OMB M-21-31:一个具有成本效益的替代方案，以满足和超越传统的SIEMs与数据

2021年8月29日，美国管理和预算办公室(OMB)根据拜登政府的备忘录发布了一份备忘录行政命令(EO) 12028，改善国家网络安全．虽然EO要求联邦机构适应当今的网络安全威胁形势，但它没有定义具体的实施指导方针。然而，备忘录(M-21-31)描述用于事件管理的四层成熟度模型以及详细的实现需求。M-21-31要求联邦机构使用现有的网络安全预算来满足每一个不断上升的成熟度级别。

与联邦机构的早期对话表明，他们预计的日志收集存储需求将增加4-10倍。由于许多机构使用传统的安全信息和事件管理(SIEM)平台来收集和监控他们的日志，为了满足要求，他们面临着这些解决方案的许可和基础设施成本的大幅增加。bob体育客户端下载

幸运的是，有一个使用Databricks Lakehouse平台进行网络安全的替代架构，机构可以使用它快速、轻松、经济地满足M-21-31的要求，而无需叉车操作或bob体育客户端下载过滤所需的原始日志。在这篇博客中，我们将讨论这种架构，以及如何使用Databricks来增强现有的SIEM和Security编制自动化和响应(SOAR)实现。我们还将概述M-21-31，传统siem在执行任务时的缺陷，以及Databricks方法如何在提高操作效率和降低成本的同时解决这些问题。

提高调查和补救能力

为什么现在发放M-21-31 ?最近的大规模网络攻击包括SolarWinds，log4j，殖民地的管道，铪而且Kaseya，凸显了网络攻击的复杂性和日益频繁。除了耗费联邦政府更多2021年每起事故400万美元在美国，这些网络威胁也对国家安全构成重大风险。政府认为，在网络威胁的检测、调查和补救中，需要在事件发生期间和之后持续监控机构整个攻击面的安全数据。机构级安全操作中心(SOC)还要求安全数据民主化，以改善协作，更有效地响应事件。

事件日志管理的成熟度模型

M-21-31中描述的成熟度模型指导机构通过四个事件日志(EL)层实现需求:EL0 - EL3:

预计各机构将立即开始提高绩效，到2023年8月完全符合EL3的要求。第一个最后期限是2021年10月，各机构必须根据该模型评估其目前的成熟度，并确定资源和执行方面的差距。从那里开始，机构预计每六个月达到一级到三级。备忘录中按日志类别和保留期限对每种类型的数据提供了日志记录要求和技术细节。几乎在所有领域，主动存储的保存期要求是12个月，冷数据存储的保存期要求是18个月。

一个机构该怎么做?

一个机构如何同时满足备忘录中规定的M-21-31和SOC要求?一般来说，M-21-31要求首席信息安全官(ciso)将日志收集增加到当前摄入水平的4-10倍。收集的数据源数量随着保留期(即回溯期)的增加而增加。为了完成任务，您需要回答的第一个问题是，您的机构每天摄取多少tb的数据?由此，您可以确定当前SIEM增加的许可成本、增加的基础设施成本和相关管理成本。由于遗留SIEMs的总拥有成本(TCO)与数据摄取直接相关，因此现有架构的扩展成本可能非常大。

传统SIEM vs. SIEM增强

M-21-31没有太多的警告，是一个没有资金支持的任务。机构需要一个可以用现有资源和预算实施的解决方案。一些机构发现，扩大现有SIEM以增加许可、存储、计算和集成资源的TCO每年将花费数千万美元。只有当遗留架构是本地的，并且需要新的云数据源的额外出口成本时，此成本才会增加。

使用基于云的数据\ lakehouse的SIEM增强利用了传统SIEM的优点，并扩展它们以支持M-21-31所需的高容量数据源。可以与ITbob体育客户端下载和安全工具链集成的开放平台提供了选择和灵活性。FedRAMP批准的云平台允许您在您选择的云环境上bob体育客户端下载运行，并具有严格的数据保护安全强制措施。集成可扩展的高性能分析平台，其中计算和存储是分离的，支持端到端流和批处理工作负载。bob体育客户端下载无需大修操作，无需专门的专业知识或极高的成本。只是您已经在使用的安全体系结构的一个扩展。

Databricks方法:Lakehouse + SIEM

对于那些准备对其安全数据基础设施进行现代化改造并更经济有效地分析pb级数据的政府机构来说，Databricks提供了一个开放的湖屋平台，有助于下游分析和人工智能(AI)对数据的民主化访问。bob体育客户端下载

网络数据湖屋是一种开放式架构，它结合了数据湖和数据仓库的最佳元素，并简化了入局安全数据源。湖屋的基础是Databricks Delta Lake，它支持结构化、半结构化和非结构化数据，因此联邦机构可以从其安全基础设施中收集和存储所有所需的日志。这些原始安全日志可以以开放格式在Amazon Web Services (AWS)、Microsoft Azure (Azure)或谷歌cloud (GCP)的云对象存储中存储数年，以显著降低存储成本。
数据库可用于标准化原始安全数据，以符合联邦机构的分类。数据还可以进一步处理，以简化机构安全记分卡和安全态势报告的创建。此外，Databricks实现了表访问控制，这是一种安全模型，根据每个用户分配的角色授予对安全数据的不同级别的访问，以确保数据访问受到严格控制。

网络湖屋也是实施检测和高级分析的理想平台。bob体育客户端下载Databricks构建在Apache Spark上，经过优化，可以处理大量流数据和历史数据，用于实时威胁分析和事件响应。安全团队可以查询过去几个月或几年的pb级历史数据，从而可以分析长期威胁，并进行深入的取证审查，以发现基础设施漏洞。Databricks使安全团队能够通过一个强大的、易于使用的平台来开发AI和ML模型来构建预测威胁情报。bob体育客户端下载数据科学家可以建立机器学习模型，更好地对来自SIEM工具的警报进行评分，减少因误报过多而导致的审查疲劳。数据科学家还可以使用Databricks构建机器学习模型，以检测存在于预定义规则和已知威胁模式之外的异常行为。举个例子，去年Databricks发表了一篇关于通过DNS分析检测犯罪分子和国家．本博客包括一个笔记本，它将被动DNS数据输入Delta Lake，并执行高级分析来检测威胁，并发现DNS数据与威胁情报馈送中的相关性。

此外，Databricks创建了一个Splunk认证的插件，以增强Splunk企业安全(ES)的成本效益日志和保留扩展。该插件专为云级安全操作而设计，为Splunk分析师提供了访问存储在Lakehouse中的所有数据的权限。Splunk和Databricks之间的双向管道允许机构分析师直接集成到Splunk可视化和安全工作流程中。现在，您无需离开Splunk用户界面(UI)就可以与存储在湖屋中的数据进行交互。Splunk分析师可以在搜索和合规/SOC仪表板中包含Databricks的数据。

建议的解决方案概述如下图所示:

Databricks + Splunk:一个节省成本的案例研究

Databricks与您选择的SIEM/SOAR/UEBA集成，但由于许多机构使用Splunk, Splunk认证的Databricks插件可用于满足OMB和SOC的需求。以下示例介绍了一家全球媒体电信公司的安全操作，然而，政府机构也可以使用相同的附加组件。

对于这个用例，电信公司想要实现M-21-31要求机构做的事情:扩大回溯和数据获取，以更好地实现网络安全。不幸的是，单独使用Splunk，保留的日志越多，维护的成本就越高。Databricks插件通过提高Splunk的效率解决了这个问题。

在Splunk Cloud中，每天摄入35TB, 365天回溯，每年可能花费数千万美元。数据库可以用于大型资源，如DNS, Cloud Native, PCAP -所有这些都来自Splunk -不需要新的人员技能和较低的成本。

上图显示了Splunk的Databricks插件与Splunk单独和Splunk展开后的结果。该电信组织使用Databricks SIEM增强技术将吞吐量从每天10TB(仅90天回溯)增长到每天35TB(365天回溯)。尽管数据吞吐量增加了250%，回顾期间增加了四倍多，但包括基础设施和许可证在内的总拥有成本保持不变。如果没有Databricks插件，Splunk Cloud的这种扩展每年将花费数千万美元，即使有很大的折扣或保持在预置。

因为Databricks是Splunk的附加组件，你的用户界面不会改变，用户体验是无缝的。随着我们的splunk认证的Databricks连接器应用程序，集成，使用和采用是快速和容易的。从Splunk UI的舒适，机构可以保持现有的流程和程序，改善安全态势，并降低成本，同时满足M-21-31的任务。

以最低的TCO实现最大的价值

当然，您的机构的细微差别将决定TCO在时间要求内完成任务。我们确信，Splunk的Databricks插件是提高日志和留存率的最有效和最具成本意识的解决方案。这就是为什么Databricks创建了一个可编辑的ROI计算器来个性化您的选择，让您根据您的预算和可用资源来权衡您的选择。在我们的专家资源的指导下，您将清楚地了解Databricks如何帮助您解决最紧迫的问题，并为OMB M-21-31实现显著的运营节省。

当您浏览M-21-31任务时，使用Databricks探索您的成本节约机会。

接下来是什么

今天就联系我们演示和ROI练习的重点是帮助您在不超出预算或使用不必要的资源的情况下保持符合OMB要求的时间线。