SIEM-एंडपॉइंट सुरक्षा सेटअप के लिए चेकलिस्ट

SIEM-एंडपॉइंट सुरक्षा सेटअप के लिए चेकलिस्ट

SIEM-एंडपॉइंट सुरक्षा सेटअप के लिए चेकलिस्ट

एम्ब्रोज़ बिना श्रेणी 05/02/2026

SIEM को एंडपॉइंट सुरक्षा उपकरणों के साथ एकीकृत करना एक केंद्रीकृत, कुशल और प्रतिक्रियाशील सुरक्षा प्रणाली बनाने के लिए यह प्रक्रिया आवश्यक है। यह गाइड इस प्रक्रिया को छह चरणों में विभाजित करती है, जिससे आपको सेटअप को सुव्यवस्थित करने, अलर्ट थकान को कम करने और खतरे का पता लगाने में सुधार करने में मदद मिलती है। यहां बताए गए चरणों का संक्षिप्त सारांश दिया गया है:

उद्देश्यों को परिभाषित करें: व्यवसाय, सुरक्षा और परिचालन संबंधी आवश्यकताओं पर ध्यान केंद्रित करते हुए, एकीकरण के लिए स्पष्ट लक्ष्य निर्धारित करें। अनावश्यक डेटा एकत्र करने से बचें।.
मूल्यांकन उपकरण: अपने मौजूदा सुरक्षा उपकरणों की सूची बनाएं और सुनिश्चित करें कि वे आपके SIEM सिस्टम के साथ संगत हैं।.
डेटा इनपुट को कॉन्फ़िगर करें: ईडीआर लॉग, प्रमाणीकरण प्रणाली और नेटवर्क सुरक्षा लॉग जैसे महत्वपूर्ण डेटा स्रोतों को आपस में जोड़ें। लॉग प्रारूपों और प्रतिधारण नीतियों को मानकीकृत करें।.
खतरे का पता लगाने की व्यवस्था करें: खतरों की प्रभावी ढंग से पहचान करने और उनका जवाब देने के लिए सहसंबंध नियम बनाएं और खतरे की खुफिया जानकारी को एकीकृत करें।.
शासन व्यवस्था स्थापित करें: भूमिका-आधारित पहुंच नियंत्रण (आरबीएसी) लागू करें और संरचित खतरे से निपटने के लिए घटना प्रतिक्रिया कार्यप्रवाह को परिभाषित करें।.
मान्य करें और अनुकूलित करें: परीक्षण की सटीकता की जांच करें, प्रदर्शन मापदंडों की निगरानी करें और दक्षता सुनिश्चित करने के लिए नियमित रूप से अपने सेटअप को परिष्कृत करें।.

हमारा लक्ष्य बिखरे हुए सुरक्षा डेटा को उपयोगी जानकारियों में परिवर्तित करना है, जिससे अनुपालन बनाए रखते हुए खतरों पर तेजी से प्रतिक्रिया देना संभव हो सके। चाहे आप एक छोटा व्यवसाय हों या एक बड़ा उद्यम, इन चरणों का पालन करने से आपको एक विश्वसनीय और विस्तार योग्य सुरक्षा प्रणाली बनाने में मदद मिलेगी।.

SIEM-एंडपॉइंट सुरक्षा एकीकरण की 6-चरणीय प्रक्रिया

SIEM एकीकरण के लिए Kaspersky Security Center को कॉन्फ़िगर करना | चरण-दर-चरण ट्यूटोरियल

चरण 1: एकीकरण के उद्देश्यों और उपयोग के मामलों को परिभाषित करें

सिस्टमों को जोड़ने से पहले, एकीकरण के उद्देश्य को परिभाषित करने के लिए समय निकालें। स्पष्ट लक्ष्यों के बिना कार्यान्वयन में जल्दबाजी करने से संसाधनों की बर्बादी हो सकती है और ऐसे सिस्टम बन सकते हैं जो आपकी आवश्यकताओं के अनुरूप न हों। ऑस्ट्रेलियाई सिग्नल निदेशालय इस दृष्टिकोण के प्रति आगाह करता है:

""अधिकृत एजेंसियां केवल वृक्षारोपण के लिए वृक्षारोपण को हतोत्साहित करती हैं।""

आपके उद्देश्यों में व्यावसायिक आवश्यकताओं, सुरक्षा प्राथमिकताओं और परिचालन मांगों के बीच संतुलन होना चाहिए। बिना सोचे-समझे डेटा एकत्र करना उपयोगी नहीं होगा – जो वास्तव में मायने रखता है उस पर ध्यान केंद्रित करें। अपने लक्ष्यों को तीन श्रेणियों में व्यवस्थित करके शुरुआत करें: व्यवसाय, सुरक्षा और परिचालन।.

व्यवसाय और सुरक्षा उद्देश्यों की पहचान करें

अपने लक्ष्यों को प्रबंधनीय श्रेणियों में बाँटें। व्यावसायिक उद्देश्यों के लिए, घटना-संबंधी लागतों को कम करने, HIPAA या Essential Eight जैसे नियमों का अनुपालन सुनिश्चित करने और कर्मचारियों की उत्पादकता बढ़ाने पर विचार करें। सुरक्षा लक्ष्यों में "Living off the Land" (LOTL) खतरों का पता लगाना, घटनाओं पर प्रतिक्रियाओं को स्वचालित करना और विभिन्न स्रोतों से डेटा को सहसंबंधित करना शामिल हो सकता है। परिचालन उद्देश्यों में अलर्ट थकान को कम करना, डैशबोर्ड को केंद्रीकृत करना या फोरेंसिक विश्लेषण को सरल बनाना शामिल हो सकता है।.

अपने संसाधनों के बारे में यथार्थवादी रहें। एक सिस्टम स्वामी प्लेटफ़ॉर्म परिवर्तनों और एकीकरण कार्यों की निगरानी करना। साथ ही, लॉग डेटा की मात्रा का अनुमान लगाते समय अपने संगठन के आकार पर भी विचार करें। उदाहरण के लिए, एक मध्यम आकार का संगठन (400-2,000 कर्मचारी) प्रतिदिन लगभग 600 जीबी डेटा उत्पन्न कर सकता है, जबकि एक बड़ा संगठन (5,000 से अधिक कर्मचारी) प्रतिदिन 2.5 TB तक डेटा उत्पन्न कर सकता है।.

प्रमुख उपयोग मामलों का दस्तावेजीकरण करें

एक बार जब आप अपने उद्देश्यों को स्पष्ट रूप से निर्धारित कर लें, तो उन्हें विशिष्ट, कार्रवाई योग्य उपयोग मामलों में बदलें जो आपके परिवेश के अनुकूल हों। सामान्य परिदृश्यों से बचें – वे आपके आईटी सेटअप, जोखिम प्रोफ़ाइल या खतरे के परिदृश्य के अनूठे पहलुओं को संबोधित नहीं करेंगे। अनुकूलित उपयोग मामलों के उदाहरणों में आंतरिक खतरों का पता लगाना, मैलवेयर का विश्लेषण करना, अनुपालन रिपोर्ट तैयार करना या LOTL रणनीति की पहचान करना शामिल हैं। व्यापक खतरे कवरेज सुनिश्चित करने के लिए, प्रत्येक उपयोग मामले को MITRE ATT&CK फ्रेमवर्क से मैप करें।.

शुरुआत करें प्रूफ ऑफ कॉन्सेप्ट (पीओसी) किसी महत्वपूर्ण जोखिम वाले क्षेत्र को लक्षित करके, एकीकरण को पूर्णतः लागू करने से पहले उसकी प्रभावशीलता का परीक्षण करें। प्रत्येक डेटा स्रोत के उद्देश्य, मात्रा और विश्लेषणात्मक मूल्य का दस्तावेजीकरण करें। अनुपालन रिपोर्टिंग, घटना प्रतिक्रिया या खतरे का पता लगाने जैसे विशिष्ट लक्ष्य निर्धारित करें ताकि आपकी टीम केंद्रित रहे। यह दृष्टिकोण सिस्टम पर अधिक भार पड़ने से बचाता है और एंडपॉइंट डिटेक्शन एंड रिस्पांस (ईडीआर) और एक्टिव डायरेक्टरी लॉग जैसे उच्च-मूल्य वाले फ़ीड को प्राथमिकता देता है।.

चरण 2: अपने टेक्नोलॉजी स्टैक का आकलन और तैयारी करें

अपने उद्देश्यों को निर्धारित करने के बाद, अगला कदम आपकी टेक्नोलॉजी स्टैक का बारीकी से विश्लेषण करना है। आपके टूल्स की पूरी सूची बनाना और उनकी अनुकूलता की जाँच करना यह सुनिश्चित करने के लिए आवश्यक है कि आपका SIEM (सिक्योरिटी इन्फॉर्मेशन एंड इवेंट मैनेजमेंट) सिस्टम प्रभावी ढंग से एकीकृत हो। इस चरण को छोड़ देने से एकीकरण में विफलताएँ, संसाधनों की बर्बादी और टीम में असंतोष जैसी समस्याएँ उत्पन्न हो सकती हैं। यह प्रक्रिया आपके SIEM को आपके मौजूदा सिस्टम के साथ सुचारू रूप से कार्य करने के लिए आधार तैयार करती है।.

मौजूदा उपकरणों और प्रणालियों की सूची बनाएं

सबसे पहले, अपने सभी सुरक्षा उपकरणों, एंडपॉइंट डिवाइसों और उन सिस्टमों की सूची बनाएं जो आपके SIEM में डेटा फीड करेंगे। अपने एंडपॉइंट डिवाइसों को ऑपरेटिंग सिस्टम के आधार पर वर्गीकृत करें – Windows, macOS और Linux – और उनके लिए आवश्यक विशिष्ट कनेक्टर्स या एजेंटों को नोट करें। अपने उपकरणों को उनके कार्य के अनुसार व्यवस्थित करें, जैसे:

एंडपॉइंट डिटेक्शन एंड रिस्पांस (ईडीआर)
एंटीवायरस सॉफ़्टवेयर
क्लाउड एप्लिकेशन सुरक्षा
फायरवॉल
निर्देश पहचान तंत्र

इनमें से प्रत्येक उपकरण अलग-अलग SIEM इवेंट स्रोतों से जुड़ा होता है, जो डेटा को एकत्र करने और सामान्य करने के तरीके को प्रभावित करता है।.

आईपी पते, ऑपरेटिंग सिस्टम संस्करण और जीयूआईडी जैसी तकनीकी जानकारी अवश्य रिकॉर्ड करें। ये घटनाएँ जाँचने के लिए महत्वपूर्ण हो सकती हैं। यदि आपके पास पुराने सिस्टम हैं, तो ध्यान दें कि क्या उन्हें संगतता के लिए मिडलवेयर या सिस्टम लॉग फ़ॉरवर्डिंग की आवश्यकता होगी। एयर-गैप्ड नेटवर्क के लिए, गैप को पाटने के लिए गेटवे समाधानों की योजना बनाएँ।.

SIEM अनुकूलता का मूल्यांकन करें

आपकी इन्वेंट्री पूरी हो जाने के बाद, अगला चरण यह सत्यापित करना है कि आपका SIEM इन सभी स्रोतों से डेटा ग्रहण कर सकता है या नहीं। इसके लिए, अपने SIEM के मार्केटप्लेस में पहले से निर्मित एकीकरणों की जाँच करें, जिन्हें अक्सर "ऐड-ऑन", "स्मार्टकनेक्टर" या "डिवाइस सपोर्ट मॉड्यूल (DSM)" कहा जाता है।"

उदाहरण के लिए, Rapid7 SentinelOne EDR के लिए संरचित एकीकरण प्रदान करता है, जिससे API या Syslog के माध्यम से डेटा संग्रह संभव होता है। इसी प्रकार, Microsoft "Splunk Add-on for Microsoft Security" प्रदान करता है, जो Microsoft Graph सुरक्षा API का उपयोग करके Defender for Endpoint और Defender for Identity से प्राप्त घटनाओं को Splunk में एकीकृत करता है।.

वह एकीकरण मॉडल चुनें जो आपके सेटअप के लिए सबसे उपयुक्त हो। उदाहरण के लिए:

उपयोग रेस्ट एपीआई अलर्ट के लिए।.
के लिए चयन स्ट्रीमिंग एपीआई जैसे कि बड़ी मात्रा में डेटा को संभालने के लिए Azure Event Hubs।.

प्रमाणीकरण संबंधी आवश्यकताओं की पुष्टि अवश्य कर लें, जैसे कि Microsoft Entra ID के माध्यम से OAuth 2.0 या समर्पित API टोकन। API कनेक्शन स्थापित करते समय, अपने एंडपॉइंट प्रबंधन कंसोल में हमेशा एक समर्पित "सेवा उपयोगकर्ता" बनाएँ। इससे किसी प्रशासक के संगठन छोड़ने की स्थिति में व्यवधान से बचा जा सकेगा।.

सहसंबंध नियमों में गहराई से जाने से पहले, अपने कनेक्शनों का परीक्षण करें। अधिकांश SIEM में रॉ लॉग इनपुट की पुष्टि करने की सुविधाएँ होती हैं। उदाहरण के लिए, Cisco XDR में macOS, Windows और Linux एंडपॉइंट से लॉग सही ढंग से प्रोसेस हो रहे हैं या नहीं, यह सत्यापित करने के लिए "डिटेक्शन इनपुट स्टेटस" डैशबोर्ड कार्ड शामिल है। खोज और रिपोर्टिंग को सुव्यवस्थित करने के लिए सुनिश्चित करें कि आपके एंडपॉइंट लॉग आपके SIEM के मानक स्कीमा, जैसे कॉमन इन्फॉर्मेशन मॉडल (CIM) या कॉमन इवेंट फ्रेमवर्क (CEF) से मैप किए गए हैं।.

अंतर्ग्रहण विधि	सर्वश्रेष्ठ के लिए	आवश्यकताएं
एपीआई संग्रह	क्लाउड-नेटिव टूल्स (जैसे, SentinelOne)	एपीआई कुंजी, गुप्त टोकन, इंटरनेट कनेक्टिविटी
सिस्लॉग अग्रेषण	नेटवर्क हार्डवेयर (जैसे, फ़ायरवॉल)	Syslog सर्वर या SIEM लिसनर पोर्ट
स्ट्रीमिंग एपीआई	उच्च मात्रा वाले उद्यम डेटा	Azure/AWS स्टोरेज खाते, स्ट्रीमिंग सेटअप
एजेंट-आधारित	सर्वर और वर्कस्टेशन	स्थानीय कनेक्टर या एजेंट इंस्टॉलेशन

यदि आपके SIEM में कुछ टूल्स के लिए नेटिव इंटीग्रेशन की कमी है, तो Syslog, लॉग एग्रीगेटर या ऑन-प्रिमाइस सिस्टम के लिए "टेल फ़ाइल" जैसे वैकल्पिक तरीकों पर विचार करें। कुछ एंडपॉइंट-टू-SIEM सेवाएं अनडिलिवर्ड लॉग्स के लिए बफर प्रदान करती हैं - प्रति ग्राहक सात दिनों या 80 GB तक - यह सुनिश्चित करते हुए कि कनेक्टिविटी समस्याओं के दौरान महत्वपूर्ण टेलीमेट्री डेटा नष्ट न हो। यह सुरक्षा कवच आपको महत्वपूर्ण सुरक्षा डेटा खोए बिना समस्याओं को ठीक करने का समय देता है।.

चरण 3: डेटा इनपुट और सामान्यीकरण को कॉन्फ़िगर करें

एक बार अनुकूलता सुनिश्चित हो जाने के बाद, अगले चरण में चुने गए डेटा स्रोतों को जोड़ना और मानकीकरण नीतियां स्थापित करना शामिल है। सुचारू एकीकरण सुनिश्चित करने के लिए प्रत्येक डेटा स्रोत की तकनीकी आवश्यकताओं को परिभाषित करना भी महत्वपूर्ण है।.

प्रमुख डेटा स्रोतों को कनेक्ट करें

उच्च प्राथमिकता वाले डेटा स्रोतों पर ध्यान केंद्रित करके शुरुआत करें। एंडपॉइंट डिटेक्शन एंड रिस्पांस (ईडीआर) लॉग, जो प्रक्रिया निर्माण, एंटीवायरस पहचान, नेटवर्क कनेक्शन, DLL लोड और फ़ाइल परिवर्तन जैसी महत्वपूर्ण सुरक्षा घटनाओं को कैप्चर करते हैं। फिर, अपने को एकीकृत करें। पहचान और प्रमाणीकरण प्रणालियाँ – एक्टिव डायरेक्टरी डोमेन कंट्रोलर्स, एंट्रा आईडी (पूर्व में एज़्योर एडी), मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) और सिंगल साइन-ऑन (एसएसओ)। ये सिस्टम क्रेडेंशियल गतिविधियों की निगरानी करने और अनधिकृत पहुंच के प्रयासों का पता लगाने के लिए आवश्यक हैं।.

व्यापक दृश्यता बनाए रखने के लिए, सभी डोमेन कंट्रोलर्स से लॉग एकत्र करें। ऑपरेटिंग सिस्टम के लिए, निम्नलिखित से प्राप्त घटनाओं को प्राथमिकता दें। विंडोज सिक्योरिटी, सिस्टम, पॉवरशेल और सिसमोन, साथ ही लिनक्स होस्ट से विस्तृत लॉग भी।. नेटवर्क सुरक्षा लॉग फ़ायरवॉल, वीपीएन, वेब प्रॉक्सी और घुसपैठ का पता लगाने/रोकने वाली प्रणालियाँ (आईडीएस/आईपीएस) भी समान रूप से महत्वपूर्ण हैं, क्योंकि वे यह बताती हैं कि खतरे आपके नेटवर्क में कैसे फैलते हैं। इसे मत भूलिए। क्लाउड इन्फ्रास्ट्रक्चर लॉग – AWS CloudTrail, Azure Audit logs, Microsoft 365 के Unified Audit Log और ईमेल सिस्टम और वेब सर्वर से एप्लिकेशन-विशिष्ट लॉग को कनेक्ट करें।.

ऑन-प्रिमाइसेस या लिनक्स-आधारित वातावरणों के लिए, Syslog या कॉमन इवेंट फॉर्मेट (CEF) का उपयोग करके लॉग को रीयल-टाइम में स्ट्रीम करने के लिए Azure Monitor Agent जैसे टूल का उपयोग करें। ध्यान रखें कि Microsoft Sentinel जैसे क्लाउड-आधारित सिस्टम में डेटा इनपुट होने में आमतौर पर 90 से 120 मिनट लगते हैं, इसलिए अपने परीक्षण और निगरानी शेड्यूल को तदनुसार प्लान करें।.

एक बार सभी डेटा स्रोत कनेक्ट हो जाने के बाद, औपचारिक लॉग प्रबंधन नीतियां स्थापित करने का समय आ जाता है।.

लॉग प्रबंधन नीतियों को परिभाषित करें

केवल वही डेटा लॉग करें जो आपके संगठन के जोखिम प्रोफाइल के अनुरूप हो। प्रत्येक डेटा स्रोत का उसके विश्लेषणात्मक मूल्य और उससे उत्पन्न होने वाले लॉग की मात्रा के आधार पर मूल्यांकन करें ताकि आपके सिस्टम पर अनावश्यक डेटा का बोझ न पड़े।.

एकरूपता सुनिश्चित करने के लिए, सभी प्राप्त डेटा को CIM या ASIM जैसे एक सामान्य स्कीमा में मैप करें और भ्रम से बचने के लिए फ़ील्ड नामों को मानकीकृत करें। अनुपालन आवश्यकताओं के आधार पर डेटा प्रतिधारण अवधि निर्धारित करें। उदाहरण के लिए, कुछ सिस्टम तत्काल खोजों के लिए "एनालिटिक्स टियर" और 12 वर्षों तक के दीर्घकालिक भंडारण के लिए "डेटा लेक टियर" की अनुमति देते हैं। अप्रासंगिक जानकारी को फ़िल्टर करने से न केवल अनावश्यक डेटा कम होता है बल्कि भंडारण लागत भी कम होती है।.

सटीक इवेंट सहसंबंध सुनिश्चित करने के लिए सभी डेटा स्रोतों में टाइमस्टैम्प को सिंक्रनाइज़ करें। इसके अतिरिक्त, सभी डोमेन कंट्रोलर्स पर केर्बेरोस टिकट ऑडिटिंग (सफलता और विफलता दोनों) को शामिल करने के लिए विंडोज ऑडिट पॉलिसी कॉन्फ़िगर करें। अपने सिस्टम में फ़ील्ड मैपिंग को सरल और मानकीकृत करने के लिए प्रारूप, विक्रेता, उत्पाद और इवेंट आईडी जैसे मैपिंग संकेत प्रदान करें।.

चरण 4: खतरे का पता लगाने और विश्लेषण को लागू करें

सहसंबंध नियम स्थापित करके और खतरे की खुफिया जानकारी फीड को शामिल करके, आपके द्वारा एकत्रित किए गए लॉग को कार्रवाई योग्य अंतर्दृष्टि में बदलें।.

सहसंबंध नियमों को कॉन्फ़िगर करें

अपने वेंडर द्वारा प्रदान किए गए डिफ़ॉल्ट नियमों को सक्रिय करके शुरुआत करें और देखें कि आपका SIEM सिस्टम आपके वातावरण में ट्रैफ़िक पैटर्न पर कैसे प्रतिक्रिया करता है। ध्यान रखें कि ये पूर्व-निर्धारित नियम आमतौर पर ज्ञात MITRE ATT&CK तकनीकों में से केवल लगभग 19% को ही कवर करते हैं। कमियों को पूरा करने के लिए, आपको अपने संगठन के विशिष्ट जोखिमों के अनुरूप कस्टम नियम बनाने होंगे। इन नियमों में विभिन्न हमले के चरणों, जैसे कि टोही, पार्श्व गतिविधि और डेटा चोरी, को शामिल किया जाना चाहिए।.

नियम बनाते समय सरल if/then लॉजिक का उपयोग करें। उदाहरण के लिए, आप किसी विंडोज़ लॉगिन इवेंट को 5 से 15 मिनट के भीतर होने वाले एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (EDR) प्रोसेस स्पॉन से जोड़ सकते हैं, जो लेटरल मूवमेंट का संकेत दे सकता है। आप थ्रेशहोल्ड भी सेट कर सकते हैं, जैसे कि 10 असफल लॉगिन के बाद एक सफल लॉगिन होने पर अलर्ट ट्रिगर करना। अनावश्यक शोर को कम करने के लिए, यूजर आईडी या सोर्स आईपी जैसी एंटिटीज़ के आधार पर मिलान को ग्रुप करें ताकि अलर्ट केवल तभी ट्रिगर हों जब गतिविधि एक ही स्रोत से आए।.

जो संगठन नियमित रूप से अपने सुरक्षा नियमों का सत्यापन करते हैं, उन्हें कई स्पष्ट लाभ मिलते हैं, जिनमें सुरक्षा उल्लंघनों में 20% की कमी शामिल है। इसके अतिरिक्त, 47% सुरक्षा विशेषज्ञों का कहना है कि इन नियमों का परीक्षण करने से सुरक्षा उल्लंघनों का पता लगाने का औसत समय बेहतर होता है। अपने नियमों का परीक्षण करने और ज्ञात सुरक्षित गतिविधियों को फ़िल्टर करने के लिए सुरक्षा उल्लंघन और हमले के सिमुलेशन का उपयोग करें ताकि गलत परिणामों को कम किया जा सके।.

रॉग नेम सर्वर (जैसे, आंतरिक सर्वरों के बाहर निर्देशित DNS ट्रैफ़िक का पता लगाना), स्पैम बॉट (जैसे, अनधिकृत आंतरिक सिस्टम से SMTP ट्रैफ़िक की निगरानी करना), और "एडमिनिस्ट्रेटर" या "रूट" जैसे सामान्य खातों के लिए अलर्ट जैसे परिदृश्यों के लिए उच्च-प्राथमिकता वाले नियम बनाने पर ध्यान केंद्रित करें। जैसा कि पालो अल्टो नेटवर्क्स के स्टीफन पर्सिबल्ली सलाह देते हैं:

""एसआईईएम (और किसी भी घुसपैठ रोकथाम प्रणाली) के साथ मेरी सामान्य कार्यप्रणाली यह है कि मैं सब कुछ सक्षम कर देता हूं और देखता हूं कि क्या होता है, और फिर जिस चीज में मेरी रुचि नहीं है उसे बंद कर देता हूं।""

एक बार जब आपके सहसंबंध नियम लागू हो जाएं, तो खतरे की खुफिया जानकारी फीड को एकीकृत करके अपने पता लगाने के प्रयासों को और आगे बढ़ाएं।.

खतरे की खुफिया जानकारी फीड को एकीकृत करें

बाह्य खतरे की जानकारी देने वाली फ़ीडें आपके इवेंट डेटा में संदिग्ध यूआरएल, फ़ाइल हैश या आईपी पते जैसे दुर्भावनापूर्ण संकेतकों की पहचान करके आपकी पहचान क्षमताओं को काफी हद तक बढ़ा सकती हैं। ये फ़ीडें आमतौर पर STIX प्रारूप का समर्थन करने वाले TAXII सर्वरों के माध्यम से या सीधे API अपलोड के ज़रिए एकीकृत की जाती हैं।.

Microsoft Sentinel उपयोगकर्ताओं को सूचित किया जाता है कि पुराना TIP डेटा कनेक्टर अप्रैल 2026 के बाद डेटा एकत्र करना बंद कर देगा। समय सीमा से पहले Threat Intelligence Upload Indicators API पर माइग्रेट करके अपडेट रहें।.

अंतर्निहित विश्लेषण नियम, जिन्हें अक्सर "टीआई मैप" नियम कहा जाता है, आयातित खतरे के संकेतकों को आपके मूल लॉग के साथ स्वचालित रूप से सहसंबंधित कर सकते हैं। उदाहरण के लिए, ये नियम आपके फ़ायरवॉल या DNS गतिविधि लॉग में दिखाई देने वाले खतरे फ़ीड से किसी दुर्भावनापूर्ण IP पते को चिह्नित कर सकते हैं। नवीनतम जानकारी और सिस्टम प्रदर्शन के बीच संतुलन बनाए रखने के लिए पोलिंग आवृत्ति और लुकबैक अवधि जैसी सेटिंग्स को ठीक से समायोजित करें। कई SIEM प्लेटफ़ॉर्म सटीकता सुनिश्चित करने के लिए हर 7 से 10 दिनों में खतरे के संकेतकों को रीफ़्रेश करते हैं।.

TAXII फ़ीड से कनेक्ट करते समय, सुनिश्चित करें कि आपके पास फ़ीड के दस्तावेज़ में बताए गए अनुसार सही API रूट URI और कलेक्शन ID हो। कुछ फ़ीड, जैसे कि FS-ISAC, के लिए कनेक्शन संबंधी समस्याओं से बचने के लिए आपको अपने SIEM क्लाइंट के IP पते को प्रदाता की अनुमति सूची में जोड़ना पड़ सकता है। पहचान के अलावा, स्वचालित प्लेबुक वायरसटोटल या रिस्कआईक्यू जैसे टूल से अतिरिक्त संदर्भ जोड़कर चिह्नित घटनाओं को और अधिक स्पष्ट कर सकते हैं, जिससे विश्लेषकों को संभावित खतरों की गंभीरता का शीघ्रता से मूल्यांकन करने में मदद मिलती है।.

चरण 5: घटना प्रतिक्रिया और शासन स्थापित करें

एक बार जब आपके डिटेक्शन नियम और थ्रेट फ़ीड सक्रिय हो जाते हैं, तो अगला कदम SIEM एक्सेस पर नियंत्रण को और मज़बूत करना और स्पष्ट प्रतिक्रियात्मक कार्रवाई परिभाषित करना है। इससे खतरों का उचित प्रबंधन सुनिश्चित होता है और अनधिकृत पहुंच को रोका जा सकता है। ये शासन उपाय एकीकरण और डेटा सामान्यीकरण के पूर्व चरणों पर आधारित हैं।.

भूमिका-आधारित अभिगमन नियंत्रण (आरबीएसी) स्थापित करें

आपके SIEM डेटा के एकीकृत होने के बाद, अब समय आ गया है कि आप इसका उपयोग करके पहुंच को प्रतिबंधित करें। आरबीएसी. यह दृष्टिकोण SIEM तक पहुंच को अधिकृत उपयोगकर्ताओं तक सीमित करता है, जो उनकी विशिष्ट कार्य भूमिकाओं पर आधारित है, और न्यूनतम विशेषाधिकार के सिद्धांत को लागू करता है। ऐसा करके, आप डेटा के आकस्मिक रिसाव या दुरुपयोग की संभावना को कम करते हैं। पहुंच को और अधिक सुरक्षित करने के लिए, सक्षम करें बहु-कारक प्रमाणीकरण (MFA) आपके SIEM और एंडपॉइंट टूल्स से जुड़े सभी खातों के लिए, अनधिकृत प्रवेश के अधिकांश प्रयासों को अवरुद्ध करना।.

अलग-अलग ज़रूरतों के हिसाब से भूमिका-आधारित दृश्य तैयार करें। उदाहरण के लिए, अधिकारी उच्च-स्तरीय सारांश देख सकते हैं, जबकि तकनीशियन विस्तृत लॉग डेटा प्राप्त कर सकते हैं। ओआथ 2.0 SIEM प्रमाणीकरण के लिए, इसे अपने पहचान प्रदाता के साथ पंजीकृत करके टोकन को सुरक्षित रूप से प्रबंधित करें। सेटअप के अलावा, इसमें शामिल करें उपयोगकर्ता एवं इकाई व्यवहार विश्लेषण (UEBA) पहुँच पैटर्न की निगरानी करने और यह सुनिश्चित करने के लिए कि उपयोगकर्ता की गतिविधियाँ उनकी अनुमतियों के अनुरूप हों, नियमित पहुँच ऑडिट आवश्यक हैं - उपयोगकर्ता अनुमतियों, अलर्ट दमन नियमों और डिवाइस बहिष्करणों की समीक्षा करके किसी भी कमज़ोरी की पहचान करें और उसका शीघ्र समाधान करें।.

घटना प्रतिक्रिया प्रक्रियाओं को परिभाषित करें

घटनाओं से निपटने के लिए विस्तृत कार्यप्रवाह तैयार करें, जो व्यापक प्लेबुक द्वारा समर्थित हों। प्रतिक्रियाओं को प्राथमिकता देने के लिए एक ट्राइएज टीम नियुक्त करें। सीआईए त्रय (गोपनीयता, अखंडता, उपलब्धता)। प्रत्येक कार्यभार टीम के पास तत्काल कार्रवाई के लिए आवश्यक सुरक्षा संदर्भ के साथ उच्च-प्राथमिकता वाले अलर्ट प्राप्त करने के लिए एक नामित संपर्क व्यक्ति होना चाहिए।.

आपके वर्कफ़्लो में एंडपॉइंट-विशिष्ट कार्य शामिल होने चाहिए, जैसे कि डिवाइस को अलग करना, डेटा को क्वारंटाइन करना और समझौता किए गए क्रेडेंशियल को रद्द करना। SOAR (सुरक्षा ऑर्केस्ट्रेशन, स्वचालन और प्रतिक्रिया) प्रभावित प्रणालियों को क्वारंटाइन करने जैसे दोहराए जाने वाले कार्यों को स्वचालित करने के साथ-साथ, सुरक्षा संचालन टीमों को तेजी से रोकथाम के लिए दूरस्थ रूप से कार्रवाई करने में सक्षम बनाना। जैसा कि ऑस्ट्रेलियाई सिग्नल निदेशालय बताता है:

""SOAR प्लेटफॉर्म कभी भी मानव घटना प्रतिक्रियाकर्ताओं की जगह नहीं ले सकता; हालांकि, विशिष्ट घटनाओं और दुर्घटनाओं पर प्रतिक्रिया देने में शामिल कुछ कार्यों को स्वचालित करके, यह कर्मचारियों को अधिक जटिल और उच्च-मूल्य वाली समस्याओं पर ध्यान केंद्रित करने की अनुमति दे सकता है।""

घटनाओं की नियमित समीक्षा करके अपनी प्रतिक्रिया योजनाओं को बेहतर बनाएं। विस्तृत ऑडिट ट्रेल बनाए रखने वाले टूल का उपयोग करें ताकि यह सत्यापित किया जा सके कि स्वचालित और मैन्युअल दोनों कार्रवाइयां प्रभावी हैं।.

सुरक्षित होस्टिंग पर निर्भर संगठनों के लिए, निम्नलिखित प्रदाता उपयुक्त विकल्प प्रदान करते हैं: Serverion इन घटना प्रतिक्रिया और शासन रणनीतियों के लिए समर्थन प्रदान करें, जिससे मजबूत प्रदर्शन और सुरक्षा सुनिश्चित हो सके।.

चरण 6: अपने सेटअप को सत्यापित और अनुकूलित करें

एक बार जब आप शासन व्यवस्था स्थापित कर लेते हैं और अपने सिस्टम को कॉन्फ़िगर कर लेते हैं, तो अगला कदम एक सक्रिय सुरक्षा अभियान के रूप में अपने एकीकरण को क्रियान्वित करना है। यहाँ सत्यापन महत्वपूर्ण है। जैसा कि नेटविटनेस ने सटीक रूप से कहा है:

""अधिकांश SIEM प्रोग्राम एक साधारण कारण से विफल हो जाते हैं: वे सब कुछ एकत्र कर लेते हैं, लेकिन वे यह साबित नहीं करते कि वे वास्तव में क्या पता लगा सकते हैं।""

इसका अर्थ यह है कि केवल डेटा एकत्र करना ही पर्याप्त नहीं है – आपको यह जांचना होगा कि आपका सिस्टम खतरों का पता लगाने और उन पर प्रतिक्रिया करने में कितना सक्षम है। पता लगाने की सटीकता और प्रदर्शन मानकों पर ध्यान केंद्रित करके, आप कच्चे डेटा संग्रह को एक प्रभावी सुरक्षा अभियान में बदल सकते हैं।.

परीक्षण पहचान सटीकता

सबसे पहले Metasploit जैसे टूल का उपयोग करके विरोधी सिमुलेशन चलाकर शुरुआत करें। इन सिमुलेशन में प्रारंभिक एक्सेस, निष्पादन और विशेषाधिकार वृद्धि जैसे चरण शामिल होने चाहिए। लक्ष्य यह सुनिश्चित करना है कि आपका SIEM वास्तविक दुनिया के खतरे के परिदृश्यों के दौरान कार्रवाई योग्य अलर्ट उत्पन्न करे। इस प्रक्रिया को और भी प्रभावी बनाने के लिए, प्रत्येक सहसंबंध नियम को विशिष्ट संदर्भों से मैप करें। MITRE ATT&CK तकनीकें. इससे आपको हमले के पूरे चक्र में कवरेज की कमियों को पहचानने में मदद मिलेगी। पता लगाने की प्रभावशीलता को मापने और सुधार के क्षेत्रों की पहचान करने के लिए 0-3 के स्कोरिंग पैमाने का उपयोग करें।.

एक और महत्वपूर्ण कदम यह सुनिश्चित करना है कि एंडपॉइंट इवेंट्स की संख्या आपके SIEM द्वारा प्राप्त की गई संख्या से मेल खाती हो। विसंगतियां डेटा हानि का संकेत दे सकती हैं। स्ट्रेस टेस्टिंग भी महत्वपूर्ण है – 10 लाख से अधिक इवेंट्स इंजेक्ट करके यह मूल्यांकन करें कि आपका सिस्टम उच्च लोड को कितनी अच्छी तरह से संभालता है और क्या दबाव में भी डैशबोर्ड प्रतिक्रियाशील बने रहते हैं। Windows Sysinternals Sysmon जैसे टूल सिस्टम गतिविधि में दृश्यता बढ़ा सकते हैं, जिससे आपकी EDR को बेहतर पहचान क्षमता मिलती है। साइबर अपराधियों द्वारा अब औसतन मात्र 48 मिनट (और कुछ मामलों में 51 सेकंड तक) में सेंधमारी करने का समय प्राप्त करने के साथ, पहचान सटीकता को बेहतर बनाना पहले से कहीं अधिक महत्वपूर्ण है।.

जब आपको अपनी पहचान क्षमताओं पर पूरा भरोसा हो जाए, तो परिचालन प्रदर्शन मापदंडों पर ध्यान केंद्रित करें।.

प्रदर्शन मैट्रिक्स की समीक्षा करें

आपके सिस्टम की दक्षता का मूल्यांकन करने के लिए मीन टाइम टू डिटेक्ट (MTTD) और मीन टाइम टू रिस्पॉन्ड (MTTR) जैसे प्रमुख मेट्रिक्स आवश्यक हैं। उद्योग का औसत MTTD लगभग 207 दिन है, जबकि शीर्ष स्तरीय सुरक्षा संचालन केंद्र (SOC) गंभीर खतरों के लिए पता लगाने के समय को कुछ मिनटों तक कम करने का लक्ष्य रखते हैं। इसी प्रकार, आपका सिस्टम भी इन मेट्रिक्स का उपयोग करके महत्वपूर्ण खतरों का पता लगाने के लिए आवश्यक समय का आकलन कर सकता है। अलर्ट से घटना में रूपांतरण दर यह 15% और 25% के बीच होना चाहिए। यदि यह 10% से कम है, तो यह स्पष्ट संकेत है कि आपके सिस्टम को ट्यूनिंग की आवश्यकता है।.

रीयल-टाइम रिस्पॉन्स लॉग इनgestion में होने वाली देरी को कम करने पर भी निर्भर करता है – महत्वपूर्ण लॉग्स में 60 सेकंड से कम का अंतराल होना चाहिए। इसके अलावा, उच्च CPU या मेमोरी उपयोग को चिह्नित करने के लिए स्वचालित अलर्ट सेट करें, क्योंकि संसाधन अवरोध घटना का पता लगाने में देरी कर सकते हैं। नियमित समीक्षा आवश्यक है: प्रदर्शन मेट्रिक्स का विश्लेषण करने और नवीनतम डेटा के आधार पर डिटेक्शन लॉजिक को समायोजित करने के लिए अपनी SOC टीम के साथ साप्ताहिक बैठक करें। अपने SIEM को उसकी लाइसेंस क्षमता के 80% से अधिक पर चलाने से बचें, क्योंकि इस सीमा को पार करने से उच्च जोखिम वाली सुरक्षा घटनाओं के दौरान लॉग्स ड्रॉप हो सकते हैं।.

निष्कर्ष

एंडपॉइंट सिस्टम के साथ SIEM को एकीकृत करना एक सतत प्रक्रिया है जिसके लिए नियमित अपडेट और सुधार की आवश्यकता होती है। हंट्रेस की लिज़ी डेनियलसन ने बिल्कुल सही कहा है:

"कोई भी प्रोजेक्ट कभी पूरी तरह से 'समाप्त' नहीं होता। सिस्टम के बारे में आपकी समझ लगातार विकसित होती रहेगी। आपके खिलाफ आने वाले साइबर खतरे भी लगातार विकसित होते रहेंगे। अंततः, आपके पास मौजूद तकनीक भी लगातार विकसित होती रहेगी। सुरक्षित रहने का एकमात्र तरीका है कि आप अपने SIEM कार्यान्वयन को इनके साथ-साथ विकसित करते रहें।‘

सबसे पहले महत्वपूर्ण लॉग्स पर ध्यान केंद्रित करें। इसमें एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (ईडीआर) लॉग्स, नेटवर्क डिवाइस लॉग्स और डोमेन कंट्रोलर इवेंट्स शामिल हैं। एंडपॉइंट इवेंट्स को बड़ी घटनाओं से जोड़ने वाला एक मजबूत आधार बनाने से जांच का समय काफी कम हो सकता है।.

टीम प्रशिक्षण के महत्व को नज़रअंदाज़ न करें। Cyber.gov.au इस बात को स्पष्ट रूप से बताता है: "केवल तकनीक में नहीं, प्रशिक्षण में निवेश करें।" आपकी आंतरिक टीम आपके नेटवर्क को किसी और से बेहतर जानती है, जिससे वे सूक्ष्म खतरों की पहचान करने में महत्वपूर्ण भूमिका निभाते हैं। घटना संबंधी जानकारी की समीक्षा करके, खतरे के डेटा का विश्लेषण करके और प्लेटफ़ॉर्म में होने वाले परिवर्तनों से अवगत रहकर उन्हें चुस्त-दुरुस्त रखें। ये कदम स्वाभाविक रूप से आपके SIEM कार्यान्वयन के शुरुआती चरणों को पूरा करेंगे।.

अपने SIEM सिस्टम के स्वास्थ्य और प्रदर्शन की निगरानी को नियमित कार्य बनाएं। सुनिश्चित करें कि उच्च प्राथमिकता वाले डेटा स्रोत लगातार लॉग भेज रहे हैं और आपका इंफ्रास्ट्रक्चर आवश्यकतानुसार लॉग की बढ़ी हुई मात्रा को संभालने में सक्षम है। अलर्ट दमन नियमों और कस्टम पहचानों का नियमित ऑडिट करने से संभावित सुरक्षा खामियों को दूर करने में मदद मिल सकती है।.

मजबूत SIEM एकीकरण के साथ-साथ सुरक्षित एंटरप्राइज-ग्रेड होस्टिंग का लक्ष्य रखने वाले संगठनों के लिए, Serverion आज की सुरक्षा चुनौतियों का सामना करने के लिए डिज़ाइन किए गए समाधान प्रदान करता है।.

पूछे जाने वाले प्रश्न

मुझे यह सुनिश्चित करने के लिए क्या कदम उठाने चाहिए कि मेरा SIEM सिस्टम मेरे एंडपॉइंट सुरक्षा उपकरणों के साथ निर्बाध रूप से काम करे?

यह सुनिश्चित करने के लिए कि आपका SIEM सिस्टम आपके एंडपॉइंट सुरक्षा टूल के साथ सुचारू रूप से काम करे, सबसे पहले यह जांचें कि क्या आपका SIEM एंडपॉइंट समाधान द्वारा उपयोग किए जाने वाले लॉग फॉर्मेट और प्रोटोकॉल को संभाल सकता है। पुष्टि करें कि यह समर्थित तरीकों जैसे कि के माध्यम से लॉग प्राप्त करने के लिए सेट अप किया गया है। सिस्लॉग, एपीआई, या फ़ाइल निर्यात. साथ ही, सुरक्षित संचार सुनिश्चित करने के लिए यह भी दोबारा जांच लें कि आईपी पते या डीएनएस कॉन्फ़िगरेशन जैसी नेटवर्क सेटिंग्स सही ढंग से सेट की गई हैं।.

यदि आप क्लाउड-मैनेज्ड एंडपॉइंट टूल्स का उपयोग कर रहे हैं, तो देखें कि क्या आपका SIEM डेटा इनपुट को सपोर्ट करता है या नहीं। एपीआई कनेक्शन या क्लाउड स्टोरेज इंटीग्रेशन (जैसे, AWS S3)। इंटीग्रेशन के साथ आगे बढ़ने से पहले, दोनों सिस्टमों की अनुकूलता, समर्थित प्रोटोकॉल और किसी भी विशिष्ट सेटअप निर्देशों की पुष्टि करने के लिए उनके दस्तावेज़ों की समीक्षा करना एक अच्छा विचार है।.

SIEM-एंडपॉइंट सिक्योरिटी सेटअप में प्रभावी लॉग इनgestion के लिए मुझे किन डेटा स्रोतों पर ध्यान केंद्रित करना चाहिए?

अपने SIEM-एंडपॉइंट सिक्योरिटी सेटअप को कुशल बनाने के लिए, निम्नलिखित बातों पर ध्यान दें: उच्च-मूल्य डेटा स्रोत जो व्यापक दृश्यता प्रदान करते हैं और खतरों को जल्दी पहचानने में मदद करते हैं। शुरुआत करें एंडपॉइंट लॉग, ये लॉग महत्वपूर्ण गतिविधियों जैसे कि प्रक्रिया निष्पादन, फ़ाइल संशोधन और नेटवर्क कनेक्शन पर नज़र रखते हैं - जो अक्सर दुर्भावनापूर्ण व्यवहार के शुरुआती संकेत होते हैं। अन्य आवश्यक लॉग में शामिल हैं: डोमेन नियंत्रक (उपयोगकर्ता प्रमाणीकरण की निगरानी के लिए), नेटवर्क उपकरण (यातायात का विश्लेषण करने के लिए), और क्लाउड वातावरण (क्लाउड गतिविधि पर नज़र रखने के लिए)। ये स्रोत मिलकर आपके नेटवर्क में संदिग्ध पैटर्न को उजागर करते हैं।.

इन महत्वपूर्ण क्षेत्रों पर ध्यान केंद्रित करके, आप अनावश्यक डेटा में उलझे बिना संभावित हमलों के अधिक क्षेत्रों को कवर कर सकते हैं। डेटा की गुणवत्ता और विश्वसनीयता बनाए रखने के लिए विस्तृत ऑडिट नीतियां बनाना और लॉग परिवहन के लिए सुरक्षित तरीकों का उपयोग करना सुनिश्चित करें।.

मैं SIEM-एंडपॉइंट सिक्योरिटी सेटअप में अपने खतरे का पता लगाने वाले नियमों के प्रदर्शन का मूल्यांकन कैसे कर सकता हूँ?

यह मापने के लिए कि आपके खतरे का पता लगाने वाले नियम कितने कारगर हैं, कुछ प्रमुख मापदंडों पर ध्यान केंद्रित करें: सच्चे सकारात्मक, गलत सकारात्मक, और गलत नकारात्मक.

सच्चे सकारात्मक यह आपके सिस्टम द्वारा सही ढंग से पहचाने गए खतरों को दर्शाता है, और यह भी दिखाता है कि यह दुर्भावनापूर्ण गतिविधि को कितनी प्रभावी ढंग से पकड़ता है।.
गलत सकारात्मक कुछ हानिरहित गतिविधियों को भी खतरे के रूप में चिह्नित किया जाता है, जिससे अनावश्यक अलर्ट जारी होते हैं और समय बर्बाद होता है। इन्हें कम रखने से कार्यकुशलता बढ़ती है।.
गलत नकारात्मक ये वे खतरे हैं जिन्हें आपका सिस्टम पूरी तरह से नजरअंदाज कर देता है, और संभावित सुरक्षा उल्लंघनों से बचने के लिए इन्हें कम करना महत्वपूर्ण है।.

नियमित परीक्षण और समायोजन इन मापदंडों की निगरानी के समान ही महत्वपूर्ण हैं। इसका अर्थ है अलर्ट की गुणवत्ता की समीक्षा करना, घटनाओं के परिणामों का विश्लेषण करना और नए खतरों से निपटने के लिए नियमों की सेटिंग में बदलाव करना। इन प्रक्रियाओं को निरंतर सुधारों के साथ मिलाकर, आप उद्यम स्तर पर एक सटीक और भरोसेमंद पहचान प्रणाली बनाए रख सकते हैं।.

संबंधित ब्लॉग पोस्ट

दूर दूर तक, शब्द मौन तान के पीछे, देशों से दूर वोकलिया और कोनसोन्टेनिया, वहाँ अंधे ग्रंथ रहते हैं। अलग वे समुद्र के किनारे पर बुकमार्कस्ग्रोव में रहते हैं

759 पाइनवुड एवेन्यू
मार्क्वेट, मिशिगन

अभी खरीदो