转向安全数据湖来消除安全领域的数据孤岛

数据孤岛使挖掘数据以获得洞察力变得困难，并给数据工程带来了挑战 - 信息被分散在不连续的解决方案和归档中，使得安全分析师的大脑成为整合和综合洞察力的唯一场所。更糟糕的是，数据孤岛将用于仅在入侵事件发生后才开始的调查，而不是用于在杀伤链的早期进行检测。

由于其频繁的变化和虚拟的边界，向云计算的转移使得及时连接这些点变得更加困难。安全团队应该意识到，当他们遇到竖井问题时，他们的单一SIEM解决方案需要帮助，实际上，该解决方案只接收组织安全数据的一小部分。

由于数据孤岛困扰着企业及其安全团队，在发生事件之前，可见性差距很容易被忽略。从终端检测和响应(EDR)取证数据到AWS访问日志和PowerShell活动，再到VPN遥测，这些海量安全数据集往往无法支持有效的威胁检测。以下是数据孤岛困境的一些常见示例：

• EDR数据被抛在后面： 虽然终端检测和响应通常是第一道防线，但其对几乎每一项操作(创建的文件、启动的进程和建立的连接)的全面跟踪阻止了其与大多数SIEM部署的集成。作为一种解决办法，大多数组织会捕获警报记录并留下取证数据——超过99.9%的数据。虽然EDR供应商建议将这些数据存档以用于事件响应(特别是考虑到他们只存储有限的时间)，但许多组织仍在苦苦挣扎。EDR取证数据经常在安全行动的威胁检测工作中丢失。

• 云日志未启用： 从云存储中流出是重大云入侵的一部分。在这一领域进行早期检测的挑战在于，了解哪些用户下载了文件以及从哪里下载文件至关重要。默认情况下，云存储访问的日志记录通常是禁用的，因此，如果组织不知道启用日志记录或将其日志记录保留在SIEM之外，则这一潜在的强大威胁检测来源将保持未开发状态。

• 攻击者靠土地谋生： PowerShell脚本是攻击者在对Windows系统进行后门操作并推出勒索软件时避免被发现的一种方式，但PowerShell中发生了如此多的良性活动，以至于IT组织往往不会跟踪它。直到发现PowerShell支持的入侵和勒索软件攻击时，才为时已晚。

• VPN活动是缺失的一环： 鉴于威胁参与者普遍以支持远程登录的基础设施为目标，将HR和终端遥测数据结合在一起来检测VPN数据中的威胁的多维方法是强大的，但只有在这些来源统一时才可用。