什麼是SIEM?

banq發表於2022-04-03

SIEM 代表安全、資訊和事件管理( Security, Information, and Event Management.)。SIEM 技術將日誌資料、安全警報和事件聚合到一個集中平臺中,為安全監控提​​供實時分析。

SIEM軟體透過收集從應用程式、裝置、網路、基礎設施和系統中產生的日誌和事件資料來進行分析,並提供一個組織的資訊科技(IT)的整體檢視。

SIEM解決方案可以駐紮在企業內部或雲環境中。SIEM解決方案實時分析所有資料,使用規則和統計關聯來推動取證調查期間的行動洞察力。SIEM技術檢查所有資料,根據其風險等級對威脅活動進行分類,以幫助安全團隊識別惡意行為者並迅速緩解網路攻擊。

SIEM解決方案已經存在了15年以上,但今天的現代SIEM已經從最初的同類產品中發展起來。Mark Nicolett和Amrit Williams在2005年Gartner的一份研究報告中確立了 "SIEM "這一術語,即透過漏洞管理提高IT安全。這些傳統的SIEM是將綜合的安全方法組合成一個管理解決方案,包括。
  • 日誌管理系統(LMS)。用於簡單收集和集中儲存日誌的過程。
  • 安全資訊管理(SIM)。自動收集日誌檔案的工具,用於長期儲存、分析和報告日誌資料。
  • 安全事件管理(SEM)。對系統和事件進行實時監控和關聯的技術,帶有通知和控制檯檢視。

隨著SIEM軟體隨著時間的推移而轉變,核心元件繼續提供價值,但競爭格局中的創新技術為更全面和先進的方法鋪平了道路,以減少組織中的風險。這導致SIEM供應商最終推出了新的功能,並將這些增強的產品稱為 "下一代SIEM "解決方案。

下一代SIEM與SIEM
傳統SIEM解決方案和下一代SIEM之間的主要區別是什麼?在核心方面,兩種解決方案都有類似的功能,但傳統的SIEM無法處理當今威脅環境中不斷上升的資料量和複雜性。隨著雲的採用、移動技術、混合資料中心和遠端勞動力的增加,下一代SIEM更適合滿足跨不同系統的威脅檢測和響應的日益增長的需求。

下一代SIEM解決方案為提高安全可見性和威脅檢測提供了新的功能,同時也簡化了安全團隊管理其工作量的過程。下一代SIEM解決方案的一些核心組成部分包括。

  • 開放和可擴充套件的架構。能夠將來自不同系統的資料在一個單一實體中進行精簡,包括內部、雲和移動技術。
  • 實時視覺化工具。幫助安全團隊視覺化相關安全事件的功能,以準確描述威脅事件。
  • 大資料架構。有能力收集和管理大型複雜的資料集,用於索引和結構化及非結構化搜尋。
  • 使用者和實體行為分析(UEBA)。用於監測使用者資料中的行為變化的解決方案,以便在出現偏離 "正常 "模式的情況下檢測異常情況。
  • 安全、協調和自動化響應(SOAR)。將常規的、手動的分析行動自動化,以提高整個事件響應工作流程的操作效率的技術。
  • 規則引擎:引入引擎,可以使用高階域特定語言開發自己的邏輯。邏輯沒有限制,因為您可以在 JAVA 中開發您的邏輯,包括機器學習、統計方法和人工智慧。提供Rule As a Code 的功能,即 Rule+Code。


SIEM技術的好處
根據不同的解決方案和供應商,SIEM元件可以提供各種各樣的好處,幫助提高整體安全態勢,包括。

  • 整個環境的實時可見性
  • 不同的系統和日誌資料的中央管理解決方案
  • 更少的假陽性警報
  • 減少平均檢測時間(MTTD)和平均響應時間(MTTR)。
  • 收集和規範化資料,以實現準確和可靠的分析
  • 易於訪問和搜尋原始和解析的資料
  • 能夠與現有的框架(如MITRE ATT&CK)對映操作
  • 透過實時可見性和預先構建的合規性模組確保合規性的遵守
  • 定製的儀表板和有效的報告
  • 預定義規則以檢測模式。它們不斷得到增強和定製;編碼框架包含關聯引擎將任何邏輯開發為 SIEM 規則的能力。


 

相關文章