登录查看更多内容

How can you optimize your SIEM system to reduce false positives and negatives?

由人工智能和领英社区提供技术支持

A SIEM system, or security information and event management, is a tool that collects and analyzes data from various sources to detect and respond to security threats. However, a SIEM system can also generate false positives and negatives, which are alerts that either indicate a threat when there is none, or miss a threat when there is one. These errors can reduce the efficiency and effectiveness of your security operations and increase the risk of breaches. In this article, you will learn how to optimize your SIEM system to reduce false positives and negatives by following these steps:

此文章中的业界达人

由社区从 16 条内容中精选。了解更多

Markus Malewski

???????? ≠ ???????????? | ?????????????? ???? ???????????????? ???????????????????? | My private account | ??AFD
Yashwant Singh Rathore ??????

Group Manager Cyber Assurance at Unilever | CISSP, CISA, GIAC-GSLC, CCSP, CCSK
Thomas Edelmann

CTO agilimo Consulting GmbH | Von jedem Ort aus hochsicher arbeiten | Cybersecurity & Mobility Solutions

1 Define your objectives

Before you can optimize your SIEM system, you need to define your objectives and expectations. What are the main security risks and challenges that you face? What are the key performance indicators (KPIs) and metrics that you use to measure your security posture? How do you prioritize and classify the alerts that your SIEM system generates? By answering these questions, you can align your SIEM system with your business goals and security needs, and avoid unnecessary or irrelevant alerts.

添加您的观点

Yashwant Singh Rathore ??????

Group Manager Cyber Assurance at Unilever | CISSP, CISA, GIAC-GSLC, CCSP, CCSK
举报内容
Refining detection rules and tuning correlation logic are the two most important steps you can take to reduce overall false positives. Refining Detection Rules involves reviewing and refining existing rules to ensure they are tailored to your organization's specific security requirements and threat landscape. Additionally, regularly updating detection rules based on emerging threats, industry trends, and changes in your IT environment is crucial. Tuning Correlation Logic entails fine-tuning correlation rules to reduce the occurrence of false positives by adjusting thresholds, time windows, and other parameters.

已翻译

赞
Regis Martin

DataCenter Officer
举报内容
-Suivre les échecs d authentification des équipements -suivre l évolution du nombre de log, du nombre de log error et warning -compter les hit de log de failed ...

已翻译

赞

加载更多内容

2 Tune your rules and filters

One of the main causes of false positives and negatives is the lack of proper rules and filters for your SIEM system. Rules and filters are the criteria that your SIEM system uses to identify and analyze events and generate alerts. If your rules and filters are too broad, too narrow, or outdated, you may end up with inaccurate or incomplete alerts. To tune your rules and filters, you need to review and update them regularly, based on the latest threat intelligence, industry standards, and best practices. You also need to test and validate them, using historical or simulated data, to ensure that they work as intended.

添加您的观点

Markus Malewski

???????? ≠ ???????????? | ?????????????? ???? ???????????????? ???????????????????? | My private account | ??AFD
举报内容
Frameworks wie MITRE ATT&CK und SIGMAHQ sind als de facto Standards in der IT-Security anerkannt und sind wichtige Instrumente bei der Entwicklung des SIEM Regeln. Zur überprüfung der Regeln helfen auch Testskripte, wie z.B. das Atomic Red Team Repository. Zus?tzlich k?nnen auch Open Source Intelligence Feeds wie z.B. Threathfox dazu beitragen, Firewall, DNS und Proxy Alarme zu optimieren bzw. darüber den Threat Score oder die Severity eines Events zu erh?hen.

已翻译

赞
Thomas Edelmann

CTO agilimo Consulting GmbH | Von jedem Ort aus hochsicher arbeiten | Cybersecurity & Mobility Solutions
举报内容
Das Feintuning des Regelwerks ist ein kontinuierlicher Prozess. Threat Intelligence Reports, Frameworks wie MITRE ATT&CK und die individuellen Gegebenheiten der eigenen Infrastruktur sollten immer wieder geprüft werden und in das Regelwerk einfliessen.

已翻译

赞
Regis Martin

DataCenter Officer
举报内容
Au cas par cas voir avec les constructeur et éditeur les log pertinent à suivre par thématiques cyber, performances, résilience...

已翻译

赞

3 Integrate your data sources

Another cause of false positives and negatives is the lack of integration among your data sources. Data sources are the systems and devices that provide data to your SIEM system, such as firewalls, servers, applications, and sensors. If your data sources are not integrated, you may miss important information or context that could help you detect and respond to threats. To integrate your data sources, you need to ensure that they are compatible and consistent with your SIEM system, using common formats, protocols, and standards. You also need to enrich and correlate your data sources, using additional sources such as threat feeds, asset inventories, and user profiles, to add more value and insight to your data.

添加您的观点

Markus Malewski

???????? ≠ ???????????? | ?????????????? ???? ???????????????? ???????????????????? | My private account | ??AFD
举报内容
In erster Linie sollte die Qualit?t der Logdaten geprüft werden, denn wenn die Logging Richtlinien auf den Datenquellen nicht entsprechend angepasst sind, k?nnen wichtige Daten verloren gehen. Zus?tzlich muss sichergestellt werden, dass Security Devices, wie z.B. Endpoint Protection (AV, EDR, etc.) Proxy, DNS Security, IDS, ...) korrekt konfiguriert und die Signaturen regelm??ig gepflegt und an die Anforderungen angepasst werden.

已翻译

赞
Edem Kofi Letcha

American National University
举报内容
Fine-tuning configurations, adopting best practices, and utilizing advanced capabilities are key elements in the optimization of a Security Information and Event Management (SIEM) system to minimize both false positives and negatives. Here are some suggested approaches: Modify rule thresholds to decrease sensitivity and prevent the triggering of alerts for harmless activities Customize existing rules or craft new ones to align more effectively with the unique environment and threat landscape of your organization. Standardize and correlate data to recognize patterns and connections, thereby decreasing the probability of false positives. Integrate SIEM with incident response tools to validate findings

已翻译

赞

4 Automate your workflows

A third cause of false positives and negatives is the lack of automation in your workflows. Workflows are the processes and actions that you take to handle the alerts generated by your SIEM system, such as triage, investigation, remediation, and reporting. If your workflows are manual, slow, or inefficient, you may waste time and resources on false alerts, or overlook real alerts. To automate your workflows, you need to use tools and techniques such as scripts, playbooks, orchestration, and machine learning, to streamline and speed up your tasks. You also need to monitor and measure your workflows, using dashboards, reports, and feedback loops, to improve and optimize them over time.

添加您的观点

Markus Malewski

???????? ≠ ???????????? | ?????????????? ???? ???????????????? ???????????????????? | My private account | ??AFD
举报内容
Threat Intelligence Feeds (OSINT) sollten angereichert werden, um aus Daten Informationen zu gewinnen. Zus?tzliche forensische Ma?nahmen oder auch Ausführung von Dateien in einer Sandbox lassen sich sehr gut automatisieren. Zus?tzlich kann die Automatisierung auch zur Mitigation beitragen, um gr??eren Schaden zu verhindern. Beim Berichtswesen spielt die Automatisierung ebenfalls eine wichtige Rolle, um konsistente und vergleichbare Ergebnisse zu erzielen.

已翻译

赞
Thomas Edelmann

CTO agilimo Consulting GmbH | Von jedem Ort aus hochsicher arbeiten | Cybersecurity & Mobility Solutions
举报内容
Ohne Automatisierung l?sst sich die gro?e Anzahl an Logs und Alarmen nicht wirklich in den Griff bekommen. Wichtig ist es hier sicher zu gehen dass man immer wiederkehrende Aufgaben automatisiert. Hier reichen oftmals schon kleine Hilfsmittel um die Arbeit zu unterstützen. Was man nicht versuchen sollte ist Analysten an sich zu automatisieren. Automatisierung soll den Analysten bestm?glich unterstützen und nicht ersetzen.

已翻译

赞

5 Train your staff

A final cause of false positives and negatives is the lack of training and skills among your staff. Staff are the people who operate and manage your SIEM system, such as analysts, engineers, and managers. If your staff are not trained and skilled, they may not be able to configure, use, and maintain your SIEM system effectively, or to interpret and act on the alerts correctly. To train your staff, you need to provide them with regular and relevant education and training, covering topics such as SIEM concepts, features, functions, and best practices. You also need to assess and enhance their skills, using methods such as certifications, simulations, and mentoring, to ensure that they are competent and confident in their roles.

By following these steps, you can optimize your SIEM system to reduce false positives and negatives, and increase your security performance and efficiency. Optimizing your SIEM system is not a one-time activity, but a continuous and iterative process that requires constant monitoring, evaluation, and improvement.

添加您的观点

Thomas Edelmann

CTO agilimo Consulting GmbH | Von jedem Ort aus hochsicher arbeiten | Cybersecurity & Mobility Solutions
举报内容
Die Analysten sind die Hauptnutzer des SIEM Systems und da der Faktor Zeit im Security Umfeld ein wichtiger ist, muss der Umgang mit dem System in Fleisch und Blut übergegangen sein. Somit ist das Training ein essentieller Punkt. Hierfür sind vordefinierte und detaillierte Playbooks, die immer wieder trainiert werden eine gute M?glichkeit.

已翻译

赞
Markus Malewski

???????? ≠ ???????????? | ?????????????? ???? ???????????????? ???????????????????? | My private account | ??AFD
举报内容
SIEM sind hochkomplexe Systeme. Einige L?sungen lassen sich zwar ziemlich einfach installieren, reichen dann aber nur für Testzwecke. Im Enterprise Umfeld müssen solche Systeme skalieren und teilweise hochverfügbar geplant werden. Bei der Erstellung der SIEM Regeln kann eine einzige Regel dazu führen, dass es Performance Problemen kommt und dadurch die Detektion beeintr?chtigt wird bzw. das Einlesen der Logdaten verz?gert oder sogar ausf?llt. Ein SIEM ist definitiv nicht für Anf?nger.

已翻译

赞

6 Here’s what else to consider

This is a space to share examples, stories, or insights that don’t fit into any of the previous sections. What else would you like to add?

添加您的观点

Georgette Brooks

Cyber Threat Intel | Targeting Analyst | DFIR
(已编辑)
举报内容
Establish a baseline by identifying different types of network traffic and the expected amount of network traffic. Ensure rules are tailored to alert on specific traffic and/or minimize the amount of rules used for the system to mitigate false positives. Ensure staff is properly trained to handle adverse events and know the proper reporting protocols/standard operating procedures. This may include conducting training sessions for employees to appropriately identify normal events vs. abnormal events, exercises, knowing important POC's for the company, and knowing the necessary steps to resolve the event.

已翻译

赞
Markus Malewski

???????? ≠ ???????????? | ?????????????? ???? ???????????????? ???????????????????? | My private account | ??AFD
举报内容
Die Einführung eines SIEM Systems sollte nicht nur auf Basis von Datenbl?ttern erfolgen, denn da gibt es nicht allzu viele Unterschiede. Auch die Benutzerfreundlichkeit spielt eine sehr wichtige Rolle, da die Analysten und Administratoren t?glich am und mit dem System arbeiten müssen. Es sollte auch auf eine sehr gute SOAR Integration geachtet werden, die sich nahtlos in die SIEM Oberfl?che und das Benutzer- und Rollenkonzept integriert.

已翻译

赞
Thomas Edelmann

CTO agilimo Consulting GmbH | Von jedem Ort aus hochsicher arbeiten | Cybersecurity & Mobility Solutions
举报内容
Ein SIEM System ist nie fertig. Es muss kontinuierlich weiterentwickelt, feinjustiert und vor allem getestet werden. Für das Testen bieten sich Tools wie Atomic Red Team an, um mit Hilfe des MITRE ATT&CK Frameworks eventuelle Lücken in der Detektion von TTPs zu erkennen und die Lücken dann natürlich auch zu schlie?en. Hierbei ist es wichtig relevante TTPs durch die Analyse des eigenen Bedrohungsrisikos herauszuarbeiten und diese dann priorisiert zu behandeln. Eine weitere überlegung ist die Nutzung des SIEMs für Threat Hunting, also dem proaktiven Analysieren von Logs nach gewissen Auff?lligkeiten oder Mustern. Dadurch k?nnen eventuelle Bedrohungen frühzeitig identifiziert und mitigiert werden.

已翻译

赞
Aaron Viehl

IT ? MSP ? ???? ???? ???? ? GitHub: admon.in.ua
举报内容
Durch Abschaltung des SIEM Systems kann man ma?geblich dazu beitragen, dass die Anzahl der Fehlalarme reduziert wird. Durch konsequentes Umsetzen einer "Wir haben kein SIEM"-Strategie k?nnen auftretende Warnungen bereits frühzeitig umgangen werden - dies entlastet das Servicepersonal.

已翻译

赞

Information Systems

+ 关注

给文章评分

我们借助人工智能创建了此文章。您认为这篇文章怎么样？

很棒不太好

举报此文章

查看全部

How can you optimize your SIEM system to reduce false positives and negatives?

1

2

3

4

5

6

1 Define your objectives

2 Tune your rules and filters

3 Integrate your data sources

4 Automate your workflows

5 Train your staff

6 Here’s what else to consider

Information Systems

给文章评分

感谢您的反馈

更多Information Systems相关文章

更多相关阅读内容

How can you optimize your SIEM system to reduce false positives and negatives?

1

2

3

4

5

6

1 Define your objectives

2 Tune your rules and filters

3 Integrate your data sources

4 Automate your workflows

5 Train your staff

6 Here’s what else to consider

Information Systems

给文章评分

感谢您的反馈

查看其他技能