在网络安全方面,价值不再仅在于检测,而在于摄入。以数据为导向的体系结构的功率上升带来了一个新问题:甚至在到达分析平台之前重新控制了对流的控制。在这种情况下, 数据管道 随着Cribibable流成为战略砖,能够优化SIEM的性能,降低运营成本并重新定义SECOPS团队的敏捷性。
一定数量的数据已成为关键
每年,机器数据的量 – 日志,指标,事件,痕迹 – 平均增长28%。同时,它预算停滞不前。结果:安全体系结构,尤其是SIEMS,努力保持步伐。这些平台通常以摄入量定价,载有冗余数据,格式不佳或未使用检测规则。
挑战不再仅仅是要检测威胁,而是选择 哪些数据值得分析,存储或排除。暹粒的上游是摄入的基础设施,成为了绩效和成本控制的第一个杠杆。
“发送一切”的结尾
从历史上看,架构收集了质量日志,每个目标平台的特定代理。每个工具(SIEM,可观察性,数据仓库)都部署了自己的管道,产生了数据的复制,增加了复杂性和结构性额外成本。
今天,该模型达到了极限。新平台提供的答案 cribl, Datadog,Fluentd 是基于一个简单的原则:集中集合,实时排序,智能路由。
Cribl流充当 通用收藏家 :它捕获原始数据,准备它(解析,过滤,富集),优化它(删除冗余,转换为指标),然后根据其有用性重定向到正确的目的地:SIEM,数据湖,分析引擎。
数据优化成为预算的命令
这种解决方案的主要贡献之一是经济的。通过仅向SIEMS传输实际上可利用的相关规则和调查的数据,公司减少了:
-
- 这 摄入量 (高达–50%)
- 这 许可费用
- 这 高级存储需求
- 那里 平台计算负载
因此,Cribl引用的一些客户将其存储需求从136 TB提高到2 TB,以保留法律。其他人则通过将部分数据倾斜到低成本支持(S3,Azure Blob,Cribl Lake),每年将其摄入账单减少到170万美元至40万美元。
走向脱钩和可逆的建筑
这些的另一资产 智能管道,这是他们的能力 解除目的地的来源。公司可以从相同的总数据中同时发送它:
-
- 到暹粒即可立即检测
- 到数据湖进行长期保护
- 到BI基础进行业务分析
这种方法还可以测试新工具或操作 渐进的SIEM迁移,不依赖现有解决方案的天然管道。通常估计为18个月的迁移项目,可以使用像CRIBL这样的集中抽象来减少到不到8个月。
直接影响检测能力
通过过滤噪声和优化格式, 数据管道 提高分析流量的相关性。结果:安全平台提高速度,检测率和可靠性。 SOC团队就访问更好的结构化数据,更快地质疑,并且可以专注于分析而不是维护管道。
UX和治理加速的收养
这些平台的有效性也基于它们 快速处理 和他们 透明治理模型。例如,CRIBL提供了完整的图形接口,配置的GIT可追溯性,用于测试的沙箱以及免费访问1 TB/天。
对民主化的关注有助于他们的采用:工程师可以在几天内建立概念证明,而无需依赖于中央IT。因此,一些公司通过Cribl流(Cribl Stream)取代了不稳定的Kafka架构,而没有专门的项目团队。
这揭示了西姆的未来
暹粒不再在中心。 这些是数据。 现在可以对它们进行分类,塑造,驱动和重播的能力,现在可以调节网络安全体系结构的性能,弹性和可扩展性。
这 数据管道 成为 战略中间件 现代环境:优化砖,抽象层和操作智能平台。
