Theo Verified Market Research, thị trường SIEM được định giá 5,21 tỷ đô la vào năm 2024 và dự kiến sẽ đạt 10,09 tỷ đô la vào năm 2031. Trong số các yếu tố chính góp phần vào sự tăng trưởng này là các mối đe dọa mạng gia tăng, các quy định về tuân thủ quy định và nhu cầu phát hiện mối đe dọa nhanh chóng. Các doanh nghiệp đang tìm kiếm các giải pháp cho phép họ thu thập và phân tích dữ liệu theo thời gian thực, nâng cao đáng kể nhận thức về tình huống của họ. Để đáp ứng nhu cầu này, Kaspersky đã bổ sung các tính năng mới vào SIEM của mình, cho phép các chuyên gia an ninh mạng phát hiện các mối đe dọa hiệu quả hơn.
Kaspersky SIEM là nền tảng trung tâm hoạt động bảo mật (SOC) dựa trên công nghệ AI và được tăng cường bởi Threat Intelligence hàng đầu thế giới. Nền tảng này thu thập dữ liệu nhật ký và làm giàu dữ liệu này bằng thông tin theo ngữ cảnh và thông tin tình báo về mối đe dọa có thể hành động để cung cấp tất cả dữ liệu cần thiết cho việc điều tra và phản hồi sự cố, đồng thời cho phép phản hồi tự động đối với các cảnh báo và săn tìm mối đe dọa.
Mô-đun AI mới
Kaspersky SIEM có mô-đun AI mới giúp cải thiện cảnh báo phân loại và sự cố bằng cách phân tích dữ liệu lịch sử, trong khi tính năng chấm điểm rủi ro tài sản dựa trên AI cung cấp các giả thuyết có giá trị cho các tìm kiếm chủ động.
Mô-đun này phân tích cách đặc điểm của một hoạt động cụ thể liên quan đến các tài sản khác nhau - máy trạm, máy ảo, điện thoại di động, v.v. Nếu cảnh báo do hệ thống phát hiện do tương quan sự kiện không phải là cảnh báo điển hình cho tài sản mà cảnh báo được phát hiện, thì phát hiện đó sẽ được đánh dấu trong giao diện bằng trạng thái bổ sung. Do đó, các nhà phân tích có thể nhanh chóng thấy các sự cố cần được chú ý ngay lập tức.
Thu thập dữ liệu của tác nhân Kaspersky Endpoint Security
Trước đây, để thu thập dữ liệu từ các máy trạm chạy Windows và Linux, cần phải cài đặt tác nhân SIEM trên mỗi máy trạm hoặc cấu hình truyền dữ liệu đến máy chủ trung gian rồi cấu hình trao đổi dữ liệu với SIEM. Bây giờ, nếu tác nhân Kaspersky Endpoint Security được cài đặt trên máy chủ, nó có thể trực tiếp gửi dữ liệu đến hệ thống SIEM. Dữ liệu này có thể được sử dụng để tìm kiếm sự kiện, phân tích và đối chiếu thêm. Do đó, bước bổ sung là cài đặt và giám sát các tác nhân SIEM riêng biệt đã được loại bỏ đối với những khách hàng đã sử dụng các sản phẩm Kaspersky cho bảo mật điểm cuối.
Biểu đồ phụ thuộc tài nguyên và khả năng tìm kiếm mở rộng
Nền tảng này cũng cải thiện khả năng tìm kiếm và giờ đây cho phép khách hàng hình dung cách các tài nguyên (bộ lọc, quy tắc, danh sách) được kết nối với nhau. Biểu đồ phụ thuộc tài nguyên có cấu trúc thư mục phân cấp giúp dễ dàng tìm đúng truy vấn tìm kiếm cho các nhóm lớn hoặc nhiều tìm kiếm được lưu trữ. Các nhà phân tích có thể nhanh chóng và chính xác định vị các sự kiện có liên quan hoặc tạo báo cáo "cửa sổ lăn" bằng cách xác định khung thời gian bắt đầu và kết thúc cho truy vấn tìm kiếm hoặc báo cáo. Lưu trữ lịch sử truy vấn tìm kiếm cho phép người dùng truy cập các yêu cầu trước đó một cách dễ dàng.
Phiên bản nội dung
Kaspersky SIEM lưu trữ lịch sử thay đổi tài nguyên dưới dạng phiên bản. Phiên bản tài nguyên được tạo tự động khi nhà phân tích tạo tài nguyên mới hoặc lưu các thay đổi đối với tham số trong tài nguyên hiện có. Lưu trữ phiên bản đơn giản hóa tương tác trong nhóm nhà phân tích. Ví dụ, một thành viên nhóm có thể xem bất kỳ thay đổi nào mà đồng nghiệp đã thực hiện trong quy tắc tương quan và nếu cần, có thể hoàn tác chúng.
Bản đồ trường độc đáo
Với nền tảng được cập nhật, giờ đây các nhà phân tích có thể thêm một mảng các giá trị trường được chỉ định từ phần trường duy nhất của quy tắc tương quan vào một sự kiện tương quan, do đó tiết kiệm thời gian bằng cách loại bỏ nhu cầu tìm kiếm qua các giá trị trường trong các sự kiện cơ bản.
Kaspersky SIEM cũng cho phép thêm các giá trị trường cụ thể vào ngoại lệ nếu cảnh báo được xác định là dương tính giả. Mỗi quy tắc tương quan tạo ra một danh sách ngoại lệ riêng, cho phép các nhà phân tích tập trung vào các cảnh báo quan trọng và nhanh chóng giảm 'nhiễu' của quy tắc tương quan.
"Vì SIEM là một trong những công cụ chính dành cho các nhóm SOC và bộ phận bảo mật CNTT, chúng tôi làm mọi thứ có thể để giúp nền tảng của mình dễ sử dụng hơn. Những tính năng mới này có nghĩa là các doanh nghiệp có thể phản ứng với các sự kiện nhanh hơn và ít tốn công sức hơn. Ngoài ra, chúng tôi đã cải tiến Kaspersky SIEM của mình bằng cách làm phong phú thêm các kết nối với các nguồn sự kiện và các quy tắc tương quan. Ngày nay, các quy tắc sẵn có của chúng tôi đã bao gồm hơn 400 kỹ thuật từ ma trận MITRE ATT&CK và số lượng các nguồn được hỗ trợ đã đạt gần 300. Và con số này không ngừng tăng lên", Ilya Markelov, Trưởng bộ phận sản phẩm nền tảng hợp nhất tại Kaspersky, nhận xét.