اختارت شركة r-tec منصة عمليات الأمن من Exabeam لدعم مركز العمليات الأمنية لديها، وخدمات الاستجابة للحوادث، وخدمات MDR.

r-tec هي شركة أمنية مقرها ألمانيا ولها مواقع في ألمانيا وبلغاريا، تقدم خدمات مركز العمليات الأمنية الخارجية (SOC)، بما في ذلك خط ساخن للاستجابة للحوادث على مدار الساعة وطوال أيام الأسبوع (IR) ومساعدة في الكشف والاستجابة المدارة (MDR) لعملائها. أدرك مركز الدفاع السيبراني (CDC) التابع لـ r-tec، الذي يقوده سيباستيان بيتيغ، أن نظام إدارة المعلومات الأمنية والأحداث (SIEM) القديم الذي كانوا يعتمدون عليه لتلبية احتياجات أمان عملائهم لم يكن كافيًا. كان النظام القديم يرهق المستجيبين في CDC والعملاء بالإنذارات، مما خلق عبئًا كبيرًا على المحللين الذين يعانون من إرهاق الإنذارات.

أراد فريق r-tec حلاً لـ SIEM قائم على السحابة مدعومًا بأتمتة ذكية لتحقيق رؤية كاملة وقدرات MDR من الجيل التالي. كما أراد Bittig وفريقه منصة SIEM متطورة تناسب بيئة الشركة وعملائها.

اختار فريق CDC في r-tec إكسيبيم SIEM، جزء من منصة عمليات الأمن من Exabeam، ليحل محل حل SIEM القديم لديهم، وكانت النتائج ملحوظة. تحسنت مقاييس الكشف، وتقلصت أوقات التشغيل، وانخفضت الأعباء، وأصبحت الإنذارات قابلة للإدارة بالنسبة للمهنيين في التحليلات الذين أصبحوا ممتنين الآن. تستفيد r-tec الآن من مزايا حل SIEM مدفوع بالذكاء والتلقائية للجيل التالي لشركتهم والعديد من العملاء الذين يعتمدون عليهم في خدمات الاستجابة للحوادث الرائدة في الصناعة وخدمات إدارة التهديدات.

تحديات تواجهها تقنيات SIEM التقليدية وحجم التنبيهات.

يقدم فريق CDC في شركة r-tec، الذي يضم أكثر من 20 موظف أمان، استجابة للحوادث على مدار الساعة وطوال أيام الأسبوع ومساعدة MDR لعملائه المحليين في ألمانيا وعملائها العالميين. توفر r-tec خطاً ساخناً للحوادث وخدمة مراقبة البيئة حيث يقوم محللو CDC بتقييم الإنذارات وتفعيل المساعدة في MDR للعملاء عند الحاجة.

كان فريق مركز السيطرة على الأمراض (CDC) مشغولًا دائمًا، لكنه كان يعرف أنه حان الوقت للترقية إلى أحدث التقنيات المتاحة اليوم. مثل العديد من الشركات، كانوا يتعاملون مع تكنولوجيا SIEM التي أصبحت قديمة بسرعة، وكانت تفتقر إلى القدرة على الذكاء، وتركز الكثير من العمل على الفريق، الذي كان عليه تحديث مجموعات القواعد باستمرار وتطوير محتوى خاص بهم لتغطية العديد من حالات الاستخدام الجديدة. "مع وجود حل SIEM القديم، لم نتمكن من الحصول على عدد كافٍ من الموظفين المهرة لتوظيف فريقنا، وكان المحللون الذين لدينا يشعرون بالإحباط ولم يرغبوا في الاستمرار في العمل معه، وكانت خدمتنا تصبح باهظة الثمن جدًا لعملائنا،" يشرح بيتيغ.

في تحدٍ آخر لفريق CDC، أدى الحل القديم لإدارة معلومات الأمان (SIEM) إلى حجم هائل من الإنذارات. عانى المحللون من إرهاق الإنذارات أثناء محاولتهم التعامل مع تحليلات البيانات العميقة التي تستغرق وقتًا طويلاً، واستعلامات البحث عن التحليل، والحاجة إلى بناء معايير بيئية يدويًا.

حان الوقت لحل تكنولوجي من الجيل التالي.

في أبريل 2021، كان فريق CDC يعلم أنهم لا يستطيعون الانتظار أكثر لإجراء تغييرات كبيرة. بدأ صانعو القرار في r-tec في استكشاف خيارات جديدة لنظام إدارة معلومات الأمن (SIEM)، لكن لم يكن أي حل للكشف عن التهديدات والتحقيق والاستجابة (TDIR) كافياً. أراد سيباستيان وفريق CDC حلاً متطوراً يعتمد على السحابة مع جميع ميزات الجيل التالي للسحابة لكل من مركز العمليات الأمنية الداخلي وخدمات مركز العمليات الأمنية. كما أرادوا تكنولوجيا SIEM مدعومة بالتعلم الآلي (ML) والذكاء المدفوع بالأتمتة القادرة على توفير رؤية كاملة لمصادر السجلات، والتكامل بسلاسة مع أنظمة الحلول الأخرى، وتقليل عدد الإنذارات.

كان تقليل حجم إنذارات العملاء أمرًا حاسمًا. يوضح بيتتيغ: "لم يرغب عملاؤنا في أن يتم إزعاجهم بالإنذارات غير ذات الصلة. كانوا يريدون التركيز على أعمالهم وعدم القلق بشأن الأمان، مع العلم أنهم في أيدٍ أمينة وأننا نستخدم أفضل التقنيات التي يمكننا العثور عليها لحمايتهم. إذا حدث شيء، يمكننا اكتشافه بسرعة والاستجابة بفعالية. هذه هي أهم نقطة بالنسبة لهم."

اختار Bittig وفريقه في CDC منصة عمليات الأمن من Exabeam لتلبية احتياجات SIEM الداخلية للشركة ودعم خط الهاتف الخاص بالاستجابة للحوادث وخدمات MDR. كانت منصة Exabeam الخيار المثالي حيث قدمت جداول زمنية تلقائية، ونماذج تعلم آلي، وميزات استجابة معبأة تلقائيًا، وأتمتة.

"تقدم Exabeam إنذارًا أوليًا يتبعه على الفور معلومات سياقية حول شدة الإنذار والجداول الزمنية إذا كانت هناك حاجة لمزيد من البيانات. نظام SIEM يدفع فقط بالإنذارات الجادة، لذا نعرف إذا كنا بحاجة إلى الانتقال إلى وضع الاستجابة للحوادث،" يقول بيتيغ.

يواجه فريق r-tec CDC العديد من حوادث الفدية وغيرها الناتجة عن بيانات اعتماد مخترقة، وقد أثر هذا الاتجاه المقلق في اختيار r-tec لشركة Exabeam. يوضح Bittig: "في 90% من الهجمات الحقيقية، نرى استخدام بيانات اعتماد مخترقة، والتي يمكن أن تكون من الصعب اكتشافها والدفاع ضدها. اخترنا Exabeam لأن أدواتهم يمكن أن تكتشف بنجاح هذه الأنواع من الهجمات حيث يستخدمون العديد من المصادر، وليس فقط تنبيهات الأمان. تقنيتهم تحلل بفعالية وتحدد الاستخدام الطبيعي لتنبه بسرعة عن مستخدم أو بيانات اعتماد مخترقة."

"يقدم Exabeam إنذارًا أوليًا يتبعه على الفور معلومات سياقية حول شدة الإنذار والجداول الزمنية إذا كانت هناك حاجة لمزيد من البيانات. نظام SIEM يتقدم فقط مع الإنذارات الجادة، لذا نعرف إذا كنا بحاجة إلى الانتقال إلى وضع الاستجابة للحوادث."

في النهاية، مقاييس محسّنة ومحللون سعداء.

بدأت منصة عمليات الأمن من Exabeam في تحسين مقاييس SIEM الخاصة بالشركة والعملاء على الفور. انخفضت أوقات تسجيل الدخول بنسبة 70%، لذا ما كان يستغرق شهورًا مع حل SIEM القديم أصبح الآن يستغرق أيامًا فقط. انخفضت المكالمات الهاتفية للعملاء التي تحقق في أنماط السلوك العادية وغير العادية بنسبة 80%، مما وفر للجميع الكثير من الوقت. منذ استبدال حل SIEM القديم بـ Exabeam، انخفض متوسط الوقت للاعتراف (MTA) في r-tec بنسبة 50%، ليصبح الآن حوالي 9 دقائق، ومتوسط وقت الحل الآن لا يتجاوز 17 دقيقة.

ماذا يعني انتقال شركة r-tec إلى Exabeam لعملاء خدمات مركز العمليات الأمنية (SOC)؟ "العديد من عملائنا في خط الاستجابة للحوادث يتصلون بدون حلول SIEM أو IR، لذا يمكن أن تكون الهجمات معقدة وتؤدي إلى أضرار كبيرة. إذا كان لديهم خدمتنا الحالية مع Exabeam، يمكن منع هذه الهجمات في 80-90% من الحالات،" وفقًا لبتيغ.

تُبلغ فريق CDC في r-tec بسعادة عن مدى فعالية منصة عمليات الأمن من Exabeam في تقليل العدد الإجمالي للإنذارات. يُظهر نظام تسجيل الإنذارات من Exabeam فقط الإنذارات الأكثر أهمية، لذا فإن العدد الإجمالي للإنذارات قد انخفض، وكذلك الإنذارات غير الضرورية، التي انخفضت بنسبة 60%. كما أن المحللين الذين كانوا يشعرون بالإرهاق من الإنذارات سعداء أيضًا بقرار r-tec استبدال حل SIEM القديم بـ Exabeam، كما يوضح بيتتيغ: "لذا فإن المحللين لا يشعرون بالإرهاق كما كانوا من قبل. لا يمكنك قياس ذلك بشكل كمي، لكنني أتلقى تعليقات من المحللين بأن العمل مع Exabeam أكثر متعة بكثير مقارنة بالعمل مع حل SIEM القديم."

Website: https://www.r-tec.net/home.html