在2012年11月份的《信息安全杂志》上,刊发过一篇对Anton Chuvakin的专访,里面谈到了他对当下SIEM落地的一些看法,其中不少看法和我们的理解(2011年发表的“扫帚说”)基本上是一致的,也就是说,要用好SIEM不仅是个技术问题。

最近,看到国内有人把这个访谈翻译成了中文,因此也将他的那段话转载于此,供大家分享:


Chuvakin:很久以前,我写了一篇关于“理想”SIEM系统的博客。当我回过头来再看这篇文章时,我发
现有一部分很不实际,但也有一些事实现在仍然如此。包括: 
· 日志记录配置:理想SIEM会发现所有可能的日志源(系统、设备、应用等),并根据高水平的政策来对它们执行适当的日志记录。
· 日志收集:安全地收集上述所有日志,而不需要利用任何危险的超级用户访问,并且对网络和系统几乎没有影响。
· 日志存储:根据需要,以原始格式安全地存储上述日志信息,同时,允许快速访问这些信息—原始格式和综合/丰富的形式。
· 日志分析:这种理想的SIEM能够查看来自标准和自定义日志源的所有类型的日志,包括已知的日志和以前看不到的日志,并告诉用户关于环境他们需要了解的内容:什么出了问题?什么受***了?在什么位置?哪些违反了法规/政策?哪些很快会被***?谁在做这些事情?这种分析能够实现自动操作、实时通知、长期历史分析和合规相关性分析(这可能需要某种形式的人工智能)。
· 信息呈现:对分析组件生成的上述数据、信息和结论进行提炼,并以符合用户角色的方式呈现信息,从运营商到分析师到工程师到高管。跨所有日志来源的交互式可视化可提取的基于文本的数据呈现。用户可以根据自己的意愿和工作需求以及信息感知方式来自定义数据呈现方式。
· 自动化:理想的日志管理工具将能够利用有限的自动操作来解决已发现的经证实的问题,并为用户生成指导信息,让他们知道当全自动模式不合适时,应该采取什么行动。这种响应包括全自动操作、辅助动作(例如点击这里进行修复)以及发布详细的修复指导。这里的结果将包括对已发现条目的to-do列表,还有建议操作--按优先级排序。


但是,我们现在要从一个稍微不同的角度来看这个问题。我见过的大多数成功的SIEM项目并不是因为他
们有理想的技术。同样,大多数失败的项目也并不是因为他们的SIEM技术很糟糕。SIEM项目的成功或失败更大程度上取决于过程和做法,而不是工具本身。我们都知道,安全监控永远不能被自动化,并且永远无法创建一个理想的工具来执行它。 有些人购买了SIEM而不使用它们,然后抱怨说这些产品不好用。这有点类似于使用微软Word的人抱怨无法写出一部伟大的美国小说,或者单反相机未能使其变为摄影师Ansel Adams。 


----------------------------

对于SIEM如何落地,我们还需要不断地努力。


【参考】

安全管理平台:是扫帚还是干净的屋子?

实施SIEM是一个较为长期的过程

安全管理平台不等于SOC!

从SOC建设看信息安全的投资结构