SIEM在《我的信息保护法》中的重要性

《我的信息保护法》（POPIA）的一个重要方面是向有关部门通报相关数据及安全漏洞（未经受权的我的数据暴露）。从欧盟（GDPR）到美国（CCPA），再到巴西，菲律宾和澳大利亚，世界各地的几项数据保护法规都规定了数据泄露通知。目的是使企业对我的数据的保护负责，并对数据隐私负责。这就是为何不遵照POPIA可能致使最高1000万罚款。

组织应该作什么？

根据 POPIA的第22节，涉及安全漏洞的通知，组织必须将未经受权的我的数据访问及获取通知利益相关者。根据具体状况，该通知必须以物理或电子方式发送给数据主体，在组织的网站上发布或向媒体宣布。须要注意的重要一点是，通知不只仅是让利益相关者收知信息。该通知还必须汇总违规的重要细节，例如：

可能引发的后果或危险。
为解决违规行为而采起的措施。
关于数据主体如何保护本身的建议。
进行***的犯罪者的身份（若是被发现）。

有关更多详细信息，请参见官方页面 。为了达到这些要求，组织必须实施技术措施（安全解决方案和流程）以保护我的数据在收集，处理和存储期间的安全。

使用安全监视技术保护网络免受破坏

首先，组织必须部署预防性安全控制措施（例如按期修补其系统，配置防火墙策略和将应用程序列入白名单）来减小遭到破坏的机会。可是，预防性安全解决方案不能保证100％的安全性，组织必须准备好检测并缓解不可避免地绕过预防性措施的安全事件。

监视网络可使您在早期阶段迅速识别出***，从而帮助您阻止***尝试为时已晚。即便在最坏的数据泄露状况下，您也能够进行损坏控制并收集在报告安全漏洞时必须提供的重要法证证据。

请记住，安全漏洞的通知必须包含有关事件的重要详细信息，包括已采起的补救措施。所以，鉴于POPIA，网络日志以及安全信息和事件管理（SIEM）相当重要。您能够从四个方面当即开始监视以提升安全性：

1.数据访问和修改：
经过跟踪未经受权的USB，打印机和电子邮件活动，经过防止数据泄漏的措施来加强这一功能。

2.活动目录更改审核：
跟踪对用户，计算机，组，OU和GPO所作的更改。

3.网络外部监视：
审核传入和传出流量，并注意恶意通讯。

4.用户活动监视：
跟踪用户执行的操做，例如登陆和文件访问，尤为是那些有权访问关键资源的用户。注意事件的异常模式。

为何集中监控如此重要？

SIEM解决方案能够帮助您了解网络中发生的重要安全事件。这样，您能够及早发现潜在的安全事件，快速调查该事件，并在为时已晚以前解决此问题。

可考虑如下用例：

经过将该用户添加到Active Directory中的Enterprise Admin组，能够升级员工的域特权。此类事件可能会提供未经受权的访问，从而可能危及您的安全系统。

在非工做时间内，多个账户发生屡次失败的登陆。这多是密码***。

网络中的受感染主机正在与回调服务器通讯。敏感数据可能已从您的公司网络中被盗。
您是否能够在组织中处理此类案件？必须当即查明并阻止此类案件。随着POPIA的实施，如今是评估您的安全情况并加强监视措施的好时机。

必备的SIEM功能

SIEM解决方案是在组织中实施端到端安全监视的理想方法。为了帮助您入门，这是您必须实现的SIEM功能列表：

日志聚合：集中来自服务器，应用程序，防火墙，数据库以及网络中全部其余重要组件的日志。

日志存档：安全地存储日志，以便在发现违规行为时能够进行法医调查。

审核报告生成：安排每日报告以审核感兴趣的安全事件并发现可疑事件。

警报：设置警报以指示威胁，以当即发现安全威胁。

文件完整性监视：跟踪全部更改-文件，文件夹的访问，建立，删除，修改和重命名。

行为分析：分析用户和系统行为，以发现异常活动，这些活动是***的典型标志。

威胁情报：与威胁情报摘要同步，以检测与列入黑名单的IP，域和URL的网络通讯。

事件管理：利用自动化工做流等技术简化事件的调查，管理和响应过程。

使用ManageEngine Log360缓解数据泄露

Log360是一个全面的SIEM解决方案，能够分析整个网络中的日志，以帮助您的组织保持安全并符合POPIA。