Aryaka Startet ein Programm zur Migrationsbeschleunigung, um Organisationen dabei zu helfen, veraltete Netzwerksicherheitsprodukte zu ersetzen

Pressemitteilung lesen > X
aryaka aryaka
«Zurück zum Blog

Einheitlicher SASE ermöglicht Beobachtbarkeit mit Präzision

By Srini Addepalli | 9. August 2023

Um Wikipedia zu zitieren: „Beobachtbarkeit“ stammt aus der Kontrolltheorie, die misst, wie gut der Zustand eines Systems anhand seiner Ausgaben bestimmt werden kann. In ähnlicher Weise bezieht sich Beobachtbarkeit in der Software darauf, wie gut wir den Zustand eines Systems anhand der erhaltenen Telemetrie, einschließlich Metriken, Protokollen, Ablaufverfolgungen und Profilerstellung, verstehen können.

Der aktuellen Sichtbarkeit und Überwachung mangelt es an Verhaltensintelligenz

Herkömmliche Überwachung wird üblicherweise zur visuellen Überwachung und Identifizierung von Problemen im Zusammenhang mit Anwendungen, Netzwerken und Endpunkten in Bezug auf Leistung, Zustand, Benutzererfahrung, Sicherheit und Ausfallsicherheit eingesetzt. Warnungen werden mit Überwachung kombiniert, um kritische Ereignisse umgehend per E-Mail, SMS und Dashboards zu benachrichtigen. Diese herkömmliche Überwachung, die von APMs, NPMs und SIEMs verwendet wird, arbeitet mit „bekannten Unbekannten“, bei denen die Risiken im Voraus bekannt sind, der genaue Zeitpunkt ihres Auftretens jedoch unbekannt bleibt. Eine solche Überwachung reicht für einfache Systeme mit einer begrenzten Anzahl von Einheiten aus, bei denen die Fehlerbehebung einfach und offensichtlich ist.

Allerdings enterpAufstiegssysteme sind mit dem Aufkommen mehrerer Architekturen, wie z. B. verteilter Anwendungen, Multi-Architekturen, komplexer geworden.cloud Bereitstellungen, Edge-Computing und Kollaborationsanwendungen mit zahlreichen Partnern. Darüber hinaus hat die mit diesen Architekturen verbundene erweiterte Angriffsfläche dazu geführt, dass die herkömmliche Überwachung und die einfachere Korrelation unzureichend sind. Die alleinige Adressierung „bekannter Unbekannter“ reicht nicht aus.

Observability-Plattformen machen einen Schritt nach vorne, indem sie unerwartete Risiken identifizieren, die zuvor nicht berücksichtigt wurden. Diese Plattformen sind für den Umgang mit „unbekannten Unbekannten“ konzipiert und bieten schnellere und genauere Fehlerbehebungs- und Debugging-Systeme, indem sie einen umfassenden Einblick in deren Leistung, Zustand, Sicherheit und Verhalten bieten.

Dieser Beitrag konzentriert sich auf die Beobachtbarkeit, die durch die gesammelten Eingaben optimal erreicht wird SASE (Secure Access Service Edge) Netzwerk- und Sicherheitskomponenten. Insbesondere untersuchen wir Observability-Anwendungsfälle im Zusammenhang mit Verhaltensanomalien, um anomales Verhalten von Benutzern, Netzwerken, Anwendungseinheiten und Internetzugang zu identifizieren.

Observability-Plattformen sind stark von der Qualität der Eingabedaten abhängig, die sie erhalten. In diesem Zusammenhang beschäftigen wir uns mit dem Wie SASE Lösungen bieten umfangreiche Daten in Form von Protokollen, Metriken und Traces und wie Observability-Systeme diese Daten nutzen können, um verschiedene Anwendungsfälle zu bewältigen. Durch die Nutzung von Erkenntnissen aus SASE Observability-Lösungen können ihre Fähigkeiten erweitern, was zu einer verbesserten Überwachung, einer proaktiven Risikoerkennung und einer robusten Systemanalyse führt. Kombinieren SASE und Observability bietet einen leistungsstarken Rahmen zur Überwachung und Sicherung moderner TechnologienerpSysteme effektiv anheben.

SIEM, NPM, NDR, APM, XDR – Die Anomalieerkennung ist begrenzt

In der heutigen Landschaft stehen zahlreiche Sichtbarkeits- und Überwachungstools zur Verfügung, von denen jedes seine jeweiligen Funktionen beherrscht. Allerdings weisen sie bestimmte Einschränkungen auf, vor allem im Hinblick auf die verhaltensbasierte Anomalieerkennung und die begrenzte Ereigniskorrelation, die ihre Fähigkeit beeinträchtigen, eine detaillierte Sichtbarkeit und Ursachenanalyse bereitzustellen. Unserer Ansicht nach sollten diese Tools letztendlich Verhaltensanalysen/prädiktive Analysen und eine tiefere Sichtbarkeit umfassen und die Anforderungen von Leistungs-, Sicherheits- und Belastbarkeitssystemen erfüllen.

Um die Vollständigkeit zu gewährleisten, ist das Hinzufügen von User and Entity Behavioral Analytics (UEBA)-Funktionalität für diese Tools von entscheidender Bedeutung. Darüber hinaus sind wir der festen Überzeugung, dass eine erfolgreiche Beobachtbarkeit verbesserte Korrelationsfähigkeiten erfordert. Um eine bessere Korrelation zu erreichen, werden relevante Daten von Netzwerkgeräten, Sicherheitsgeräten, Identitätssystemen und Anwendungsinfrastrukturen benötigt. Aufgrund unterschiedlicher Protokollinhalte, Metriken sowie Protokollschemata und -formate stellt es jedoch eine Herausforderung dar, diese Informationen konsistent über Geräte und Systeme verschiedener Anbieter hinweg zu erhalten. Die größte Herausforderung sind die inkonsistenten und fehlenden Informationen, die für eine umfassende Analyse erforderlich sind.

Einheitlicher SASE, das mehrere Netzwerk- und Sicherheitsfunktionen eines einzigen Anbieters in einer zusammenhängenden Architektur vereint, kann die Belastung dieser Tools in Bezug auf Korrelation und Verhaltensanalysen verringern – mehr dazu in späteren Abschnitten.

Lassen Sie uns tiefer in UEBA eintauchen und die Art der Protokolle und Metriken untersuchen, die von der Datenebene von Unified erwartet werden SASE.

Verhaltensanalysen für Benutzer und Entitäten

Die Cybersicherheitsbranche hat den Begriff „User and Entity Behavior Analytics“ (UEBA) geprägt. Es bezieht sich auf die Überwachung und Analyse des Verhaltens von Benutzern (z. B. Mitarbeitern, Auftragnehmern und Partnern) und Einheiten (z. B. Geräten, Anwendungen und Netzwerken) innerhalb des Netzwerks einer Organisation, um Anomalien oder Verdächtige zu erkennenciouns Aktivitäten.

UEBA-Lösungen nutzen in der Regel erweiterte Analysen und maschinelles Lernen (AI/ML) Techniken zur Festlegung einer Grundlinie des normalen Verhaltens für jeden Benutzer und jede Entität. Sobald die Basislinie festgelegt ist, vergleicht das System kontinuierlich das Echtzeitverhalten mit dieser Basislinie, um Abweichungen oder Anomalien zu erkennen, die auf potenzielle Sicherheitsbedrohungen oder ungewöhnliche Aktivitäten hinweisen können. Es ist auch wichtig zu beachten, dass sich die Basislinie mit der Zeit ständig ändert, weshalb eine Aktualisierung der Basislinie und ein entsprechendes kontinuierliches Modelltraining erforderlich sind.

Ziel von UEBA ist es, ungewöhnliche Muster oder Verhaltensweisen zu identifizieren, die von herkömmlichen Sicherheitsmaßnahmen möglicherweise unbemerkt bleiben, und Organisationen dabei zu helfen, Insider-Bedrohungen, kompromittierte Konten, unbefugten Zugriff und andere Verdachtsmomente zu erkennenciouns Aktivitäten. Durch die Analyse des Verhaltens liefert UEBA zusätzlichen Kontext und Einblicke in potenzielle Sicherheitsvorfälle, sodass Sicherheitsteams schnell und effektiv reagieren können.

Obwohl UEBA im Kontext der Cybersicherheit definiert wird, ist die Erkennung von Verhaltensanomalien nicht auf die Cybersicherheit beschränkt, sondern bezieht sich auf Leistungsaspekte von Einheiten wie Anwendungen und Netzwerken.

Einige in der Industrie sagen, und ich stimme zu, dass die Realisierung einer Zero Trust Architecture (ZTA) entweder mit Service Mesh oder SASE Technologien, ist nur dann vollständig, wenn sie UEBA in ihr Angebot aufnehmen.

Da die UEBA von Anomalien spricht, wollen wir zunächst den Begriff „Anomalieerkennung“, verschiedene Arten von Anomalien und Techniken zur Erkennung von Anomalien verstehen.

Anomalieerkennung für Cybersicherheit

Dieser Blogbeitrag, Was ist Anomalieerkennung? Bietet einen hervorragenden Überblick über die Anomalieerkennung. Vereinfacht ausgedrückt geht es bei der Anomalieerkennung darum, ungewöhnliche Punkte oder Muster innerhalb eines Datensatzes zu identifizieren. Jede Abweichung von einer festgelegten Grundlinie innerhalb einer vordefinierten Toleranz wird als Anomalie betrachtet. Während Anomalien harmlos und besorgniserregend sein können, ist die Erkennung von Mali wichtigcioUS-Anomalien sind in der Cybersicherheitsbranche von größter Bedeutung.

Die unbeaufsichtigte Anomalieerkennung ist für die Cybersicherheit besonders wichtig, da sie dabei hilft, bisher ungesehene Ereignisse zu erkennen, ohne sich auf Vorkenntnisse zu verlassen. Mit anderen Worten: Dieser unbeaufsichtigte Ansatz ist für die Erkennung „unbekannter Unbekannter“ im Zusammenhang mit Sicherheitsbedrohungen unerlässlich.

Die Erkennung von Anomalien kann mit verschiedenen Techniken erfolgen, wobei manchmal statistische Tools zum Einsatz kommen und manchmal maschinelle Lernalgorithmen erforderlich sind. Zwei beliebte Arten von Algorithmen für maschinelles Lernen, die zur Anomalieerkennung verwendet werden, sind:

  • Clustering: Clustering ist eine Technik, die Datenpunkte basierend auf ihrer Ähnlichkeit oder Entfernung gruppiert. Anomalien können beim Clustering identifiziert werden, indem Datenpunkte erkannt werden, die zu keinem Cluster gehören oder deutlich von ihrem nächsten Clusterzentrum entfernt sind. Beispiele für Clustering-Algorithmen sind K-Means.
  • Dichteschätzung: Die Dichteschätzung ist eine Technik, die die Wahrscheinlichkeitsverteilung der Daten schätzt. Anomalien können mithilfe der Dichteschätzung erkannt werden, indem Datenpunkte mit geringer Wahrscheinlichkeitsdichte oder in Regionen mit geringer Dichte gefunden werden. Zu den gängigen Algorithmen zur Dichteschätzung gehören Isolation Forest, Kernel Density Estimation und mehr.

Wir werden hier nicht auf deskriptive Analysen eingehen, da viele Überwachungssysteme sie bereits unterstützen. Der Schwerpunkt liegt hier auf der Verhaltensanalyse, einem Teilgebiet der Predictive Analytics. Wie bereits erwähnt, ist die Erkennung von Anomalien für die Cybersicherheit relevant, und daher werden wir uns hier mit der Erkennung von Anomalien befassen.

Einige Beispiele für Anomalieerkennungen können dabei helfen, die Art der erwarteten Informationen zu verstehen SASE Lösungen, insbesondere User and Entity Behavior Analytics (UEBA) und Observability im Allgemeinen. In den folgenden Abschnitten stellen wir Anomalieerkennungen vor, die für die Cybersicherheits- und Netzwerkbranche erforderlich sind.

Wie bereits erwähnt, ist es auch wichtig, über ein generisches Anomalieerkennungssystem mit mehreren Funktionen zu verfügen, um alle Erkennungstypen zu identifizieren, die vorher nicht bekannt sind. Ein wichtiger Gesichtspunkt bei der Identifizierung unbekannter Erkennungstypen besteht darin, dass die Eingabeprotokolle und Metrikdaten umfassend sein müssen.

Hier einige Beispiele für Anomalieerkennungen:

Anomalien im Benutzerverhalten:

  • Benutzer, die auf das Internet zugreifen, SaaS, und EnterpAnstieg von Anwendungen von Standorten aus, die von ihren normalen Mustern abweichen.
  • Benutzer greifen im Vergleich zu ihrem regulären Nutzungsverhalten zu ungewöhnlichen Zeiten auf Dienste zu.
  • Benutzer greifen in kurzer Zeit von mehreren Standorten aus auf Anwendungen zu, was unplausibel erscheint.
  • Benutzer greifen über anonyme Proxys auf Dienste zu, was Sicherheitsbedenken aufwirft.
  • Benutzer, die über suspi auf Dienste zugreifencioUS-IP-Adressen, die möglicherweise mit Mali in Verbindung stehenciouns Aktivität.
  • Benutzer, die auf suspi zugreifencious-Domains bzw URLs, die auf potenzielle Sicherheitsbedrohungen hinweisen.
  • Benutzer dispEs legt ungewöhnliches Download-/Upload-Verhalten bei Dateien fest, das Aufmerksamkeit erfordert.
  • Benutzer mit atypischem Zugriff auf Anwendungen, Internetseiten usw SaaS um weitere Anwendungsbeispiele zu finden.

Ungewöhnliche Benutzeraktivität:

  • Ungewöhnliche Anzahl von Anmeldungen eines Benutzers, was auf kompromittierte Anmeldeinformationen oder unbefugte Zugriffsversuche hinweisen könnte.
  • Ungewöhnliche Anzahl von Anmeldefehlern, was auf mögliche Brute-Force-Angriffe oder Authentifizierungsprobleme schließen lässt.
  • Ungewöhnlicher Zugriff auf verschiedene Anwendungs-URIs, der möglicherweise weitere Untersuchungen erfordert.
  • Ungewöhnlich viele Fernzugriffe VPN Tunnel von einem bestimmten Benutzer oder global über Benutzer hinweg.

Anomalien beim Anwendungszugriff:

  • Zugriff auf die Anwendung durch unbekannte Benutzer, was eine Überprüfung ihrer Legitimität erfordert.
  • Ungewöhnlicher Zugriff von Benutzern auf verschiedene Abschnitte oder Bereiche innerhalb der Anwendungen.
  • Ungewöhnliche Downloads/Uploads von Daten durch Benutzer, die möglicherweise auf Datenexfiltration oder unbefugte Datenübertragungen hinweisen.
  • Ungewöhnlicher Zugriff von bisher unbekannten Orten aus, was Sicherheitsbedenken hervorrufen könnte.
  • Ungewöhnlicher Zugriff auf Anwendungen zu unerwarteten Zeiten durch Benutzer oder bestimmte Benutzer, der eine Untersuchung erfordert.
  • Ungewöhnlicher Zugang von ISPs noch nie zuvor gesehen, was auf einen Verdacht hindeuten könnteciouns Aktivitäten.
  • Erkennung ungewöhnlicher HTTP-Anfrageheader beim Zugriff auf Anwendungsressourcen.
  • Erkennung ungewöhnlicher URI-Längen beim Zugriff auf Anwendungsressourcen.
  • Ungewöhnliche Verwendung verschiedener Benutzeragenten, die möglicherweise mit Mali in Zusammenhang stehenciouns Absicht.
  • Ungewöhnliche Latenz von Transaktionen auf HTTP-Ebene.

Netzwerkanomalien: Beachten Sie, dass das Internet als eines der Netzwerke gilt.

  • Anomalien in der Menge des eingehenden Datenverkehrs, des ausgehenden Datenverkehrs oder ihrer kombinierten Werte für ein bestimmtes Netzwerk.
  • Anomalien im Verkehrsaufkommen für verschiedene Protokollsätze.
  • Anomalien bei der Anzahl der Verbindungen zu Ressourcen im Netzwerk.
  • Anomalien bei der Anzahl der Transaktionen mit Ressourcen im Netzwerk.
  • Anomalien bei der Anzahl der Transaktionen pro Verbindung.
  • Anomalien in der Latenz beim Zugriff auf Ressourcen im Netzwerk.
  • Anomalien im Datenverkehr zwischen den Netzwerken.

Bedrohungsanomalien:

  • Anomalien in der Anzahl der Sitzungen, die vermutet werdencioUS-IP-Adressen, die auf mögliche Versuche hinweisen, mit Mali zu kommunizierenciouns Einheiten.
  • Anomalien in der Anzahl der Sitzungen, die vermutet werdencioUS-Domainnamen, die auf Kontakt mit nicht vertrauenswürdigen oder kompromittierten Domains hinweisen können.
  • Anomalien in der Anzahl der Sitzungen, die vermutet werdencious URLs, die auf potenzielle Bedrohungen im Webverkehr hinweisen.
  • Anomalien bei der Anzahl der Downloads/Uploads von mit Malware infizierten Dateien, was auf potenzielle Cyberangriffe hinweist.
  • Anomalien bei der Anzahl der Sitzungen an Unbefugte oder Malicious SaaS und Cloud Dienstleistungen.
  • Anomalien bei der Anzahl der abgelehnten Sitzungen, die möglicherweise auf Sicherheitsmaßnahmen am Arbeitsplatz hinweisen.
  • Anomalien bei der Anzahl der abgelehnten Transaktionen, was auf mögliche Sicherheitsbedrohungen oder betrügerische Aktivitäten hindeutet.

Observability-Plattformen mit UEBA bieten in der Regel die oben genannten Erkennungen. Für unbekannte Risiken kann ein generisches Clustering-Modell eingesetzt werden, um neue Anomalien zu erkennen, die überwacht werden sollten. Dieses generische Modell sollte mehrere Funktionen umfassen.

Da für die meisten der oben aufgeführten Anomalien Basisdaten erforderlich sind, um Anomalien genau zu identifizieren, ist es für Observability-Plattformen von entscheidender Bedeutung, den Lernmodus zu aktivieren. Manchmal kann das Lernen dynamisch sein, sodass die Konfiguration anhand der Daten der letzten X Tage nach Anomalien des aktuellen Tages suchen kann.

Da möglicherweise mehrere Modelle erforderlich sind, müssen Observability-Plattformen skalierbar und in der Lage sein, die Last zum Trainieren und Unterstützen mehrerer Modelle zu bewältigen.

Bedrohungsintelligenz mit Genauigkeit

Die genaue Erkennung von Verhaltensanomalien bei Bedrohungen ist auf aktuelle Informationen von Bedrohungsdatenanbietern angewiesen. Während SASE Systeme führen zum Zeitpunkt des Datenverkehrs eine erste Bedrohungserkennung durch. Die zu diesem Zeitpunkt gesammelten Bedrohungsinformationen können jedoch veraltet sein. Threat-Intelligence-Anbieter werten kontinuierlich den Reputationswert von IP-Adressen, Domänennamen usw. aus. URLs, Dateien, SaaS Dienste nutzen und ihre Feeds mit den neuesten Informationen aktualisieren. Dies kann jedoch zu einer zeitlichen Lücke zwischen dem Auftreten tatsächlicher Bedrohungen und der Aktualisierung der Threat-Intelligence-Feeds führen.

Folglich können alle Verbindungen oder Transaktionen, die vor diesen Feed-Updates stattfinden, dazu führen, dass auf der Datenebene die korrekte Klassifizierung des Datenverkehrs fehlt. Um dieser Herausforderung zu begegnen, untersuchen UEBA-basierte Observability-Plattformen kontinuierlich frühere Zugriffe proaktiv und ergänzen die Daten mit neuen Bedrohungsinformationen. Diese Plattformen informieren dann die IT-Bedrohungssuchteams über die Änderungen in den Informationen und ermöglichen es den Bedrohungsjägern, tiefer in potenzielle Bedrohungen einzutauchen.

Einheitlicher SASE fasst Protokolle, Metriken und Traces präzise zusammen

Die Vollständigkeit und Genauigkeit aller Analysen, einschließlich deskriptiver, prädiktiver, diagnostischer und präskriptiver Analysen, hängen stark von der Qualität der Protokolle ab, die von der Observability-Plattform empfangen werden. Hier ist Unified SASE Lösungen wirklich herausragend.

Herkömmliche Observability-Plattformen sind auf Protokolle und Metriken verschiedener Anbietersysteme angewiesen, z. B. Firewall-Appliances, UTM-Appliances, Anwendungen, Identitätsdienste, Webanwendungs-Firewalls, IDS/IPS-Systeme, DNS Sicherheitssysteme und mehr. Die Verwaltung von Protokollen mehrerer Anbieter bringt jedoch mehrere Herausforderungen mit sich:

  • Unzureichende Informationen in den Protokollen.
  • Verschiedene Protokollformate/-schemata.
  • Ständige Änderungen der Protokollmeldungen und des Formats durch Anbieter.
  • Schwierigkeiten bei der konsistenten Zuordnung von Protokollen von Netzwerk-/Sicherheitsgeräten zu bestimmten Verkehrssitzungen, Benutzern oder Anwendungen.
  • Eine große Anzahl von Protokollen mit doppelten Informationen, was zu Protokollbomben und Protokollabwürfen führt.
  • Für die Protokollkorrelation und die Verarbeitung des großen Protokollvolumens ist zu viel Rechenleistung erforderlich.

SASE Lösungen begegnen diesen Herausforderungen durch ihren integrierten Ansatz effektiv. SASE vereint mehrere Netzwerk- und Netzwerksicherheitsfunktionen in einem einzigen Dienst und wird als umfassende Lösung bereitgestellt. Allerdings ist Vorsicht geboten SASE Lösungen können auf verschiedene Arten erstellt werden. Einzelner Anbieter SASE Obwohl Dienste als kombiniertes Angebot von einem Anbieter bereitgestellt werden, können sie aus separaten Sicherheits- und Netzwerkkomponenten mehrerer Komponentenanbieter bestehen. Folglich stammen Protokolle und Metriken von einem einzigen Anbieter SASE Lösungen stehen möglicherweise vor ähnlichen Herausforderungen.

Im Gegensatz dazu Unified SASE Lösungen werden in der Regel als einheitliche und umfassende Datenebene bereitgestellt, die den Prinzipien der Single-Pass-Architektur und der Run-to-Complete-Architektur folgt. Das bedeutet Unified SASE verfügt über eine ganzheitliche Sicht auf jede Sitzung oder Transaktion und die damit verbundenen Sicherheitsfunktionen. Als Ergebnis: Unified SASE Lösungen generieren für jede Datei, Transaktion oder Sitzung nur ein Protokoll, das alle notwendigen Informationen enthält. Zum Beispiel Unified SASE Zugriffsprotokolle enthalten umfassende Details wie:

  • 5-Tupel-Informationen (Quell-IP, Ziel-IP, Protokoll, Quell-Port und Ziel-Port)
  • Startzeit und Endzeit der Sitzung/Transaktion
  • Domänenname bei TLS-Verbindungen
  • Host-Header-Wert und URL Pfad bei HTTP-Transaktionen
  • Ob die Verbindung sicher ist (TLS)
  • HTTP-Methode (GET/POST/DELETE/PUT), URI-Abfrageparameter und HTTP-Anfrage- und Antwort-Header und -Werte, hauptsächlich Header, die mit X- beginnen
  • Datei-Hash (wenn mehrere Dateien in einer HTTP-Transaktion gesendet werden, kann es mehrere Zugriffsprotokolle geben)
  • Anzahl der vom Client an den Server und umgekehrt gesendeten Bytes
  • Angewandte Zugriffs- und Sicherheitsrichtlinien sowie Richtliniendetails und übereinstimmende Werte aus der Verkehrssitzung, z. B. Benutzeransprüche (Hauptname, Gruppe, Rolle, Authentifizierungsdienst, Aussteller), IP-Reputationskategorie und -bewertung, Domänenkategorie und Reputationsbewertung, URI-Kategorie und Reputationsbewertung, SaaS Servicekategorie und Reputationsbewertung sowie ergriffene Maßnahmen. Es ist wichtig zu beachten, dass mehrere Sicherheits-Engines die Zustimmung zum Zugriff auf jede Sitzung oder Transaktion erteilen. Zu diesen Sicherheits-Engines gehören die IP-Reputations-Engine, die Domain-Reputations-Engine, URL Reputationsmotor, SaaS Reputations-Engines, Zugriffskontroll-Engines, Anti-Malware-Engine, IDPS-Engine und mehr. Jede Sicherheits-Engine wendet ihre eigenen Richtlinien an und ergreift auf der Grundlage der Ergebnisse entsprechende Maßnahmen. Aufgrund des Vorhandenseins verschiedener Engines, von denen jede über eine eigene Richtlinientabelle und eindeutige Sätze übereinstimmender Werte aus Datenverkehr oder Datenverkehrsanreicherungen verfügt, ist es erforderlich, den Namen der übereinstimmenden Richtlinie und die Parameter aufzuzeichnen, die zur Richtlinienübereinstimmung geführt haben.

Zugriffsprotokolle spielen in Observability-Plattformen eine entscheidende Rolle und ermöglichen genaue Analysen. Allerdings sind auch andere Protokolle für Observability-Plattformen von gleicher Bedeutung und „Unified SASE„Lösungen bieten sie sofort einsatzbereit. Diese Protokolle tragen wesentlich dazu bei, die Möglichkeiten der Plattform für umfassende Einblicke zu verbessern. Einige der wesentlichen Protokolle, die von Unified bereitgestellt werden SASE Zu den Lösungen gehören:

  • Protokolle im Zusammenhang mit der Benutzeranmeldung und -abmeldung über die Identitätsbrokerfunktion.
  • Protokolle im Zusammenhang mit fehlgeschlagenen Benutzeranmeldungen, die bei der Überwachung potenzieller Sicherheitsbedrohungen helfen.
  • Protokolle im Zusammenhang mit der Benutzeranmeldung, angereichert mit umfassenden Informationen zu Benutzeransprüchen, einschließlich:
    • E-Mail-Adresse des Benutzers
    • Aussteller (Identitätsanbieter)
    • Mehrere Gruppen und Rollen, denen der Benutzer angehört
    • Der Authentifizierungsdienst, der den Benutzer authentifiziert hat
    • Ob Multi-Faktor-Authentifizierung (MFA) angewendet wurde oder nicht
    • Quell-IP, von der aus sich der Benutzer angemeldet hat
    • Von der Benutzeranwendung verwendetes Authentifizierungsprotokoll
    • Standort, von dem aus sich der Benutzer angemeldet hat

Das Einbeziehen von Protokollen zur Benutzerauthentifizierung und Zugriffsprotokollen kann wertvolle Eingaben für die Observability-Plattform liefern, um Verhaltensanomalien effektiv zu identifizieren.

Darüber hinaus Unified SASE Lösungen bieten Protokolle, wann immer eine Bedrohung erkannt wird, z. B. Malware, Exploits oder Suspiciouns Aktivitäten. Diese Protokolle umfassen 5-Tupel-Informationen (Quell-IP, Ziel-IP, Protokoll, Quell-Port, Ziel-Port), Datum/Uhrzeit und bekannte Benutzeranspruchsinformationen zum Zeitpunkt der Bedrohungserkennung. Dies trägt dazu bei, die Bedrohung mit der Sitzung oder Transaktion zu korrelieren, in der sie beobachtet wurde, und hilft so bei der Reaktion und Eindämmung von Vorfällen.

Obwohl wir hier nicht über sie sprechen, gibt es viele andere Protokolle, die sich darauf beziehen SASE Systemkern, Prozesse, Container und Hardware helfen bei der Diagnoseanalyse.

Zusätzlich zum Generieren von Protokollen bietet Unified SASE Lösungen stellen außerdem verschiedene Metriken bereit, darunter Zähler, Messgeräte und Histogramme. Diese Metriken sind für die Identifizierung statistischer Anomalien und die Fehlerbehebung von unschätzbarem Wert, da sie Einblick in verschiedene Komponenten des Systems bieten SASE die Architektur.

Insgesamt werden verschiedene Arten von Protokollen, einschließlich Zugriffsprotokollen, authentifizierungsbezogenen Protokollen, Bedrohungsprotokollen und Diagnoseprotokollen mit verschiedenen Arten von Metriken, vereinheitlicht SASE stellt Observability-Plattformen bereit, um nicht nur deskriptive und diagnostische Analysen, sondern auch Verhaltens-/Vorhersageanalysen bereitzustellen.

Einheitlicher SASE und Integrated Observability sind an der Hüfte verbunden.

Wie bisher besprochen, Unified SASE zeichnet sich dadurch aus, dass es mit seinem umfangreichen Satz exportierter Daten verschiedene Analysetools ermöglicht.

Wir erkennen auch an, dass Unified SASE Die Lösungen umfassen eine umfassende Observability-Plattform, die verschiedene Analysen umfasst, insbesondere Verhaltensanalysen, wie zuvor beschrieben. In der Anfangsphase beschränkten sich integrierte Observability-Plattformen hauptsächlich auf SASE Lösungen, bei denen die End-to-End-Beobachtbarkeit häufig auf Observability-Services von Splunk, Datadog, Elastic, New Relic und End-to-End Threat-XDR-Plattformen basiert.

Im Wesentlichen Unified SASE integriert eine eigene integrierte Observability-Plattform und stellt gleichzeitig hochwertige Protokolle und Metriken für verschiedene externe Observability-Tools bereit.

Einheitlicher SASE ist der Schlüssel zur Verbesserung der Beobachtbarkeitsfähigkeiten.

Herkömmliche Überwachungs- und Sichtbarkeitstools versagen bei komplexen EntwicklungenerpAufstiegsumgebungen, die durch verteilte Arbeitskräfte, Multi-cloud/edge-Anwendungsbereitstellungen, umfangreiche Nutzung mehrerer SaaS Services, eine ständig wachsende Bedrohungslandschaft und auf Microservices basierende Anwendungsarchitekturen. Die Abhängigkeit von Protokollen und Metriken aus verschiedenen Netzwerk-, Sicherheits- und Anwendungsquellen behindert oft die Fähigkeit dieser Tools, umsetzbare Erkenntnisse und effiziente Korrelations- und Ursachenanalysefunktionen zu liefern. Das Gebot der Stunde ist „Beobachtbarkeit“.
Viele traditionelle Analyseanbieter haben damit begonnen, ihr Angebot um Observability-Funktionen wie UEBA und damit verbundene Funktionen zur Anomalieerkennung zu erweitern. Die Wirksamkeit dieser Analysetools hängt jedoch stark von der Qualität der Protokolle und Metriken ab, die sie erhalten. Einheitlich SASE birgt das Potenzial, Herausforderungen im Zusammenhang mit der Erstellung umfassender und qualitativ hochwertiger Protokolle für alle Arten von Analysen, einschließlich Verhaltensanalysen, zu meistern.

Durch die Bereitstellung eines einheitlichen Ansatzes und umfassenden Datenexports bietet Unified SASE kann die Beobachtbarkeitsfähigkeiten von Organisationen erheblich verbessern und die proaktive Bedrohungserkennung, präzise Analyse und bessere Entscheidungsfindung erleichtern. Die Integration mehrerer Analysetools und Observability-Funktionen in Unified SASE bietet eine leistungsstarke Lösung für die Bewältigung der Komplexität moderner HNO-AnwendungenerpSteigende Umgebungen und Stärkung der Cybersicherheitsabwehr.

  • CTO Insights-Blog

    Die Aryaka-CTO-Insights-Blogserie bietet Vordenker für Netzwerk, Sicherheit und SASE-Themen. Aryaka Produktspezifikationen beziehen sich auf Aryaka Datenblätter.

Über den Autor

Srini Addepalli
Srini Addepalli ist ein Sicherheits- und Edge-Computing-Experte mit mehr als 25 Jahren Erfahrung. Srini verfügt über mehrere Patente in Netzwerk- und Sicherheitstechnologien. Er hat einen BE (Hons)-Abschluss in Elektrotechnik und Elektronik von BITS, Pilani in Indien.

2024 Aryaka Bericht zur sicheren Netzwerktransformation

Bericht herunterladen >>

Aryaka Einheitlicher SASE als Service

Lösungsübersicht herunterladen >>

Strategische Roadmap für EnterpAufstieg Networking

Bericht herunterladen >>