浅谈SIEM

一、SIEM包括两部分内容：

安全信息管理(SIM): SIM涉及所有网络活动的收集。这包括从服务器、防火墙、域控制器、路由器、数据库和网络流收集的日志数据，以及网络中的非结构化数据，如电子邮件。可以使用两种技术收集日志数据，即无代理收集和基于代理的收集。

基于代理的日志收集：这种方法要求在每台设备上部署一个代理。代理收集日志，然后在将日志返回到SIEM服务器之前对其进行分析和过滤。这种技术主要用于封闭且安全的网络，例如通信受限的非军事化区(DMZ)。

无代理日志收集：这是一种更常用的方法，SIEM服务器使用安全通信通道(如使用安全协议的特定端口)自动收集设备生成的日志。

安全事件管理(SIEM): SIEM是指对收集的数据进行分析。使用各种技术分析数据，发送告警，和/或针对任何异常行为启动工作流。

---

分析过程包括:

1. 日志关联：分析所有收集的数据，并将日志相互关联，以检测任何攻击模式。日志数据还可以与威胁源相关联，以检测妥协指标(IOC)。

2. 威胁情报：上下文威胁信息用于检测网络中发生的任何入侵、横向移动或数据泄露。

3. 基于机器学习的用户行为分析：机器学习算法和分析工具可以形成用户行为模式的基线。如果行为出现偏差，SIEM解决方案将检测到异常，发出警报，及时对安全威胁进行防范。

通过上述技术获得的数据会以条形图或饼图的形式呈现，这使得IT安全管理员可以更快、更容易地做出决策。

---

二、让我们一起看一下SIEM针对暴力破解的经典应用场景：

一分钟内输入五次不正确的网络访问密码。这被认为是低优先级攻击，因为用户可能多次输入了错误的密码。

现在想想一分钟内如果输入240次错误密码的情况。那这极有可能是一种暴力攻击，黑客正试图破解您的账号。

---

三、让我们再看看SIEM是如何触发告警的：

---

一分钟内输入错误密码n次将显示：登录失败，事件ID 4625

在n次失败尝试后输入正确的密码将显示：登录成功，事件ID 4624

发出告警：网络中可能存在暴力攻击。

SIEM软件可以检测这种暴力攻击，通知IT安全管理员，并自动启动工作流来锁定帐户并隔离发生事件的计算机。

---

EventLog Analyzer是一款日志管理和分析工具，可以实现快速、简便地检测网络威胁。这款SIEM解决方案可以识别任何IT资源生成的日志并进行可视化分析。可以轻松扩展至任何IT网络环境，抵御任何来自内部或外部的威胁。想要了解更多，请下载30天免费体验版本！

**

• 软件源自匠心，IT改变世界。 用科技让工作与生活更轻松美好。

**