1

SIEM

背景和介绍

SIEM(Security Information and Event Management,简称SIEM)安全信息和事件管理,最初是被设计为一个工具,辅助企业实现合规和特定行业的规定。从时间维度上讲,SIEM是已经存活了近20年的技术。
其结合安全信息管理(security information management, SIM)和安全事件管理(security event management, SEM)并且提供网络威胁检测的基础。
SIEM技术通过收集和分析log数据、安全事件和其他事件或数据源帮助处理安全事件。SOC(security operations center, SOC)分析专家使用SIEM工具迅速处理安全事件、检测并响应潜在威胁。
根据Gartner,如今,寻求SIEM的企业需要一种解决方案来实时收集安全事件日志和遥测数据用于威胁检测,事件响应和合规用例。
他们也需要能力去分析遥测数据检测攻击和其他被标记的活动。SIEM还提供了调查事件、报告活动以及存储相关事件和日志的能力。
总之,SIEM解决方案在帮助安全团队增强网络安全工作方面起到关键性作用。

安全事件管理(Security Event Management, SEM)

安全事件管理(SEM)是更广泛的安全信息和事件管理(SIEM)系统的一个组成部分。它特别关注实时监控、事件的相关性、安全事件的通知,以及在某些情况下与安全事件相关的数据的组织和表示。以下是SEM所包含的内容:

  • 实时监控:SEM系统常常实时监控事件或日志,而这些事件或日志可能意味着安全威胁。
  • 事件关联:这些系统可以将发生在不同系统和网络上的相关安全事件关联起来,并识别模式。
  • 告警:SEM基于预定义的度量自动生成告警来通知安全人员潜在的安全事件
  • Dashboarding:SEM工具提供可视化dashboard给出安全数据的可视化洞察
  • 数据收集:SEM系统从多源如服务器,应用和网络设备收集日志数据,提供组织安全事件的中心视图。
  • 事件响应:SEM工具通过提供上下文信息和支持快速操作来促进事件响应。

本质上,SEM通过提供增强可视,提高检测能力和帮助快速响应事件来帮助组织实时管理和响应安全威胁。SIEM工具能给SOC(Security Operation Center, SOC)团队提供很多关键益处,例如有效增强其应对安全威胁监控、分析、和响应能力:

  • 集中监控
  • 实时告警
  • 事件关联
  • 自动化响应
  • 合规报告
  • 历史数据分析

总的来说,SIEM工具对于SOC团队来说至关重要,它提供了对网络活动的全面可见性,增强了事件响应能力,并帮助维护对法规要求的遵从性。

SIEM工作原理

SIEM通过收集企业内网络的多源安全相关数据如防火墙日志,IDS日志,服务器和应用日志发挥作用。这些数据聚合到数据中台进行存储,在这里实现关联分析来识别模式,异常以及潜在安全事件。
SIEM对这些事件生成告警,允许安全分析师调查和响应。它还提供合规性需求的报告功能,并与外部威胁情报源集成以增强其检测能力。
注意一点,SIEM是实时运行,持续监控网络,适应及学习新的模式来提高检测准确性。

SIEM解决方案的部署

SIEM解决方案可以差异化部署,这依赖企业组织的需求和资源。以下是常见的部署选项:

  • 本地部署
    这种部署方式,是企业local模式,也就是SIEM解决方案部署在企业组织内,作为基础设施,通常是那种政府事业单位。通常涉及搭建专用硬件或虚拟机来托管SIEM软件。企业完全掌控基础设施,包含数据存储和运维,但是需要必备的硬件和软件许可,以及专业化的管理和运行SIEM系统。
  • 基于云部署
    SIEM解决方案也能部署在云,利用基础设施即服务(infrastructure as a service, IaaS)或者软件即服务模型(software-as-a-service models)。基于云的部署,组织利用供应商的基础设施,消除了本地硬件和维护开销。SIEM供应商负责硬件供应、软件更新和可伸缩性,而组织则专注于配置和管理SIEM平台。
  • 混合部署
    组织可以采用混合方法即混合本地部署和云端部署。他们也许选择在本地保留关键敏感数据或核心系统,而同时利用云做扩展或某些特定应用。这种方式具有灵活性并且允许组织调整SIEM适应其特定需求。
  • 安全管理服务供应商(Managed security service providers, MSSPs)
    某些组织也喜欢外包其SIEM部署和管理给MSSPs。MSSPs提供专业化服务在部署、配置和运维SIEM解决方案。他们监控并管理SIEM基础设施,分析安全事件并提供可操作的洞察给组织的安全团队。这种解决方案适合与资源有限或者寻求外部专业技能增强其安全运行的组织。

注意一点:部署SIEM,组织通常会考虑的因素很多,例如IT基础设施,数据敏感性、合规需求、可扩展性需求、预算、专业知识。评估每种部署选项的优点和优缺点,以确定最适合其特定环境的方法,这一点至关重要。

SIEM Logging

SIEM日志是指在IT环境使用SIEM系统进行多源数据收集、存储和分析日志的过程。此过程是SIEM系统操作的基础,因为它使SIEM系统能够执行安全监视、事件关联和事件响应等核心功能。下面是SIEM日志记录的各个方面:

  • 1.收集:SIEM系统从网络设备、服务器和安全系统如防火墙收集日志。
  • 2.存储:日志存储在中心系统,易访问和分析。
  • 3.分析:系统利用一些技术如模式识别分析这些日志识别潜在安全威胁。
  • 4.可视化:提供报告和dashboard来帮助可视化和解释安全数据。

SIEM日志对有效安全管理是至关重要的,因为其提供了数据支持所有其他SIEM功能,更有效地使能组织企业来检测、调查和响应安全事件。

SIEM功能

SIEM的主要功能是聚合数据负载,并将其整合到一个系统中,以实现可搜索性和报告目的。SIEM提供的对企业最有用的关键功能包括:

  • 获取用于监控,告警,调查和特别搜索的数据
  • UEBA(User and entity behavior analytics, UEBA)用户实体行为分析检测异常行为或可疑活动,特别针对用户、实体或应用。UEBA分析模式和正常行为偏移来识别内部威胁或失陷账号。
  • 从多源如网络设备,服务器,终端,应用和安全工具收集和聚合数据,并进行中心化存储和安全相关数据分析。
  • 日志分析和取证功能允许安全团队调查和分析安全事件。它们提供了历史log数据,检索功能和可视化工具来了解攻击时间线,受影响系统和潜在根因。
  • 实时持续监控事件,分析日志和应用预定义的规则和关联技术针对潜在安全事件或异常提供及时告警和提示。
  • 通过利用高级分析、机器学习和行为分析识别模式,异常和潜在安全威胁。通过从多源关联事件和纳入威胁情报,SIEM增强高级攻击的检测。
  • 从数据中搜索和报告实现高级漏洞分析
  • 提供工作流和自动化功能,以促进事件响应,并使安全团队能够在事件解决过程中跟踪和管理事件、分配任务和有效协作。
  • 与各种安全工具(如防火墙、入侵检测系统(IDS)和漏洞扫描器)集成,以收集额外的上下文信息并丰富安全事件分析。与编排平台的集成支持自动响应和修复操作。
  • 通过在集中存储库中收集和存储日志、提供预定义的遵从性规则、生成报告和协助审计来满足遵从性需求。
  • 通过提供度量、趋势和执行摘要的可定制指示板和报告功能,有效地可视化和交流安全洞察,以展示安全状态并支持决策。
  • 长期存储历史日志数据不仅可以帮助遵守法规,还可以随着时间的推移使数据相互关联,以便在发生数据泄露时帮助安全分析师进行取证和调查。

以上这些功能共同使安全团队能够有效检测,响应和缓解安全事件,使组织主动防护数字资产和基础设施。

其他安全产品与SIEM对比

  • XDR V.S. SIEM
    XDR提供了一种现代的综合方法或者集成方法实现威胁检测和响应,覆盖大范围的数据源并提供实时功能。SIEM更聚焦在日志和事件管理,历史数据分析和合规报告。当选择二者中的一种时,组织应该考虑其特定的安全需求和现有的基础设施。
    很多组织使用XDR和SIEM的结合实现完整的安全监控和事件响应。
  • SOAR V.S. SIEM
    SOAR (Security Orchestration, Automation, and Response) 安全编排自动化响应和SIEM都是组织网络安全基础设施中的关键组件。但它们存在很多不同功能。
    SIEM主要聚焦聚合、监控和分析安全日志和组织内多源数据
    SOAR平台自动化响应安全威胁和简化管理和响应警报的过程。
    SIEM工具专注于从数据分析告警生成,对比之下SOAR工具集中于自动化管理和响应这些告警。二者是互补的,SIEM提供必要的数据和告警,使能SOAR工具有效之下自动化过程和事件响应动作。
    重点注意尽管SIEM和SOAR提供不同的功能,但是它们也有一些重叠。例如一些SIEM解决方案也会包含基本的自动化特征,同时,一些SOAR平台也提供内置的威胁情报或异常检测。然后每项技术的核心关注不同,SIEM优先考虑数据收集和分析,而SOAR强调编排和事件响应自动化。
  • EDR V.S. SIEM
    EDR和SIEM是两个不同的,但必要的,网络安全技术。EDR表示Endpoint Detection and Response,EDR终端检测和响应,监控终端如服务器、工作站和移动设备检测和响应任何安全事件。
    相反,SIEM通过组织的网络基础设施收集和分析安全事件和日志,以全面的方式检测和响应任何安全威胁。EDR侧重于端点保护,而SIEM提供了整体安全状态的全面视图。
    很多组织使用EDR和SIEM作为分层安全方法的一部分。EDR提供深度可视和防护在终端层,而SIEM提供组织安全姿态的全貌以及跨系统和数据源的事件关联。

SIEM的局限性

尽管SIEM提供很多有价值的功能,但它们也有很多不足:

  • 复杂性和部署挑战
    SIEM实现是复杂的需要仔细规划,配置以及持续维护。组织可能面临SIEM集成现有基础设施,确保数据兼容,微调系统获取最佳性能。
  • 误报和噪声
    SIEM系统基于预定义规则和关联生成告警,会导致误报,实际上并不是安全事件的事件会触发系统告警,此时误报发生,导致告警疲劳,浪费安全团队的时间和资源
  • 漏报和高级威胁
    SIEM解决方案依赖预定义的规则和签名检测安全威胁。然后高级的攻击和APTs可能会绕过规则而漏报。SIEM需要努力识别新的攻击技术或0day漏洞而不需要及时更新或高级分析。
  • 技能和资源需求
    有效实现和运行SIEM系统需要安全操作经验,日志分析和事件响应的技术人员,组织可能面临寻找和培训员工来有效管理和运行SIEM解决方案的挑战
  • 扩展和性能
    收集,存储和分析大量数据会使资源紧张,影响实时监控,事件关联和响应时间
  • 数据源覆盖和集成
    SIEM系统解决方案依赖多源log日志数据的可获得和兼容。集成新的数据源如云平台或IoT设备,需要额外配置或定制化部署。不完整的数据源覆盖可能会导致盲点,并限制对潜在安全威胁的可见性。
  • 维护和更新
    SIEM系统需要定期更新来跟踪不断变化的安全威胁,合规规则,和软件补丁。维护SIEM基础设施,应用更新和管理供应商关系也是耗时和耗资源的。
  • 成本
    SIEM解决方案可能涉及大量的前期和持续的成本投入,包括licensing费用,硬件或云基础设施,人员培训,和维护。小公司和中等水平企业在部署SIEM系统时,成本和资源投资上会是问题。
    组织应该仔细评估他们的需求,考虑局限性,并实施适当的措施来减轻潜在的挑战。使用其他安全技术和实践增强SIEM可以帮助解决其中的一些限制,并提供更全面的防御态势。

SIEM的未来

防护和阻止如今的威胁需要彻底全新的方法。SIEM的未来貌似会受到网络安全领域的几个关键趋势和进步的影响:

  • 与AI和机器学习集成
  • 云原生和混合部署
  • UEBA
  • 威胁情报集成
  • 自动化编排
  • 增强用户体验和可视化
  • 合规和隐私管理
  • 与XDR集成

值得注意的是,SIEM的未来将受到不断变化的威胁形势、技术进步和组织的特定需求的影响。随着网络安全的不断发展,SIEM解决方案将适应和发展,以有效地应对检测、缓解和响应新出现的威胁的挑战。

CROWDSTRIKE Next-Gen SIEM案例

号称权威的AI原生的SOC平台。通过将第一方和第三方数据、本地威胁情报、人工智能和工作流自动化统一在一个平台中,以前所未有的速度阻止威胁行为。改变SOC,响应更快,阻止入侵。

从基本流程和思路上看和传统的SIEM并无差异,那么差异在哪呢?
从成本高,复杂的,缓慢延迟的SIEM到统一的,新式的SOC。

  • 更快的搜索加速了调查和追捕,150X。
  • 更强的扩展能力,实时记录,1PB/day
  • 更低的成本,三年比传统SIEM低80%
    Hipages(类似于一种评价网站)信任CrowdStrike新式化SOC的理由是:
    CrowdStrike Next-Gen SIEM从网络攻击和网页爬取中防护数百万的用户的数据,使我们更快更有效第响应出现的安全事件。

Falcon Next-Gen SIEM的关键功能

  • 使用统一数据实时检测

    • 迅速部署实现快速数据获取
      结束冗余数据获取和部署。Falcon平台从一开始就集成所有关键数据和威胁情报并通过轻松第三方数据接入进行进一步扩展
    • 发现每个攻击
      跨越本地和第三方数据源利用统一的AI赋能的检测技术检测高级敌手,100%覆盖MITRE测验。
    • 记录所有,回答所有
      记录所有IT和安全数据,并将其保留数年,其成本比传统SIEM低80%,具有革命性的无所因架构,每天可扩展到1PB以上。

  • 调查时间更短,数秒内即可有结果

    • 查看攻击的全部范围
      立即关联跨本地和第三方数据源数据理解整个攻击路径,以优雅的视觉图形展示并支持快速定位和响应
    • 快速协作和搜索
      通过实时协作极速提升和简化调查事件,搜索性能提升150X,相比传统SIEM。
    • 用对抗AI提升SOC
      利用对抗AI确定优先级,丰富威胁情报,并用简单的语言总结事件,将数小时的工作变成几分钟或几秒钟。
    • 驱动更智能化决策
      通过关联事件和对抗背景及CrowdStrike业界领先的情报能快速及更佳地做出决策。

  • 利用工作流自动化阻止入侵

    • 采取自动化响应措施
      跨SOC协同响应,从Falcon到第三方工具,利用CrowdStrike Falcon Fusion SOAR内生自动化工作流赋能。
    • 编排任何终端操作
      通过与CrowdStrike Falcon代理的本地集成,可以遏制快速移动的攻击,限制横向移动,并阻止漏洞,从而实现行业领先的端点检测和响应。

  • 提升整个SOC团队

    • 利用AI和自动化加快调查
      了解具有丰富上下文的攻击的全部范围,并跨安全和IT驱动工作流自动化。
    • 利用平台内所有关键数据简化配置
      通过无障碍的第三方数据导入,扩展所有数据的可见性和保护。
    • 以较低的成本获得较好的成果
      巩固您的SOC以阻止漏洞并降低复杂性.
posted @ 2024-05-17 11:31  Bonne_chance  阅读(56)  评论(0编辑  收藏  举报
1