安全信息事件管理(siem)工具 把整个IT网络的数据集中,关联,分析,检测安全问题。。siem的核心功能包括记录管理和集中化、安全事件检测和报告、搜索功能等。。通过将这些组合起来,企业可以满足合规要求,更快地识别并封锁攻击者。。
最新的siem必须具备数据收集、分析和应对三大核心功能,以实现当前混合环境和多云环境所需的安全监控和可视化。。siem的作用是捕获整个网络的数据(数据收集),识别(分析)恶意行为,向安全团队和IT团队发出警报,并提供必要的可视性和信息,以便在问题变得严重之前采取措施。提供(回应)报告。。如果合规报告具有重要地位,siem需要支持仪表板以确保安全策略被应用。
如果部署得当,siem可以同时检测已知和未知的威胁,从而实现一定程度上降低网络风险所需的可视化。。siem解决方案已经存在了大约20年。。而最新的siem已经不再是记录管理工具的雏形。。随着安全环境的进步,siem也在进步(至少部分产品在进步)。。现在最有效的自动化解决方案有以下几个特点。。
时间和精确度变得非常重要。。使用siem工具,你可以每天看到数十亿件事件。。大量的信息必须经过筛选。。我们需要siem解决方案来验证哪些是有益的行为,哪些是同样重要的。。解决方案的适合度越高,你就越不可能做出噩梦般的新闻发布,或者陷入财务危机。。
siem解决方案需要的功能可以是:。
即使对于技术最先进的安全人员来说,设置IEM工具也是一项复杂的工作。。但是,如果你能正确设置,你就能消除网络的盲点。。第一步是了解现有的网络和安全栈,并找到从这些点收集日志信息的方法。。另外,如果供应商没有提供SaaS存储选项,你需要考虑硬件扩展计划。 最后,一边运行一边推进的步骤是,创建规则来检测感兴趣的事件,并生成报告,以确定网络整体风险的主要指标。。关于siem工具功能和供应商的第三方分析结果,请看2019年版的gartner magic quadrent。。
使用siem工具对日志的有效管理包括:网络可视化、遵守规则、事故的检测和应对的信任。 。作为一名安全专家,为了识别侵犯迹象(IoC),找到受影响的用户和系统,并与修复团队共享最终范围,需要将可疑数据(通常使用结构性查询语言或SQL)你需要调查的能力。。通常,日志的管理要求建立数据索引,并与其他数据集建立关联。。我们的最终目标是在一个集成的仪表板上方便地搜索威胁。。
在设置之后,为了有效使用siem,警报和报告的构成变得非常重要。。 安全实务人员需要不断改进siem,以获取网络中发生的重要安全事件。。 siem工具共同的挑战是产生大量的低优先级警报,使得安全团队无法花时间进行调查。。这就是为什么为了有效地只发现相关的威胁行动,不断地制定新的规则,调整现有的规则很重要的原因。。
有很多需要学习的东西和新的东西。。但是,即使感觉被压倒了也不能停止对策。。攻击以各种形式和大小发生,理解整个范围并不是“知道就方便”的事。。如果你能熟练使用siem,那么你就能了解现在和将来哪些策略是有效的,哪些策略需要改进,从而提高更多任务的效率。。