SIEM在《个人信息保护法》中的重要性

《个人信息保护法》（POPIA）的一个重要方面是向有关部门通报相关数据及安全漏洞（未经授权的个人数据暴露）。从欧盟（GDPR）到美国（CCPA），再到巴西，菲律宾和澳大利亚，世界各地的几项数据保护法规都规定了数据泄露通知。目的是使企业对个人数据的保护负责，并对数据隐私负责。这就是为什么不遵守POPIA可能导致最高1000万罚款。

组织应该做什么？

根据 POPIA的第22节，涉及安全漏洞的通知，组织必须将未经授权的个人数据访问及获取通知利益相关者。根据具体情况，该通知必须以物理或电子方式发送给数据主体，在组织的网站上发布或向媒体宣布。需要注意的重要一点是，通知不仅仅是让利益相关者收知信息。该通知还必须汇总违规的重要细节，例如：

可能引起的后果或危险。
为解决违规行为而采取的措施。
关于数据主体如何保护自己的建议。
进行***的犯罪者的身份（如果被发现）。

有关更多详细信息，请参见官方页面 。为了达到这些要求，组织必须实施技术措施（安全解决方案和流程）以保护个人数据在收集，处理和存储期间的安全。

使用安全监视技术保护网络免受破坏

首先，组织必须部署预防性安全控制措施（例如定期修补其系统，配置防火墙策略和将应用程序列入白名单）来减少遭到破坏的机会。但是，预防性安全解决方案不能保证100％的安全性，组织必须准备好检测并缓解不可避免地绕过预防性措施的安全事件。

监视网络可以使您在早期阶段迅速识别出***，从而帮助您阻止***尝试为时已晚。即使在最坏的数据泄露情况下，您也可以进行损坏控制并收集在报告安全漏洞时必须提供的重要法证证据。

请记住，安全漏洞的通知必须包含有关事件的重要详细信息，包括已采取的补救措施。因此，鉴于POPIA，网络日志以及安全信息和事件管理（SIEM）至关重要。您可以从四个方面立即开始监视以提高安全性：

1.数据访问和修改：
通过跟踪未经授权的USB，打印机和电子邮件活动，通过防止数据泄漏的措施来增强这一功能。

2.活动目录更改审核：
跟踪对用户，计算机，组，OU和GPO所做的更改。

3.网络外部监视：
审核传入和传出流量，并注意恶意通信。

4.用户活动监视：
跟踪用户执行的操作，例如登录和文件访问，尤其是那些有权访问关键资源的用户。注意事件的异常模式。

为什么集中监控如此重要？

SIEM解决方案可以帮助您了解网络中发生的重要安全事件。这样，您可以及早发现潜在的安全事件，快速调查该事件，并在为时已晚之前解决此问题。

可考虑以下用例：

通过将该用户添加到Active Directory中的Enterprise Admin组，可以升级员工的域特权。此类事件可能会提供未经授权的访问，从而可能危及您的安全系统。

在非工作时间内，多个帐户发生多次失败的登录。这可能是密码***。

网络中的受感染主机正在与回调服务器通信。敏感数据可能已从您的公司网络中被盗。
您是否可以在组织中处理此类案件？必须立即查明并阻止此类案件。随着POPIA的实施，现在是评估您的安全状况并增强监视措施的好时机。

必备的SIEM功能

SIEM解决方案是在组织中实施端到端安全监视的理想方法。为了帮助您入门，这是您必须实现的SIEM功能列表：

日志聚合：集中来自服务器，应用程序，防火墙，数据库以及网络中所有其他重要组件的日志。

日志存档：安全地存储日志，以便在发现违规行为时可以进行法医调查。

审核报告生成：安排每日报告以审核感兴趣的安全事件并发现可疑事件。

警报：设置警报以指示威胁，以立即发现安全威胁。

文件完整性监视：跟踪所有更改-文件，文件夹的访问，创建，删除，修改和重命名。

行为分析：分析用户和系统行为，以发现异常活动，这些活动是***的典型标志。

威胁情报：与威胁情报摘要同步，以检测与列入黑名单的IP，域和URL的网络通信。

事件管理：利用自动化工作流等技术简化事件的调查，管理和响应过程。

使用ManageEngine Log360缓解数据泄露

Log360是一个全面的SIEM解决方案，可以分析整个网络中的日志，以帮助您的组织保持安全并符合POPIA。