01-SIEM是什么?
目录
1、SIEM可以提供什么帮助?
2、SIEM如何工作现在与未来
3、SIEM用于什么
01安全监控
02先进的威胁检测
03法医和事件响应
04合规报告和审计
4、SIEM最佳做法
5、SIEM演变
6、下一代SIEM
7、原文
安全信息和事件管理(SIEM)解决方案使用规则和统计相关性将日志条目和来自安全系统的事件转换为可操作的信息。这些信息可以帮助安全团队实时检测威胁,管理事件响应,对过去的安全事件进行取证调查,以及为合规性目的准备审核。
SIEM是在2005年由Mark Nicolett和Amrit Williams在Gartner的SIEM报告“利用漏洞管理提高IT安全性”中创造的。他们在前两代的基础上提出了一个新的安全信息系统。
安全信息管理(SIM)–基于传统日志收集和管理系统构建的第一代。 SIM引入了对日志数据的长期存储,分析和报告,并将日志与威胁情报相结合。
安全事件管理(SEM)–解决安全事件的第二代–汇总,关联和通知来自防病毒,防火墙和入侵检测系统(IDS)等安全系统的事件,以及通过身份验证直接报告的事件,SNMP陷阱,服务器,数据库等。
在随后的几年中,供应商推出了同时提供安全日志管理和分析(SIM)和事件管理(SEM)的系统,以创建安全信息事件管理(SIEM)解决方案。
SIEM安全平台可以汇总历史日志数据和实时事件,并建立可以帮助安全人员识别异常,漏洞和事件的关系。
主要关注与安全相关的事件和事件,例如成功或失败的登录,恶意软件活动或特权升级。
这些见解可以作为通知或警报发送,也可以由安全分析人员使用SIEM平台的可视化和仪表板工具发现。
【下一代SIEM
SIEM是一项成熟的技术,下一代SIEM提供了新功能:
用户事件行为分析(UEBA)先进的SIEM超越了规则和关联性,利用AI和深度学习技术来观察人类行为模式。这可以帮助检测内部威胁,针对性攻击和欺诈。
安全协调和自动化(SOAR)–下一代SIEM与企业系统集成并自动进行事件响应。例如,SIEM可能会检测到勒索软件警报,并在攻击者可以加密数据之前在受影响的系统上自动执行遏制步骤。
WHAT IS SIEM
1、SIEM可以提供什么帮助?
1、资料汇整
聚合来自网络,安全性,服务器,数据库,应用程序和其他安全系统(如防火墙,防病毒和入侵检测系统(IDS))的数据
2、威胁情报源
将内部数据与威胁情报源结合在一起,其中包含有关漏洞,威胁参与者和攻击模式的数据
3、相关性
将事件和相关数据链接到有意义的包中,这些包代表真实的安全事件,威胁,漏洞或法证发现
4、分析工具
使用统计模型和机器学习来识别数据元素之间的更深关系,以及与已知趋势相比的异常,并将它们与安全问题联系在一起
5、警示
分析事件并发出警报,以通过电子邮件,其他类型的消息传递或通过安全仪表板将紧急问题通知安全人员
6、仪表板和可视化
创建可视化效果,以使员工可以查看事件数据,查看模式并识别不符合标准模式的活动
7、合规
自动收集合规数据,生成适用于HIPAA,PCI / DSS,HITECH,SOX和GDPR等标准的安全性,治理和审计流程的报告
8、保留
存储长期历史数据,以进行分析,跟踪和符合合规性要求的数据。在事实发生后发生的法医调查中尤其重要
9、威胁搜寻
允许安全人员对SIEM数据运行查询,过滤和旋转数据,以主动发现威胁或漏洞
10、事件响应
提供有关安全事件的案例管理,协作和知识共享,使安全团队可以快速同步基本数据并响应威胁
11、SOC自动化
使用API与其他安全解决方案集成,并允许安全人员定义应响应特定事件而执行的自动化剧本和工作流程
2、SIEM如何工作
现在和未来
过去,SIEM在数据流水线的每个阶段都需要进行精细的管理-数据提取,策略,查看警报和分析异常。 SIEM越来越聪明地从越来越多的组织来源收集数据并使用AI技术来了解构成安全事件的行为类型。
01数据采集
大多数SIEM系统通过在最终用户设备,服务器,网络设备或其他安全系统(如防火墙和防病毒软件)上部署收集代理,或通过协议syslog转发,SNMP或WMI来收集数据。先进的SIEM可以与云服务集成,以获取有关部署了云的基础架构或SaaS应用程序的日志数据,并且可以轻松提取其他非标准数据源。
预处理可能在边缘收集器中进行,只有一些事件和事件数据传递到集中式存储中。
02数据存储
传统上,SIEM依赖于部署在数据中心中的存储,这使得难以存储和管理大数据量。
结果,仅保留了一些日志数据。下一代SIEM建立在诸如Amazon S3或Hadoop之类的现代数据湖技术之上,从而以低成本实现了几乎无限的存储可扩展性。这样就可以在更多平台和系统上保留和分析100%的日志数据。
03政策法规
SIEM允许安全人员定义配置文件,以指定企业系统在正常情况下的行为。
然后,他们可以设置规则和阈值,以定义什么类型的异常被视为安全事件。 SIEM越来越多地利用机器学习和自动行为分析来自动检测异常,并自主定义数据规则,以发现需要调查的安全事件。
04数据整合与关联
SIEM的主要目的是将所有数据汇总在一起,并允许所有组织系统中的日志和事件进行关联。
服务器上的错误消息可能与防火墙上阻止的连接相关联,并且企图在企业门户上输入错误的密码。多个数据点被组合成有意义的安全事件,并通过通知或仪表板传递给分析师。下一代SIEM在学习什么是值得关注的``真实''安全事件方面越来越好。
3、SIEM用于什么
01安全监控
SIEM帮助实时监视组织系统的安全事件。
SIEM对安全事件具有独特的见解,因为它可以访问多个数据源-例如,它可以将IDS的警报与防病毒产品的信息相结合。它可以帮助安全团队识别任何单个安全工具都看不到的安全事件,并帮助他们专注于来自具有特殊意义的安全工具的警报。
02先进的威胁检测
SIEM可以帮助检测,缓解和预防高级威胁,包括:
恶意内部人员– SIEM可以使用浏览器取证,网络数据,身份验证和其他数据来识别计划或实施攻击的内部人员
数据泄露(敏感数据在组织外非法传输)– SIEM可以接收大小,频率或有效负载异常的数据传输
外部实体,包括高级持久威胁(APT)– SIEM可以检测到预警信号,表明外部实体正在针对组织进行有针对性的攻击或长期运动
03法医和事件响应
SIEM可以帮助安全分析人员认识到正在发生安全事件,对事件进行分类并定义立即进行补救的步骤。
即使安全人员知道某个事件,也需要花费一些时间来收集数据以完全理解攻击并加以阻止– SIEM可以自动收集该数据并显着减少响应时间。当安全人员发现需要调查的历史性违规或安全事件时,SIEM将提供丰富的取证数据,以帮助发现破坏链,威胁因素和缓解措施。
04合规报告和审计
SIEM可以帮助组织向审计师和监管者证明他们已经采取了适当的防护措施,并且知道并控制了安全事件。
SIEM的许多早期采用者将其用于此目的–汇总来自整个组织的日志数据,并以可审计的格式显示。现代SIEM自动提供满足HIPAA,PCI / DSS,SOX,FERPA和HITECH等标准所需的监视和报告。
4、SIEM最佳做法
Infosec研究所提出了成功实施SIEM平台的10种最佳实践。
定义SIEM要求:
1定义监视,报告和审计的要求,并在部署SIEM之前咨询所有相关利益相关者。
2确定SIEM的范围-它将覆盖基础架构的哪一部分,必要的凭据以及日志详细程度。
3定义审核数据的可访问性,保留性,如何实现数据完整性,证据规则以及对历史或私有数据的处置。
确保您利用SIEM监视和报告以下所有内容:
4访问监控–侵犯和异常访问关键资源
5外围防御–外围防御的状态,可能的攻击和危险的配置更改
6资源完整性–关键网络资源–状态,备份,变更管理,威胁和漏洞
7入侵检测–入侵检测报告的事件,或使用SIEM数据进行关联/推断的事件
8恶意软件防御–违反,威胁或与恶意软件控制有关的活动
9应用程序防御– Web服务器,数据库和其他Web应用程序资源的状态,配置更改,违规和异常
10可接受的使用–有关系统资源的可接受,强制或计量使用的状态,问题和违规
5、SIEM演变
| 第一代
|
第二代
|
第三代
|
| 第一批SIEM结合了安全信息管理(SIM)和安全事件管理(SEM)。它们的数据管理和支持警报/可视化规模有限。 |
基于大数据基础架构的集成式SIEM,可在一处管理和关联历史日志数据,实时事件和威胁情报,从而提供企业安全数据的整体视图。 |
早期的SIEM对复杂的安全事件进行主动警告和响应的能力有限。新的SIEM执行自动行为分析(UEBA),并可以与IT和安全系统自动交互以减轻事件(SOAR)。 |
| 可扩展性
|
可扩展性
|
可扩展性
|
6、下一代SIEM
未来就在这里
与IT和安全工具集成,具有完整的安全协调和自动化(SOAR)功能
新的SIEM平台提供了高级功能,例如:
复杂威胁识别–由于关联规则缺乏上下文或无法应对新型事件,因此关联规则无法捕获许多复杂攻击。通过自动行为分析,SIEM可以检测到暗示威胁的行为。
实体行为分析–服务器,医疗设备或机械等网络上的关键资产具有独特的行为模式。 SIEM可以了解这些模式并自动发现暗示威胁的异常。
自动化的事件响应– SIEM一旦检测到某种类型的安全事件,便可以执行预先计划的一系列操作来遏制和缓解事件。 SIEM正在成为完整的安全协调和自动化(SOAR)工具。
横向移动–攻击者使用IP地址,凭据和计算机在网络中移动,以搜索关键资产。通过分析来自整个网络和多个系统资源的数据,SIEM可以检测到这种横向移动。
没有规则或特征的检测–手动定义的规则或已知的攻击特征无法捕获网络面临的许多威胁。 SIEM可以使用机器学习来检测事件,而无需预先定义。
下一代SIEM的一个示例是Exabeam安全管理平台(SMP),该平台结合了基于机器学习,云连接器,灵活的数据湖基础结构,事件响应和威胁搜寻功能的行为分析。
7、原文
视频链接:https://www.youtube.com/watch?time_continue=3&v=GbFtSDnPZBQ&feature=emb_logo