浅谈SIEM

一、SIEM包括两部分内容:

安全信息管理(SIM): SIM涉及所有网络活动的收集。这包括从服务器、防火墙、域控制器、路由器、数据库和网络流收集的日志数据,以及网络中的非结构化数据,如电子邮件。可以使用两种技术收集日志数据,即无代理收集和基于代理的收集。

基于代理的日志收集:这种方法要求在每台设备上部署一个代理。代理收集日志,然后在将日志返回到SIEM服务器之前对其进行分析和过滤。这种技术主要用于封闭且安全的网络,例如通信受限的非军事化区(DMZ)。

无代理日志收集:这是一种更常用的方法,SIEM服务器使用安全通信通道(如使用安全协议的特定端口)自动收集设备生成的日志。

安全事件管理(SIEM): SIEM是指对收集的数据进行分析。使用各种技术分析数据,发送告警,和/或针对任何异常行为启动工作流。


分析过程包括:

1. 日志关联:分析所有收集的数据,并将日志相互关联,以检测任何攻击模式。日志数据还可以与威胁源相关联,以检测妥协指标(IOC)。

2. 威胁情报:上下文威胁信息用于检测网络中发生的任何入侵、横向移动或数据泄露。

3. 基于机器学习的用户行为分析:机器学习算法和分析工具可以形成用户行为模式的基线。如果行为出现偏差,SIEM解决方案将检测到异常,发出警报,及时对安全威胁进行防范。

通过上述技术获得的数据会以条形图或饼图的形式呈现,这使得IT安全管理员可以更快、更容易地做出决策。


二、让我们一起看一下SIEM针对暴力破解的经典应用场景:

一分钟内输入五次不正确的网络访问密码。这被认为是低优先级攻击,因为用户可能多次输入了错误的密码。

现在想想一分钟内如果输入240次错误密码的情况。那这极有可能是一种暴力攻击,黑客正试图破解您的账号。


三、让我们再看看SIEM是如何触发告警的:


一分钟内输入错误密码n次将显示:登录失败,事件ID 4625

在n次失败尝试后输入正确的密码将显示:登录成功,事件ID 4624

发出告警:网络中可能存在暴力攻击。

SIEM软件可以检测这种暴力攻击,通知IT安全管理员,并自动启动工作流来锁定帐户并隔离发生事件的计算机。


EventLog Analyzer是一款日志管理和分析工具,可以实现快速、简便地检测网络威胁。这款SIEM解决方案可以识别任何IT资源生成的日志并进行可视化分析。可以轻松扩展至任何IT网络环境,抵御任何来自内部或外部的威胁。想要了解更多,请下载30天免费体验版本!
浅谈SIEM_第1张图片
**

  • 软件源自匠心,IT改变世界。 用科技让工作与生活更轻松美好。

**
浅谈SIEM_第2张图片

你可能感兴趣的:(漏洞管理,统一终端管理,ManageEngine新闻,安全,网络,运维)