Search

Olika övervaknings- och detektionsmodeller

Person testar tvåfaktorsautentisering lösning

Olika övervaknings- och detektionsmodeller

Olika övervaknings- och detektionsmodeller

Tyvärr finns det ingen “silver-bullet”, eller magisk helhetslösning, när det kommer till att ha övervakning och detektionsförmåga på alla delar i miljön.

SIEM är ett fantastiskt verktyg, och när det kommer till att uppfylla compliance-krav så kanske det är det enda riktiga verktyget. Är det däremot detekteringsförmåga på olika sätt som är det viktigaste, så kanske det inte kan lösa alla utmaningar på bästa sätt utan andra metoder är bättre.

Vi guidar i olika metoder

I matrisen nedan visar vi verktygens olika förmåga att uppfylla de olika detektionsmöjligheterna:

 

  SIEM* Network
Command and Control XX XXX
Lateral Movement X XXX
Data exfilitration X XXX
Privilege Escalation XX
Internal recon XX XXX
Security Policy breaches XXX
Compliance Reporting XXXX

 

 

Olika övervaknings- och detektionsmodeller
Ett annat sätt att jämföra olika metoder är följande:

 

 

Detektionsmodell Ger snabbast värde (onboarding) Värdera och sortera Detektering Respons
Nätverksbaserad 2 Utmärkt för händelser på nätverket. Begränsat på händelser som sker på klienterna. Detektering görs baserat på indikatorer av malicious beteenden. Ingen. Är en passiv lösning.
Loggbaserad 3 Bra men helt beroende på vilket loggdata som samlas in. Detektering är bra men beroende på vilket loggdata som samlats in. Blind för det som inte samlats in. Ingen. Är en passiv lösning.
Klientbaserad 1 Utmärkt. Detektering görs baserat på alla aktiviteter över alla klienter. Detektering kan göras baserat på alla aktiviteter över alla klienter. Infekterade klienter isoleras och forensiska undersökningar kan göras.

 

 

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.