SIEM知识积累

什么是SIEM

SIEM 代表安全、信息和事件管理（ Security, Information, and Event Management.）。SIEM 技术将日志数据、安全警报和事件聚合到一个集中平台中，为安全监控提​​供实时分析。SIEM软件通过收集从应用程序、设备、网络、基础设施和系统中产生的日志和事件数据来进行分析，并提供一个组织的信息技术（IT）的整体视图。

SIEM干什么用

实时分析所有数据，使用规则和统计关联来推动取证调查期间的行动洞察力。SIEM技术检查所有数据，根据其风险等级对威胁活动进行分类，以帮助安全团队识别恶意行为者并迅速缓解网络攻击。

SIEM基础组成

SIEM是将综合的安全方法组合成一个管理解决方案，保罗

• 日志管理系统（LMS）。用于简单收集和集中存储日志的过程。
• 安全信息管理（SIM）。自动收集日志文件的工具，用于长期存储、分析和报告日志数据。
• 安全事件管理（SEM）。对系统和事件进行实时监控和关联的技术，带有通知和控制台视图

新的SIEM组成概念

• 开放和可扩展的架构。能够将来自不同系统的数据在一个单一实体中进行精简，包括内部、云和移动技术。
• 实时可视化工具。帮助安全团队可视化相关安全事件的功能，以准确描述威胁事件。
• 大数据架构。有能力收集和管理大型复杂的数据集，用于索引和结构化及非结构化搜索。
• 用户和实体行为分析（UEBA）。用于监测用户数据中的行为变化的解决方案，以便在出现偏离 "正常 "模式的情况下检测异常情况。
• 安全、协调和自动化响应（SOAR）。将常规的、手动的分析行动自动化，以提高整个事件响应工作流程的操作效率的技术。
• 规则引擎：引入引擎，可以使用高级域特定语言开发自己的逻辑。逻辑没有限制，因为您可以在 JAVA 中开发您的逻辑，包括机器学习、统计方法和人工智能。提供Rule As a Code 的功能，即 Rule+Code。

为什么要做SIEM

• 整个环境的实时可见性
• 不同的系统和日志数据的中央管理解决方案
• 更少的假阳性警报
• 减少平均检测时间（MTTD）和平均响应时间（MTTR）。
• 收集和规范化数据，以实现准确和可靠的分析
• 易于访问和搜索原始和解析的数据
• 能够与现有的框架（如MITRE ATT&CK）映射操作
• 通过实时可见性和预先构建的合规性模块确保合规性的遵守
• 定制的仪表板和有效的报告
• 预定义规则以检测模式。它们不断得到增强和定制；编码框架包含关联引擎将任何逻辑开发为 SIEM 规则的能力。

怎么做SIEM

要实现一个SIEM系统，需要经过采集（Collection）-> 探测（Detection）-> 调查（Investigation）-> 响应（Response）四个阶段。四个阶段面临的挑战如下：

• 采集：如何将数据便捷接入的问题，以及如何低成本存储
• 探测：如何通过各种数据的关联分析，捕获未知的威胁
• 调查：如何审计安全事件及还原威胁过程
• 响应：如何将安全事件通知给用户的能力