什麼是SIEM?
SIEM 代表安全、資訊和事件管理( Security, Information, and Event Management.)。SIEM 技術將日誌資料、安全警報和事件聚合到一個集中平臺中,為安全監控提供實時分析。
SIEM軟體透過收集從應用程式、裝置、網路、基礎設施和系統中產生的日誌和事件資料來進行分析,並提供一個組織的資訊科技(IT)的整體檢視。
SIEM解決方案可以駐紮在企業內部或雲環境中。SIEM解決方案實時分析所有資料,使用規則和統計關聯來推動取證調查期間的行動洞察力。SIEM技術檢查所有資料,根據其風險等級對威脅活動進行分類,以幫助安全團隊識別惡意行為者並迅速緩解網路攻擊。
SIEM解決方案已經存在了15年以上,但今天的現代SIEM已經從最初的同類產品中發展起來。Mark Nicolett和Amrit Williams在2005年Gartner的一份研究報告中確立了 "SIEM "這一術語,即透過漏洞管理提高IT安全。這些傳統的SIEM是將綜合的安全方法組合成一個管理解決方案,包括。
- 日誌管理系統(LMS)。用於簡單收集和集中儲存日誌的過程。
- 安全資訊管理(SIM)。自動收集日誌檔案的工具,用於長期儲存、分析和報告日誌資料。
- 安全事件管理(SEM)。對系統和事件進行實時監控和關聯的技術,帶有通知和控制檯檢視。
隨著SIEM軟體隨著時間的推移而轉變,核心元件繼續提供價值,但競爭格局中的創新技術為更全面和先進的方法鋪平了道路,以減少組織中的風險。這導致SIEM供應商最終推出了新的功能,並將這些增強的產品稱為 "下一代SIEM "解決方案。
下一代SIEM與SIEM
傳統SIEM解決方案和下一代SIEM之間的主要區別是什麼?在核心方面,兩種解決方案都有類似的功能,但傳統的SIEM無法處理當今威脅環境中不斷上升的資料量和複雜性。隨著雲的採用、移動技術、混合資料中心和遠端勞動力的增加,下一代SIEM更適合滿足跨不同系統的威脅檢測和響應的日益增長的需求。
下一代SIEM解決方案為提高安全可見性和威脅檢測提供了新的功能,同時也簡化了安全團隊管理其工作量的過程。下一代SIEM解決方案的一些核心組成部分包括。
- 開放和可擴充套件的架構。能夠將來自不同系統的資料在一個單一實體中進行精簡,包括內部、雲和移動技術。
- 實時視覺化工具。幫助安全團隊視覺化相關安全事件的功能,以準確描述威脅事件。
- 大資料架構。有能力收集和管理大型複雜的資料集,用於索引和結構化及非結構化搜尋。
- 使用者和實體行為分析(UEBA)。用於監測使用者資料中的行為變化的解決方案,以便在出現偏離 "正常 "模式的情況下檢測異常情況。
- 安全、協調和自動化響應(SOAR)。將常規的、手動的分析行動自動化,以提高整個事件響應工作流程的操作效率的技術。
- 規則引擎:引入引擎,可以使用高階域特定語言開發自己的邏輯。邏輯沒有限制,因為您可以在 JAVA 中開發您的邏輯,包括機器學習、統計方法和人工智慧。提供Rule As a Code 的功能,即 Rule+Code。
SIEM技術的好處
根據不同的解決方案和供應商,SIEM元件可以提供各種各樣的好處,幫助提高整體安全態勢,包括。
- 整個環境的實時可見性
- 不同的系統和日誌資料的中央管理解決方案
- 更少的假陽性警報
- 減少平均檢測時間(MTTD)和平均響應時間(MTTR)。
- 收集和規範化資料,以實現準確和可靠的分析
- 易於訪問和搜尋原始和解析的資料
- 能夠與現有的框架(如MITRE ATT&CK)對映操作
- 透過實時可見性和預先構建的合規性模組確保合規性的遵守
- 定製的儀表板和有效的報告
- 預定義規則以檢測模式。它們不斷得到增強和定製;編碼框架包含關聯引擎將任何邏輯開發為 SIEM 規則的能力。
相關文章
- SIEM是什麼?企業安全
- 什麼是cookie,什麼是sessionCookieSession
- 這是什麼這是什麼
- 什麼是分而治之?什麼是WBS?
- 什麼是DNS,什麼是HostsDNS
- 什麼是WebAuthn、FIDO 是什麼?Web
- ###什麼是Linux核心###什麼是MMULinux
- ITIL是什麼意思?ITIL是什麼?
- SNP全稱是什麼? SNP是什麼公司? SNP是什麼意思?
- 人是什麼?人生是什麼?人為什麼會變?
- ftp是什麼,ftp是什麼東西?FTP
- 什麼是正向代理?什麼是反向代理?
- NLA是什麼?NLA的原理是什麼?
- Java是什麼_Java是做什麼的?Java
- 什麼是this
- 為什麼要有 Servlet ,什麼是 Servlet 容器,什麼是 Web 容器?ServletWeb
- 什麼是框架?為什麼說 Angular 是框架?框架Angular
- IDFA、IMEI、OAID 是什麼,區別是什麼AI
- GNU是什麼?和Linux是什麼關係?Linux
- 什麼是SSRF攻擊?SSRF用途是什麼?
- 什麼是API介面,具體是什麼意思?API
- DRBD是什麼意思?優缺點是什麼?
- 什麼是塊元素?什麼是行內元素?
- 什麼是Tornado?它的特點是什麼?
- nginx 是什麼,能幹什麼?Nginx
- 什麼是zoom?它有什麼作用?OOM
- 什麼是NLA,它有什麼用?
- 什麼是Django?有什麼用途?Django
- AI三重問:什麼是AI?什麼是AI模型?什麼是AI大模型?AI大模型
- 什麼是重繪repaint?什麼是迴流reflow?AI
- DHCP是什麼?DHCP伺服器是什麼意思?伺服器
- 什麼是eval()?eval是用來幹什麼的?
- 域名是什麼?申請域名的流程是什麼?
- 什麼是CDN?CDN的技術原理是什麼?
- 什麼是樂觀鎖,什麼是悲觀鎖
- 車上HOLD是什麼意思,AUTO HOLD是什麼功能,有什麼作用?
- 幽默圖:什麼是Bug纏身?什麼是義大利麵條?什麼是大泥球?
- 什麼是 DevSecOps?dev