ManageEngine cập nhật SIEM Log360 nhằm giảm tải cảnh báo giả
Bản nâng cấp cho giải pháp quản lý sự kiện và thông tin bảo mật (SIEM) Log360, thiết kế lại phương pháp phát hiện mối đe dọa.
Bản cập nhật này được ManageEngine đưa ra nhằm giải quyết tình trạng quá tải cảnh báo mà các trung tâm điều hành bảo mật (SOC) hiện đại đang phải đối mặt. Theo nghiên cứu do Google ủy quyền năm 2025, hơn 60% đội ngũ SOC đang gặp khó khăn với dữ liệu không liên quan, với 53% cảnh báo bảo mật trên đám mây được xem là nhiễu.
Các tính năng mới của Log360 gồm bảng điều khiển phát hiện tập trung, hợp nhất các quy tắc phù hợp với khung mô hình MITRE ATT&CK, logic tương quan, cùng với dữ liệu từ phân tích hành vi người dùng và thực thể (UEBA) vào 1 giao diện duy nhất. Cải tiến quan trọng là việc bổ sung các bộ lọc quy tắc ở cấp đối tượng cho người dùng, nhóm và đơn vị tổ chức (OU) của Active Directory. Tính năng này cho phép các đội ngũ bảo mật giám sát liên tục các danh tính có giá trị cao trong khi loại bỏ các cảnh báo có mức độ ưu tiên thấp.
Nền tảng SIEM Log360 hiện cung cấp hơn 1500 quy tắc phát hiện được xây dựng sẵn, bao gồm các kịch bản tấn công như leo thang đặc quyền và can thiệp vào thiết bị đầu cuối. Các quy tắc này được nghiên cứu và kiểm tra bởi đội ngũ nội bộ của ManageEngine, phân phối liên tục đến người dùng thông qua cơ chế cập nhật từ đám mây. Kiến trúc của Log360 cũng được nâng cấp thành mô hình đa tầng để hỗ trợ khả năng mở rộng cho các doanh nghiệp lớn, cho phép xử lý log theo vai trò và thu thập dữ liệu tập trung từ nhiều địa điểm.
Hiệu quả của bản nâng cấp đã được kiểm chứng trong giai đoạn thử nghiệm beta bởi Emergency Communications of Southern Oregon (ECSO) 911 - trung tâm điều phối khẩn cấp tại Hoa Kỳ. Ông Corey Nelson, Giám đốc CNTT tại ECSO 911, cho biết các quy tắc phát hiện và kỹ thuật lọc mới của Log360 đã giúp tổ chức giảm 90% số lượng cảnh báo sai hoặc có mức độ ưu tiên thấp. Điều này cho phép các chuyên gia phân tích của họ tập trung vào các mối đe dọa quan trọng hơn và tăng tốc độ phản ứng với các sự cố mạng.
Theo ông Manikandan Thangaraj, Phó Chủ tịch tại ManageEngine, thách thức chính của các đội ngũ bảo mật là phân biệt tín hiệu thực sự khỏi lượng lớn dữ liệu nhiễu. Ông cho biết hệ thống phát hiện được thiết kế lại, cho phép các chuyên gia phân tích SOC tinh chỉnh quy tắc linh hoạt và chi tiết. Nhờ lọc bỏ các cảnh báo không nguy hiểm mà không ảnh hưởng đến khả năng phát hiện các cuộc tấn công thực sự, chuyên gia có thể chuyển trọng tâm từ việc giám sát liên tục sang theo dõi các mối đe dọa có mục tiêu.
