لتعزيز إنتاجية وفاعلية فرق الأمن السيبراني، كشفت كاسبرسكي عن تحديث مهم لمنصة إدارة معلومات الأمان والأحداث (SIEM) الخاصة بها. حيث توفر المنصة المعززة وحدة ذكاء اصطناعي جديدة لفرز التنبيهات بشكل أسرع وأكثر فاعلية، وتساعد على التمثيل الصوري لتبعيات الموارد، وتمكن قدرات البحث الموسعة.

وفق مؤسسة Verified Market Research، فقد بلغت قيمة سوق حلول إدارة معلومات الأمان والأحداث 5.21 مليار دولار في عام 2024، ومن المُتوقع أن تبلغ 10.09 مليار دولار بحلول عام 2031. وتُعد التهديدات السيبرانية المتزايدة، ولوائح الامتثال التنظيمي، ووجود الطلب على الكشف السريع عن التهديدات من بين العوامل الرئيسية التي تساهم في هذا النمو. تبحث الشركات عن حلول تمكنها من جمع البيانات وتحليلها في الوقت الفعلي، مما يعزز إدراكها للموقف بشكل كبير. لتلبية هذا الطلب، أضافت كاسبرسكي ميزات جديدة لمنصة إدارة معلومات الأمان والأحداث خاصتها، مما يمكن متخصصي الأمن السيبراني من اكتشاف التهديدات بشكل أكثر فاعلية.

تُعد منصة كاسبرسكي لإدارة معلومات الأمان والأحداث منصة مركز عمليات أمني (SOC) قائمةً على مجموعة تقنية مدعومة بالذكاء الاصطناعي ومعززة بمعلومات تهديدات رائدة عالمياً. وتجمع المنصة بيانات السجل وتطورها بالمعلومات التوضيحية ومعلومات التهديدات القابلة للتنفيذ لتوفير جميع البيانات المطلوبة للتحقيق في الحوادث والاستجابة لها، مع تمكين الاستجابات الآلية للتنبيهات واكتشاف التهديدات.

وحدة ذكاء اصطناعي جديدة

تقدم منصة كاسبرسكي لإدارة معلومات الأمان والأحداث وحدة ذكاء اصطناعي جديدة تحسن تنبيهات الفرز والحوادث من خلال تحليل البيانات التاريخية، بينما يوفر تقييم المخاطر للأصول القائم على الذكاء الاصطناعي فرضيات قيمةً لعمليات بحث استباقية.

تحلل هذه الوحدة كيفية ارتباط سمة نشاط معين بمختلف الأصول، بما يشمل محطات العمل، والآلات الافتراضية، والهواتف المحمولة، وغيرها. في حال عدم التطابق بين التنبيه الذي اكتشفه النظام نتيجةً لارتباط الأحداث والأصل الذي تم اكتشاف التنبيه عليه، يتم تمييز هذا الكشف في الواجهة بإضافة حالة إضافية. بذلك، يمكن للمحللين رؤية الحوادث التي تتطلب اهتماماً فورياً بسرعة.

جمع البيانات بواسطة وكيل Kaspersky Endpoint Security

في السابق، كان جمع البيانات من محطات العمل التي تستخدم نظامي التشغيل Windows وLinux يتطلب تثبيت وكيل إدارة معلومات الأمان والأحداث على كل محطة، أو إعداد نقل البيانات لمضيف وسيط ومن ثم إعداد تبادل البيانات مع منصة إدارة معلومات الأمان والأحداث. والآن، في حال تثبيت وكيل Kaspersky Endpoint Security على المضيف، يمكنه إرسال البيانات لنظام إدارة معلومات الأمان والأحداث مباشرةً. ويمكن استخدام هذه البيانات لمزيد من عمليات البحث، والتحليل، والارتباط الخاصة بالأحداث. وبهذه الطريقة، يمكن التخلص من الخطوة الإضافية المتمثلة في تثبيت وكلاء إدارة معلومات الأمان والأحداث المنفصلين ومراقبتهم للعملاء الذين يستخدمون منتجات كاسبرسكي بالفعل لأمن النقاط الطرفية.

مخطط تبعيات الموارد وقدرات البحث الموسع

كما قامت المنصة بتحسين قدرات البحث الخاصة بها، والآن تمكن عملائها من التمثيل الصوري لارتباط الموارد (المرشحات، والقواعد، والقوائم) ببعضها البعض. حيث يقدم مخطط تبعيات الموارد بنية مجلد هرميةً تسهل إيجاد هدف البحث الصحيح للفرق الكبيرة أو عمليات البحث المخزنة المتعددة. ويمكن للمحللين تحديد موقع الأحداث المهمة بسرعة ودقة أو إنشاء تقارير تتناول مجالات محددة من خلال تحديد الأطر الزمنية لبداية ونهاية أي طلب بحث أو تقرير. ويتيح تخزين سجل عمليات البحث المستخدمة الوصول للاستفسارات السابقة بسهولة.

تحديد إصدار المحتوى

تخزن منصة كاسبرسكي لإدارة معلومات الأمان والأحداث تاريخ تغييرات الموارد على هيئة إصدارات. حيث يتم إنشاء إصدار من الأصل تلقائياً في حال قيام محلل بإنشاء أصل جديد أو حفظ تغييرات المعلومات في أصل موجود. ويعمل تخزين الإصدار على تبسيط التفاعل بين فرق المحللين. فعلى سبيل المثال، يمكن لأحد أعضاء الفريق رؤية أي تغييرات أجراها زميل في قاعدة ارتباط، كما يمكنهم عكسها في حال استدعى الأمر ذلك.

تخطيط فريد للحقول

باستخدام المنصة المحدثة، يمكن للمحللين الآن إضافة صف من قيم الحقول المحددة من قسم الحقل الفريد الخاص بحدث ارتباط محدد من قاعدة الارتباط، وهو ما يوفر الوقت من خلال إزالة الحاجة للبحث في قيم الحقول في الأحداث الأساسية.

بجانب ما سبق، تمكن منصة كاسبرسكي لإدارة معلومات الأمان والأحداث من استثناء قيم محددة للحقل في حال اكتشاف أن تنبيهاً ما هو إلا حالة تعرّف خاطئة. وتولد كل قاعدة ارتباط قائمةً منفصلةً من الاستثناءات، مما يمكن المحللين من التركيز على التنبيهات الهامة وتقليل «ضوضاء» قاعدة الارتباط بسرعة.

علقت إيليا ماركيلوف، رئيس مجموعة منتجات المنصة الموحدة لدى كاسبرسكي: «نظراً لأن منصة إدارة معلومات الأمان والأحداث تُعد واحدةً من الأدوات الرئيسية لفرق مركز العمليات الأمني وإدارات أمن تكنولوجيا المعلومات، فنحن نبذل قصارى جهدنا لتسهيل استخدام منصتنا. وتعني هذه الميزات الجديدة أنه بإمكان الشركات التفاعل مع الأحداث بشكل أسرع وبجهد أقل. كما قمنا بتحسين المنصة من خلال إثرائها بموصلات لمصادر الأحداث وقواعد الارتباط. واليوم، تغطي قواعدنا المميزة بالفعل أكثر من 400 أسلوب مشمول في قائمة MITRE ATT&CK، بينما بلغ عدد المصادر المدعومة نحو 300 مصدر. كما يتزايد هذا الرقم باستمرار.»