещений в массовом порядке.
Это значительно сокращает время, затрачиваемое на администрирование правил оповещения, освобождая аналитиков SOC для выполнения более приоритетных задач, таких как поиск угроз и реагирование на инциденты. Достаточно выбрать правила оповещения из списка и применить выбранное действие, что повышает общую эффективность операций безопасности.
Общий контент аналитики для улучшения рабочих процессов и снижения затрат
Устранение узких мест – важная часть обеспечения эффективности и снижения затрат. Именно это и происходит, когда администраторы получают доступ к аналитическому контенту. Поскольку они могут видеть оповещения, панели управления, отчеты и шаблоны поиска, которые используют другие пользователи, они могут контролировать неправильную конфигурацию и стандартизировать лучшие практики в команде.
Когда речь идет об оптимизации расходов, совместное использование аналитического контента имеет большое преимущество, которое выходит за рамки устранения неправильной конфигурации и дублирования усилий по оптимизации операций безопасности. Поскольку два или более человека не работают с одними и теми же оповещениями или информационными панелями, потребление ресурсов и влияние на стабильность снижаются. Еще одно преимущество администраторов Logpoint – возможность управлять аналитическим контентом – имеет очевидный, но важный результат. Администраторы могут подменять аналитиков, которые отсутствуют, ушли в отпуск или уехали.
Другие важные обновления
Теперь вы можете интегрироваться с учетной записью MaxMind’s GeoIP для получения географической информации, что снижает риск упустить из виду географически релевантные угрозы. Это означает потенциальную экономию средств за счет предотвращения нарушений и более эффективное использование времени аналитиков за счет предоставления им более точного контекста местоположения.
Кроме того, Logpoint теперь поддерживает принудительный StartTLS, что повышает безопасность электронной почты, обеспечивая шифрование всех почтовых сообщений, и позволяет пользователям шифровать соединения в SMTP (Simple Mail Transfer Protocol) – протоколе связи, используемом для отправки электронных сообщений о тревогах и инцидентах Logpoint.
Этот релиз принесет пользу как штатным службам безопасности, так и SOC-командам MSSP, позволяя им работать без лишних сложностей.
Источник: Reduce operational burden and gain efficiency with Logpoint’s latest release
