SIEM 代表安全、信息和事件管理( Security, Information, and Event Management.)。SIEM 技术将日志数据、安全警报和事件聚合到一个集中平台中,为安全监控提供实时分析。
SIEM软件通过收集从应用程序、设备、网络、基础设施和系统中产生的日志和事件数据来进行分析,并提供一个组织的信息技术(IT)的整体视图。
SIEM解决方案可以驻扎在企业内部或云环境中。SIEM解决方案实时分析所有数据,使用规则和统计关联来推动取证调查期间的行动洞察力。SIEM技术检查所有数据,根据其风险等级对威胁活动进行分类,以帮助安全团队识别恶意行为者并迅速缓解网络攻击。
SIEM解决方案已经存在了15年以上,但今天的现代SIEM已经从最初的同类产品中发展起来。Mark Nicolett和Amrit Williams在2005年Gartner的一份研究报告中确立了 "SIEM "这一术语,即通过漏洞管理提高IT安全。这些传统的SIEM是将综合的安全方法组合成一个管理解决方案,包括。
- 日志管理系统(LMS)。用于简单收集和集中存储日志的过程。
- 安全信息管理(SIM)。自动收集日志文件的工具,用于长期存储、分析和报告日志数据。
- 安全事件管理(SEM)。对系统和事件进行实时监控和关联的技术,带有通知和控制台视图。
随着SIEM软件随着时间的推移而转变,核心组件继续提供价值,但竞争格局中的创新技术为更全面和先进的方法铺平了道路,以减少组织中的风险。这导致SIEM供应商最终推出了新的功能,并将这些增强的产品称为 "下一代SIEM "解决方案。
下一代SIEM与SIEM
传统SIEM解决方案和下一代SIEM之间的主要区别是什么?在核心方面,两种解决方案都有类似的功能,但传统的SIEM无法处理当今威胁环境中不断上升的数据量和复杂性。随着云的采用、移动技术、混合数据中心和远程劳动力的增加,下一代SIEM更适合满足跨不同系统的威胁检测和响应的日益增长的需求。
下一代SIEM解决方案为提高安全可见性和威胁检测提供了新的功能,同时也简化了安全团队管理其工作量的过程。下一代SIEM解决方案的一些核心组成部分包括。
- 开放和可扩展的架构。能够将来自不同系统的数据在一个单一实体中进行精简,包括内部、云和移动技术。
- 实时可视化工具。帮助安全团队可视化相关安全事件的功能,以准确描述威胁事件。
- 大数据架构。有能力收集和管理大型复杂的数据集,用于索引和结构化及非结构化搜索。
- 用户和实体行为分析(UEBA)。用于监测用户数据中的行为变化的解决方案,以便在出现偏离 "正常 "模式的情况下检测异常情况。
- 安全、协调和自动化响应(SOAR)。将常规的、手动的分析行动自动化,以提高整个事件响应工作流程的操作效率的技术。
- 规则引擎:引入引擎,可以使用高级域特定语言开发自己的逻辑。逻辑没有限制,因为您可以在 JAVA 中开发您的逻辑,包括机器学习、统计方法和人工智能。提供Rule As a Code 的功能,即 Rule+Code。
SIEM技术的好处
根据不同的解决方案和供应商,SIEM组件可以提供各种各样的好处,帮助提高整体安全态势,包括。
- 整个环境的实时可见性
- 不同的系统和日志数据的中央管理解决方案
- 更少的假阳性警报
- 减少平均检测时间(MTTD)和平均响应时间(MTTR)。
- 收集和规范化数据,以实现准确和可靠的分析
- 易于访问和搜索原始和解析的数据
- 能够与现有的框架(如MITRE ATT&CK)映射操作
- 通过实时可见性和预先构建的合规性模块确保合规性的遵守
- 定制的仪表板和有效的报告
- 预定义规则以检测模式。它们不断得到增强和定制;编码框架包含关联引擎将任何逻辑开发为 SIEM 规则的能力。