SIEM中的安全事件管理-编程知识

组织经常面临意外和未知的安全威胁，无论威胁的级别、类型或大小如何，它们的存在都会对企业的整体运作产生冲击，事件管理是尽快识别和响应这些中断以最大程度地减少其对日常业务运营的影响的过程。

什么是安全事件

安全事件是指示对组织网络构成威胁的事件，并且对组织具有一定程度的严重性和潜在风险，如果未被发现，安全事件可能会从外部和内部危害您的系统或数据。这些被称为外部和内部威胁。

外部威胁：外部威胁来自网络外部，由黑客发起。攻击者采用各种策略来破坏网络，包括数据操纵、网络钓鱼攻击、恶意软件攻击、拒绝服务（DoS）攻击、中间人攻击等。
内部威胁：当内部人员滥用其权限导致组织网络中断时，就会发生内部威胁。这些威胁可能导致敏感数据操纵、身份盗用、数据泄露、策略滥用、资源匮乏等等。内部威胁可能是偶然的，也可能是故意的，从系统管理员犯错误导致安全事件，到授权员工恶意篡改敏感数据。

什么是事件管理

事件管理是检测、分类、分析和解决事件的过程，事件管理使用各种技术和工具尝试减少事件的平均检测时间（MTTD）和平均解决时间（MTTR）。

事件发生和解决之间的时间可能是组织的安全性是否受到损害之间的差异。通常，安全信息和事件管理（SIEM）解决方案附带一个全面的事件管理模块，以解决关键安全问题，确保组织的网络安全可靠。

在这里插入图片描述

安全事件检测

安全事件表示网络中的系统和数据已被泄露或滥用。单个安全事件可能是更大的针对性攻击的一部分，例如分布式拒绝服务（DDoS）、勒索软件或高级持续攻击。安全攻击不仅会影响组织的财务状况，还会影响其声誉，这就是为什么在安全事件发生后立即检测到它、立即缓解威胁以及遏制或减少攻击的影响至关重要的原因。

检测安全事件的挑战
帮助检测安全事件的机制

检测安全事件的挑战

由于各种原因，检测安全事件或数据泄露给组织带来了挑战。它通常涉及从大量的假警报中发现妥协的迹象。尽管防火墙和杀毒软件等一般的预防系统会对异常行为发出警报，但它们并不能提供更全面的信息。对于每个触发的警报，您需要调查它被触发的原因，这将增加解析时间。

帮助检测安全事件的机制

SIEM 解决方案通过各种机制克服了事件检测的挑战。

日志关联
威胁情报
异常用户行为分析

日志关联

日志关联通过分析来自各种源的日志来查找活动中的重要模式，尽管单个事件可能看起来并不可疑，但将其与相关事件序列相关联可以显示威胁的迹象。

构建定义攻击模式外观的良好关联规则有助于发现已知的攻击模式，并可用于识别和阻止可疑活动。例如，您可以为以下顺序构建规则：

“一种检测多个VPN登录失败的规则，随后在Windows设备上成功登录VPN并立即远程登录，之后安装可疑软件。”

单独来看，这些事件似乎并不引人注目，但关联规则有助于连接这些事件，以突出显示 SIEM 系统可用于在此类安全事件发生时立即检测的攻击模式。

威胁情报

威胁情报通过使用威胁源来识别事件，从而帮助早期事件检测。SIEM 解决方案中的威胁情报模块利用来自各种来源的威胁数据，从基于开源 STIX/TAXII 的威胁源到特定于供应商的第三方威胁源。它们提供了最新、最可靠的威胁信息，可帮助缓解网络威胁。通过定期更新的威胁数据库，SIEM 解决方案可以立即检测网络中演变的安全事件。