SIEM知识积累
什么是SIEM
SIEM 代表安全、信息和事件管理( Security, Information, and Event Management.)。SIEM 技术将日志数据、安全警报和事件聚合到一个集中平台中,为安全监控提供实时分析。SIEM软件通过收集从应用程序、设备、网络、基础设施和系统中产生的日志和事件数据来进行分析,并提供一个组织的信息技术(IT)的整体视图。
SIEM干什么用
实时分析所有数据,使用规则和统计关联来推动取证调查期间的行动洞察力。SIEM技术检查所有数据,根据其风险等级对威胁活动进行分类,以帮助安全团队识别恶意行为者并迅速缓解网络攻击。
SIEM基础组成
SIEM是将综合的安全方法组合成一个管理解决方案,保罗
- 日志管理系统(LMS)。用于简单收集和集中存储日志的过程。
- 安全信息管理(SIM)。自动收集日志文件的工具,用于长期存储、分析和报告日志数据。
- 安全事件管理(SEM)。对系统和事件进行实时监控和关联的技术,带有通知和控制台视图
新的SIEM组成概念
- 开放和可扩展的架构。能够将来自不同系统的数据在一个单一实体中进行精简,包括内部、云和移动技术。
- 实时可视化工具。帮助安全团队可视化相关安全事件的功能,以准确描述威胁事件。
- 大数据架构。有能力收集和管理大型复杂的数据集,用于索引和结构化及非结构化搜索。
- 用户和实体行为分析(UEBA)。用于监测用户数据中的行为变化的解决方案,以便在出现偏离 "正常 "模式的情况下检测异常情况。
- 安全、协调和自动化响应(SOAR)。将常规的、手动的分析行动自动化,以提高整个事件响应工作流程的操作效率的技术。
- 规则引擎:引入引擎,可以使用高级域特定语言开发自己的逻辑。逻辑没有限制,因为您可以在 JAVA 中开发您的逻辑,包括机器学习、统计方法和人工智能。提供Rule As a Code 的功能,即 Rule+Code。
为什么要做SIEM
- 整个环境的实时可见性
- 不同的系统和日志数据的中央管理解决方案
- 更少的假阳性警报
- 减少平均检测时间(MTTD)和平均响应时间(MTTR)。
- 收集和规范化数据,以实现准确和可靠的分析
- 易于访问和搜索原始和解析的数据
- 能够与现有的框架(如MITRE ATT&CK)映射操作
- 通过实时可见性和预先构建的合规性模块确保合规性的遵守
- 定制的仪表板和有效的报告
- 预定义规则以检测模式。它们不断得到增强和定制;编码框架包含关联引擎将任何逻辑开发为 SIEM 规则的能力。
怎么做SIEM
要实现一个SIEM系统,需要经过采集(Collection)-> 探测(Detection)-> 调查(Investigation)-> 响应(Response)四个阶段。四个阶段面临的挑战如下:
- 采集:如何将数据便捷接入的问题,以及如何低成本存储
- 探测:如何通过各种数据的关联分析,捕获未知的威胁
- 调查:如何审计安全事件及还原威胁过程
- 响应:如何将安全事件通知给用户的能力