2021年8月29日,美國行政管理和預算局(OMB)公布的一份備忘錄按照拜登政府行政命令(EO) 12028,改善國家的網絡安全。雖然EO要求聯邦機構適應今天的網絡安全威脅,它沒有定義具體的實施細則。然而,這份備忘錄(M-21-31)描述了一種四級成熟度模型與詳細要求實現事件管理。M-21-31要求聯邦機構來滿足每個成熟度級別上升使用他們現有的網絡安全預算。
早期與聯邦機構的對話表明,他們設計的日誌收集存儲需求將增加4-10x的因素。因為許多機構使用遺留安全信息和事件管理(SIEM)平台收集和監控他們的日誌,他們麵臨大規模增加許可和基礎設施成本這些解決方案以滿足要求。Beplay体育安卓版本
幸運的是,還有另一種體係結構使用磚Lakehouse平台網絡安全機構可以使用快速,容易,以滿足M-21-31需求沒有叉車操作或過濾所需的原始記錄。Beplay体育安卓版本在這個博客中,我們將討論這個架構和如何使用磚來增強現有SIEM和安全編製自動化和響應(高飛)實現。我們還將概述M-21-31,遺留的缺陷siem履行使命和磚方法如何解決這些問題,同時提高操作效率和減少成本。
提高調查和修複能力
現在為什麼M-21-31發布嗎?最近的大規模網絡攻擊包括SolarWinds,log4j,殖民地的管道,鉿和Kaseya,突出了複雜,複雜性和增加網絡攻擊的頻率。除了聯邦政府花更多的錢在2021年400萬美元的事件這些網絡威脅,也對國家安全構成嚴重威脅。政府認為安全持續的監控數據從一個機構的整個攻擊表麵時,事件後,需要檢測,調查和補救的網絡威脅。代理水平安全操作中心(SOC)也需要民主化,提高協作安全數據更有效的事件反應。
為事件日誌管理成熟度模型
成熟度模型中描述M-21-31指導機構需求的實現四個事件日誌記錄(EL)層:EL0 - EL3:
機構的期望是立即開始提高性能達到完全符合要求的EL3由2023年8月。第一個截止時間是2021年10月當機構來評估他們的當前成熟度模型和識別資源和實現差距。從那裏,機構預計將實現層通過三個每六個月。日誌需求和技術細節的日誌類別和保存期為每種類型的數據在備忘錄中。幾乎,保存期要求是活躍存儲12個月和18個月寒冷的數據存儲。
一個機構做什麼?
一個機構如何去滿足M-21-31和SOC需求中指定的備忘錄嗎?一般來說,M-21-31要求首席信息安全官(CISOs)成長日誌收集許多測量4-10x目前的攝入水平。數據源收集的數量擴張與保留,或lookback時期。為了完成使命,你需要回答的第一個問題是,有多少你的機構每天攝取tb的數據?從這裏,您可以確定當前SIEM許可成本的增加,增加基礎設施成本和相關的管理成本。因為這總擁有成本(TCO)遺留siem直接相關數據攝取,現有的擴張成本架構可能是重要的。
傳統SIEM與SIEM增大
M-21-31沒有跟多的警告和是一個沒有。機構需要一個解決方案,可以實現與現有的資源和預算。一些機構發現,擴大現有的TCO SIEM增加許可、存儲、計算和整合資源每年將花費數千萬美元。這隻會增加成本,如果遺留建築是本地,需要額外的出口新的雲數據來源的成本。
SIEM增加使用一個基於雲的數據\ lLakehouse遺留SIEM和尺度的好處他們支持M-21-31所需的高容量的數據來源。開放平台可Beplay体育安卓版本以集成和安全工具鏈提供的選擇和靈活性。FedRAMP通過雲平台允許您運行在您選擇的雲環境Beplay体育安卓版本數據保護的嚴格的安全執行。與一個可伸縮的、高性能的集成分析平台,計算和存儲是解耦的,支持端到端流和批處理工作負載。Beplay体育安卓版本沒有改革操作,特定的專業知識或極端的成本。隻是一個你已經在使用增強的安全體係結構。
磚的方法:Lakehouse + SIEM
的政府機構已經準備好他們的安全數據基礎設施現代化和更有效地分析數據在pb級別,磚提供了一個開放lakehouse平台,幫助下遊民主化訪問數據分析和人工智能(AI)。Beplay体育安卓版本
網絡數據lakehouse是一個開放的體係結構,結合湖泊和數據倉庫數據的最佳元素,簡化了新員工培訓安全數據源。的基礎lakehouse磚三角洲湖,支持結構化、半結構化和非結構化數據所以聯邦機構可以收集並存儲所有必需的日誌的安全基礎設施。這些原始安全日誌可以存儲多年,在一個開放的格式,在雲中對象商店亞馬遜網絡服務(AWS),微軟Azure (Azure)或穀歌雲(GCP)大大降低存儲成本。
磚可用於正常的原料安全數據符合聯邦機構分類法。也可以進一步處理的數據簡化機構的創建安全記分卡和安全狀況報告。此外,磚表實現訪問控製的安全模型,授予不同級別的訪問安全數據基於每個用戶分配角色,以確保數據訪問是嚴格管理。
網絡lakehouse也是一個理想的平台實施檢測和先進的分析。Beplay体育安卓版本建立在Apache火花,磚進行了優化處理大量的流媒體實時和曆史數據的威脅分析和事件反應。安全團隊可以查詢海量曆史數據拉伸幾個月或幾年過去,使檔案長期威脅和漏洞進行深法醫檢查發現基礎設施。磚允許安全團隊構建預測威脅情報與一個強大的、易於使用的平台,發展人工智能和ML模式。Beplay体育安卓版本數據科學家可以構建機器學習模型,更好的分數警報從SIEM工具,減少評論家疲勞造成太多的假陽性。數據科學家還可以使用磚建造的機器學習模型,檢測異常行為預定義的規則和已知的威脅以外的現有模式。提供一個例子,去年磚發表博客通過DNS分析檢測罪犯和國家。這個博客包含一個筆記本,接受被動DNS數據到三角洲湖和執行先進的分析檢測威脅和DNS中找到相關數據與威脅情報源。
此外,磚為企業創造了一個Splunk-certified附加增強Splunk安全(ES)的日誌和保留擴張。為雲級別的安全操作,設計擴展為Splunk分析師提供了訪問所有數據存儲在Lakehouse。Splunk和磚允許機構分析師之間的雙向管道直接融入Splunk可視化和安全工作流。現在你可以與數據存儲在lakehouse沒有離開Splunk用戶界麵(UI)。和Splunk分析師可以包括磚數據搜索和合規/ SOC的儀表板。
下圖提供了建議的解決方案概述:
磚+ Splunk:節約成本的案例研究
磚與SIEM /翱翔/集成UEBA您所選擇的,但是因為很多機構使用Splunk, Splunk-certified磚插件可用於滿足OMB和SOC的需要。下麵的例子有一個全球媒體電信的安全操作,然而,同樣的插件可以通過政府機構。
這個用例,電信公司希望實現M-21-31到底是什麼要求機構:擴大lookback和數據攝入更好的網絡安全。不幸的是,單獨使用Splunk日誌保留越多,更昂貴的維護。磚插件解決這個問題通過增加Splunk的效率。
攝取35結核病/天365天lookbacks可能成本10年代Splunk每年數百萬的雲。磚等大的資源可以利用DNS,雲本機,PCAP——所有的安慰Splunk——不需要新的人員各項技能和較低的成本。
上麵的圖代表Splunk磚附加的結果與Splunk獨自Splunk擴大。電信組織增加吞吐量從10 tb每天隻有90天回頭,與365天每天35結核病lookback使用磚SIEM增大。盡管數據吞吐量增長250%,超過四倍lookback期間,所有權的總成本,包括基礎設施和許可證,保持不變。沒有磚插件,這種擴張將花費10年代Splunk每年數百萬的雲,即使有巨大的折扣或剩餘on-prem。
Splunk因為磚是一個插件,用戶界麵不會改變和無縫的用戶體驗。與我們Splunk-certified磚連接器的應用、集成使用,采用快速和容易。舒適的Splunk UI,機構可以保留現有的流程和過程,改善安全狀況,和降低成本,同時滿足M-21-31授權。
會議的授權而最大化最值最低的TCO
當然,你的機構將決定TCO的細微差別的時間內履行職責的要求。我們正在積極的磚附加Splunk是最有效的,注重解決增加日誌和保留。這就是為什麼磚創建了一個可編輯的ROI計算器個性化你的選擇,讓你的體重是你的選擇對你的預算和可用的資源。與我們的專家資源指導你通過計算器,你會有一個清晰的理解磚如何幫助解決最緊迫的問題,實現對OMB M-21-31節省操作。
探索你的節約成本的機會與磚你瀏覽M-21-31授權。
接下來是什麼
今天聯係我們演示和ROI練習專注於幫助你保持符合OMB所需的時間不超過預算或使用不必要的資源。