簡介
security information and event management
安全信息和事件管理
SIEM可以過濾電子郵件,搜尋關鍵字和發現安全缺口
面對海量安全數據,傳統的集中化安全分析平台SIEM遭遇到了諸多瓶頸,主要表現在以下方面:
·高速海量安全數據的採集和存儲變得困難
·異構數據的存儲和管理變得困難
威脅數據源較小,導致系統判斷能力有限
·對歷史數據的檢測能力很弱
·安全事件的調查效率太低
·安全系統相互獨立,無有效手段協同工作
·分析的方法較少
·對於趨勢性的東西預測較難,對早期預警的能力比較差
·系統互動能力有限,數據展示效果有待提高
安全信息和事件管理(SIEM)產品及服務負責從大量企業安全控制項、主機作業系統、企業套用和企業使用的其他軟體收集安全日誌數據,並進行分析和報告。有些SIEM還可以試圖阻止它們檢測到正在進行的攻擊,這可能幫助阻止破壞或者限制成功攻擊可能造成的損壞。
現在有很多可用的SIEM系統,包括“輕量級”SIEM產品—專門針對負擔不起或感覺他們不需要全功能SIEM的企業。對於企業來說,確定要評估哪些產品已經是相當大的挑戰,更遑論選擇最適合特定企業或部門的產品。SIEM評估過程應包括創建標準清單,以列出企業特別需要考慮的SIEM功能。
應考慮因素
提前確認需要哪些系統日誌檔案用於監視是非常關鍵的。有些公司要求大量的以不同方式收集和處理數據的日誌。在SIEM系統能夠提供報告之前,各種日誌都需要標準化,其目的是保持數據的一致性。
公司往往在規模很小的時候就開始記錄日誌,並隨著伺服器的增長而簡單地複製日誌規則,因而,日誌檔案就是在複製日誌,或者在公司合併時,公司能夠收集不同物理設備中相似日誌檔案中的不同數據。此外,在不同時區擁有伺服器的公司往往沒有對時區實現標準化就收集日誌,因而在不同時區同時創建的日誌會擁有未同步的時間戳。此時,在信息安全人員跟蹤安全事件時,這種情況就成為一種巨大的挑戰。
在公司能夠充分利用SIEM產品的好處之前,需要配置SIEM系統,其目的是解決時區以及在每類伺服器上收集哪些數據、數據如何存放、存放到哪裡以及SIEM系統如何分類可能發生的事件等問題,這至關重要。
SIEM系統需要與公司的需要相匹配。例如,假設一家中等規模的公司要首次實施其SIEM,而公司的IT人員僅能在正常的經營時間監視系統。如果公司購買了一種可以全天候生成實時結果和警告的SIEM,卻只能在經營時間才去監視這些警告,那么公司就為其無法使用的特性和功能多花了錢。因而,管理層的期望有可能無法匹配實際的結果。
每個SIEM系統都擁有其自己的一套收集日誌的需求。一般說來,Syslog系統日誌可以傳送給代理實現收集。微軟的日誌是一般是通過安裝在本地設備上的代理來收集的,其中的日誌是通過WMI或RPC來收集的。當然,還有許多其它類型的日誌源,但Syslog系統日誌和Windows一般占據了公司環境的大多數。
安全是一個過程而不是一種一勞永逸的戰術性操作。為獲得在SIEM和其它安全產品及服務上進行投資的重要效果,負責信息安全的主要管理人員首先應當能夠確認所有的IT 資產,並且知道每種資產所需要的安全水平是什麼。
在選擇了一種SIEM產品後,公司不妨僅對最關鍵的資產先實施日誌記錄。在日誌環境全面配置完成後,就可以啟用其它的特性。
通常SIEM的實施會比最初預期的花費更多。在公司低估了準備實施SIEM的時間和努力時(無論是從技術方面還是從人員方面),就會發生這種事情。此外,如果公司在開始時沒有一個詳細的SIEM方案,就很容易購買超出其實際需要的多餘功能。企業調整應用程式,使其處理所有的日誌還可能花費比預計的時間更長,從而導致更高昂的預期成本。此外,IT和安全人員還可能需要進行培訓,才能管理SIEM套用。