OMB M-21-31:一个具有成本效益的替代和超越传统siem会见砖

2021年8月29日,美国行政管理和预算局(OMB)公布的一份备忘录按照拜登政府行政命令(EO) 12028,改善国家的网络安全。虽然EO要求联邦机构适应今天的网络安全威胁,它没有定义具体的实施细则。然而,这份备忘录(M-21-31)描述了一种四级成熟度模型与详细要求实现事件管理。M-21-31要求联邦机构来满足每个成熟度级别上升使用他们现有的网络安全预算。

早期与联邦机构的对话表明,他们设计的日志收集存储需求将增加4-10x的因素。因为许多机构使用遗留安全信息和事件管理(SIEM)平台收集和监控他们的日志,他们面临大规模增加许可和基础设施成本这些解决方案以满足要求。bob体育客户端下载

幸运的是,还有另一种体系结构使用砖Lakehouse平台网络安全机构可以使用快速,容易,以满足M-21-31需求没有叉车操作或过滤所需的原始记录。bob体育客户端下载在这个博客中,我们将讨论这个架构和如何使用砖来增强现有SIEM和安全编制自动化和响应(高飞)实现。我们还将概述M-21-31,遗留的缺陷siem履行使命和砖方法如何解决这些问题,同时提高操作效率和减少成本。

提高调查和修复能力

现在为什么M-21-31发布吗?最近的大规模网络攻击包括SolarWinds,log4j,殖民地的管道,铪和Kaseya,突出了复杂,复杂性和增加网络攻击的频率。除了联邦政府花更多的钱在2021年400万美元的事件这些网络威胁,也对国家安全构成严重威胁。政府认为安全持续的监控数据从一个机构的整个攻击表面时,事件后,需要检测,调查和补救的网络威胁。代理水平安全操作中心(SOC)也需要民主化,提高协作安全数据更有效的事件反应。

为事件日志管理成熟度模型

成熟度模型中描述M-21-31指导机构需求的实现四个事件日志记录(EL)层:EL0 - EL3:

机构的期望是立即开始提高性能达到完全符合要求的EL3由2023年8月。第一个截止时间是2021年10月当机构来评估他们的当前成熟度模型和识别资源和实现差距。从那里,机构预计将实现层通过三个每六个月。日志需求和技术细节的日志类别和保存期为每种类型的数据在备忘录中。几乎,保存期要求是活跃存储12个月和18个月寒冷的数据存储。

一个机构做什么?

一个机构如何去满足M-21-31和SOC需求中指定的备忘录吗?一般来说,M-21-31要求首席信息安全官(CISOs)成长日志收集许多测量4-10x目前的摄入水平。数据源收集的数量扩张与保留,或lookback时期。为了完成使命,你需要回答的第一个问题是,有多少你的机构每天摄取tb的数据?从这里,您可以确定当前SIEM许可成本的增加,增加基础设施成本和相关的管理成本。因为这总拥有成本(TCO)遗留siem直接相关数据摄取,现有的扩张成本架构可能是重要的。

传统SIEM与SIEM增大

M-21-31没有跟多的警告和是一个没有。机构需要一个解决方案,可以实现与现有的资源和预算。一些机构发现,扩大现有的TCO SIEM增加许可、存储、计算和整合资源每年将花费数千万美元。这只会增加成本,如果遗留建筑是本地,需要额外的出口新的云数据来源的成本。

SIEM增加使用一个基于云的数据\ lLakehouse遗留SIEM和尺度的好处他们支持M-21-31所需的高容量的数据来源。开放平台可bob体育客户端下载以集成和安全工具链提供的选择和灵活性。FedRAMP通过云平台允许您运行在您选择的云环境bob体育客户端下载数据保护的严格的安全执行。与一个可伸缩的、高性能的集成分析平台,计算和存储是解耦的,支持端到端流和批处理工作负载。bob体育客户端下载没有改革操作,特定的专业知识或极端的成本。只是一个你已经在使用增强的安全体系结构。

砖的方法:Lakehouse + SIEM

的政府机构已经准备好他们的安全数据基础设施现代化和更有效地分析数据在pb级别,砖提供了一个开放lakehouse平台,帮助下游民主化访问数据分析和人工智能(AI)。bob体育客户端下载

网络数据lakehouse是一个开放的体系结构,结合湖泊和数据仓库数据的最佳元素,简化了新员工培训安全数据源。的基础lakehouse砖三角洲湖,支持结构化、半结构化和非结构化数据所以联邦机构可以收集并存储所有必需的日志的安全基础设施。这些原始安全日志可以存储多年,在一个开放的格式,在云中对象商店亚马逊网络服务(AWS),微软Azure (Azure)或谷歌云(GCP)大大降低存储成本。
砖可用于正常的原料安全数据符合联邦机构分类法。也可以进一步处理的数据简化机构的创建安全记分卡和安全状况报告。此外,砖表实现访问控制的安全模型,授予不同级别的访问安全数据基于每个用户分配角色,以确保数据访问是严格管理。

网络lakehouse也是一个理想的平台实施检测和先进的分析。bob体育客户端下载建立在Apache火花,砖进行了优化处理大量的流媒体实时和历史数据的威胁分析和事件反应。安全团队可以查询海量历史数据拉伸几个月或几年过去,使档案长期威胁和漏洞进行深法医检查发现基础设施。砖允许安全团队构建预测威胁情报与一个强大的、易于使用的平台,发展人工智能和ML模式。bob体育客户端下载数据科学家可以构建机器学习模型,更好的分数警报从SIEM工具,减少评论家疲劳造成太多的假阳性。数据科学家还可以使用砖建造的机器学习模型,检测异常行为预定义的规则和已知的威胁以外的现有模式。提供一个例子,去年砖发表博客通过DNS分析检测罪犯和国家。这个博客包含一个笔记本,接受被动DNS数据到三角洲湖和执行先进的分析检测威胁和DNS中找到相关数据与威胁情报源。

此外,砖为企业创造了一个Splunk-certified附加增强Splunk安全(ES)的日志和保留扩张。为云级别的安全操作,设计扩展为Splunk分析师提供了访问所有数据存储在Lakehouse。Splunk和砖允许机构分析师之间的双向管道直接融入Splunk可视化和安全工作流。现在你可以与数据存储在lakehouse没有离开Splunk用户界面(UI)。和Splunk分析师可以包括砖数据搜索和合规/ SOC的仪表板。

下图提供了建议的解决方案概述:

砖+ Splunk:节约成本的案例研究

砖与SIEM /翱翔/集成UEBA您所选择的,但是因为很多机构使用Splunk, Splunk-certified砖插件可用于满足OMB和SOC的需要。下面的例子有一个全球媒体电信的安全操作,然而,同样的插件可以通过政府机构。

这个用例,电信公司希望实现M-21-31到底是什么要求机构:扩大lookback和数据摄入更好的网络安全。不幸的是,单独使用Splunk日志保留越多,更昂贵的维护。砖插件解决这个问题通过增加Splunk的效率。

摄取35结核病/天365天lookbacks可能成本10年代Splunk每年数百万的云。砖等大的资源可以利用DNS,云本机,PCAP——所有的安慰Splunk——不需要新的人员各项技能和较低的成本。

上面的图代表Splunk砖附加的结果与Splunk独自Splunk扩大。电信组织增加吞吐量从10 tb每天只有90天回头,与365天每天35结核病lookback使用砖SIEM增大。尽管数据吞吐量增长250%,超过四倍lookback期间,所有权的总成本,包括基础设施和许可证,保持不变。没有砖插件,这种扩张将花费10年代Splunk每年数百万的云,即使有巨大的折扣或剩余on-prem。

Splunk因为砖是一个插件,用户界面不会改变和无缝的用户体验。与我们Splunk-certified砖连接器的应用、集成使用,采用快速和容易。舒适的Splunk UI,机构可以保留现有的流程和过程,改善安全状况,和降低成本,同时满足M-21-31授权。

会议的授权而最大化最值最低的TCO

当然,你的机构将决定TCO的细微差别的时间内履行职责的要求。我们正在积极的砖附加Splunk是最有效的,注重解决增加日志和保留。这就是为什么砖创建了一个可编辑的ROI计算器个性化你的选择,让你的体重是你的选择对你的预算和可用的资源。与我们的专家资源指导你通过计算器,你会有一个清晰的理解砖如何帮助解决最紧迫的问题,实现对OMB M-21-31节省操作。

探索你的节约成本的机会与砖你浏览M-21-31授权。

接下来是什么

今天联系我们演示和ROI练习专注于帮助你保持符合OMB所需的时间不超过预算或使用不必要的资源。