SIEM
ב-2016, ה-DNC (Democratic National Committee) נפרצה על ידי APT28. הם היו בתוך הרשת יותר מ-6 שבועות לפני שמישהו שם לב. אחרי האירוע, חוקרי CrowdStrike שסייעו בחקירה אמרו שה-signs היו שם - logs שהכילו evidence של Lateral Movement, PowerShell חריג, ו-network connections לא נורמליים. אבל לא היה כלי שאסף את ה-logs האלה יחד, קורלט ביניהם, ויצר alert. אחרי האירוע - ה-DNC הטמיע Splunk.
SIEM הוא לא magic bullet. אבל בלי SIEM, כמות המידע שצריך לנתח ידנית הופכת כל SOC - ולו עם הכי טובים - לפגיע.
SolarWinds Orion customers running the SUNBURST backdoor (2020)
The Big Three SIEMs
Splunk
הסטנדרט בארגונים גדולים - SPL חזק, ES מוסיף RBA. יקר אבל בוגר
ELK / Elastic SIEM
open-source, גמיש, עוצמתי. דורש expertise תפעולי גבוה
Microsoft Sentinel
cloud-native, KQL, native ל-M365 ו-Azure. משתלם לארגוני Microsoft