SIEM

背景和介绍

SIEM（Security Information and Event Management，简称SIEM）安全信息和事件管理，最初是被设计为一个工具，辅助企业实现合规和特定行业的规定。从时间维度上讲，SIEM是已经存活了近20年的技术。
其结合安全信息管理（security information management, SIM）和安全事件管理（security event management, SEM）并且提供网络威胁检测的基础。
SIEM技术通过收集和分析log数据、安全事件和其他事件或数据源帮助处理安全事件。SOC（security operations center, SOC）分析专家使用SIEM工具迅速处理安全事件、检测并响应潜在威胁。
根据Gartner，如今，寻求SIEM的企业需要一种解决方案来实时收集安全事件日志和遥测数据用于威胁检测，事件响应和合规用例。
他们也需要能力去分析遥测数据检测攻击和其他被标记的活动。SIEM还提供了调查事件、报告活动以及存储相关事件和日志的能力。
总之，SIEM解决方案在帮助安全团队增强网络安全工作方面起到关键性作用。

SIEM工作原理

SIEM通过收集企业内网络的多源安全相关数据如防火墙日志，IDS日志，服务器和应用日志发挥作用。这些数据聚合到数据中台进行存储，在这里实现关联分析来识别模式，异常以及潜在安全事件。
SIEM对这些事件生成告警，允许安全分析师调查和响应。它还提供合规性需求的报告功能，并与外部威胁情报源集成以增强其检测能力。
注意一点，SIEM是实时运行，持续监控网络，适应及学习新的模式来提高检测准确性。

SIEM解决方案的部署

SIEM解决方案可以差异化部署，这依赖企业组织的需求和资源。以下是常见的部署选项：

• 本地部署
  这种部署方式，是企业local模式，也就是SIEM解决方案部署在企业组织内，作为基础设施，通常是那种政府事业单位。通常涉及搭建专用硬件或虚拟机来托管SIEM软件。企业完全掌控基础设施，包含数据存储和运维，但是需要必备的硬件和软件许可，以及专业化的管理和运行SIEM系统。
• 基于云部署
  SIEM解决方案也能部署在云，利用基础设施即服务（infrastructure as a service, IaaS）或者软件即服务模型（software-as-a-service models）。基于云的部署，组织利用供应商的基础设施，消除了本地硬件和维护开销。SIEM供应商负责硬件供应、软件更新和可伸缩性，而组织则专注于配置和管理SIEM平台。
• 混合部署
  组织可以采用混合方法即混合本地部署和云端部署。他们也许选择在本地保留关键敏感数据或核心系统，而同时利用云做扩展或某些特定应用。这种方式具有灵活性并且允许组织调整SIEM适应其特定需求。
• 安全管理服务供应商（Managed security service providers, MSSPs）
  某些组织也喜欢外包其SIEM部署和管理给MSSPs。MSSPs提供专业化服务在部署、配置和运维SIEM解决方案。他们监控并管理SIEM基础设施，分析安全事件并提供可操作的洞察给组织的安全团队。这种解决方案适合与资源有限或者寻求外部专业技能增强其安全运行的组织。

注意一点：部署SIEM，组织通常会考虑的因素很多，例如IT基础设施，数据敏感性、合规需求、可扩展性需求、预算、专业知识。评估每种部署选项的优点和优缺点，以确定最适合其特定环境的方法，这一点至关重要。

SIEM Logging

SIEM日志是指在IT环境使用SIEM系统进行多源数据收集、存储和分析日志的过程。此过程是SIEM系统操作的基础，因为它使SIEM系统能够执行安全监视、事件关联和事件响应等核心功能。下面是SIEM日志记录的各个方面:

• 1.收集：SIEM系统从网络设备、服务器和安全系统如防火墙收集日志。
• 2.存储：日志存储在中心系统，易访问和分析。
• 3.分析：系统利用一些技术如模式识别分析这些日志识别潜在安全威胁。
• 4.可视化：提供报告和dashboard来帮助可视化和解释安全数据。

SIEM日志对有效安全管理是至关重要的，因为其提供了数据支持所有其他SIEM功能，更有效地使能组织企业来检测、调查和响应安全事件。

SIEM功能

SIEM的主要功能是聚合数据负载，并将其整合到一个系统中，以实现可搜索性和报告目的。SIEM提供的对企业最有用的关键功能包括:

• 获取用于监控，告警，调查和特别搜索的数据
• UEBA（User and entity behavior analytics, UEBA）用户实体行为分析检测异常行为或可疑活动，特别针对用户、实体或应用。UEBA分析模式和正常行为偏移来识别内部威胁或失陷账号。
• 从多源如网络设备，服务器，终端，应用和安全工具收集和聚合数据，并进行中心化存储和安全相关数据分析。
• 日志分析和取证功能允许安全团队调查和分析安全事件。它们提供了历史log数据，检索功能和可视化工具来了解攻击时间线，受影响系统和潜在根因。
• 实时持续监控事件，分析日志和应用预定义的规则和关联技术针对潜在安全事件或异常提供及时告警和提示。
• 通过利用高级分析、机器学习和行为分析识别模式，异常和潜在安全威胁。通过从多源关联事件和纳入威胁情报，SIEM增强高级攻击的检测。
• 从数据中搜索和报告实现高级漏洞分析
• 提供工作流和自动化功能，以促进事件响应，并使安全团队能够在事件解决过程中跟踪和管理事件、分配任务和有效协作。
• 与各种安全工具(如防火墙、入侵检测系统(IDS)和漏洞扫描器)集成，以收集额外的上下文信息并丰富安全事件分析。与编排平台的集成支持自动响应和修复操作。
• 通过在集中存储库中收集和存储日志、提供预定义的遵从性规则、生成报告和协助审计来满足遵从性需求。
• 通过提供度量、趋势和执行摘要的可定制指示板和报告功能，有效地可视化和交流安全洞察，以展示安全状态并支持决策。
• 长期存储历史日志数据不仅可以帮助遵守法规，还可以随着时间的推移使数据相互关联，以便在发生数据泄露时帮助安全分析师进行取证和调查。

以上这些功能共同使安全团队能够有效检测，响应和缓解安全事件，使组织主动防护数字资产和基础设施。

其他安全产品与SIEM对比