安全信息和事件管理(SIEM)对于企业主动识别、管理和消除安全威胁至关重要。SIEM 解决方案采用事件关联、AI 驱动的异常检测以及机器学习驱动的用户和实体行为分析 (UEBA) 等机制来检测、审查和应对网络安全威胁。这些功能使 SIEM 系统能够提供实时安全警报,并增强组织快速有效地响应事件的能力。
2005 年,Gartner®创造了 SIEM 一词,将安全信息管理(SIM)和安全事件管理(SEM)结合在一起。
多年来,SIEM 工具已从简单的日志管理发展到复杂的威胁检测和管理。如今的 SIEM 在利用 AI 和 ML 功能(如 UEBA)进行高级持续性威胁检测方面发挥着重要作用。SIEM 工具可满足 SOC 的安全监控和分析用例的需求,例如确保数据和云安全、评估和管理网络风险以及遵守法规要求。
SIEM 解决方案从整个网络的源引入和分析与安全相关的数据点,并为安全管理员提供见解,以检测和缓解安全攻击。它的工作原理如下:
SIEM 解决方案引入事件数据(如日志和流数据)以进行网络行为分析。在基本层面上,该解决方案使用基于代理和无代理的机制收集网络中每个设备和应用程序生成的数据。该解决方案还采用非事件数据和上下文信息,例如威胁源。在 SIEM 软件中集中聚合所有数据后,将使用关联和 ML 算法对其进行规范化和分析,并将其转换为可操作的信息,这些信息以通知和交互式仪表板的形式交付给安全团队。
SIEM 解决方案的仪表板和图形报告提供对整个网络中发生的安全事件的实时洞察,这些分析仪表板可帮助安全分析师识别趋势和可疑行为,检查最近的警报,并监控整个网络的运行状况。
SIEM 解决方案从整个网络的来源引入日志数据,包括服务器、防火墙、入侵检测和防御系统、应用程序、数据库服务器、交换机、路由器、Active Directory 服务器、工作站等。这些汇总的日志数据安全地存储在一个中心位置,便于分析。日志收集通常使用各种技术执行,例如无代理和基于代理的日志收集。
在日志收集之后,SIEM 工具会解析日志,提取和规范化数据,使其适合有效的分析和关联。
SIEM 解决方案的主要用途是威胁检测,通过聚合和关联安全数据来实现。关联引擎处理规则,这些规则是可能指示安全威胁的事件序列。现代 SIEM 解决方案使用非事件数据和威胁源来丰富其关联引擎的效率。SIEM 解决方案是可定制的,使用户能够微调关联规则以捕获特定于企业的威胁。此外,关联能力与自动化工作流执行相关联,从而减少了解决需要立即干预的威胁的手动过程。
应通过在企业防火墙中编写规则来立即阻止来自恶意来源的流量。SIEM 解决方案不仅应将防火墙日志与威胁源相关联,以检测允许的恶意流量,还应提供通过编写防火墙规则或策略立即阻止流量的选项。
借助 SIEM 解决方案,安全分析师可以安全地长时间保留日志数据,并有效地梳理大量日志。这使他们能够检查安全事件,以确定数据泄露的程度,确定攻击的肇事者,查看攻击者在环境中停留的时间,了解他们采取的一系列操作,并评估业务影响。此外,取证团队还可以重建过去的安全事件,以查明任何安全漏洞并防止未来的网络攻击。
SIEM 解决方案收集所有检测到的事件,并在仪表板中显示时间线和关键数据点,以便从单个控制台监控、会审和解决这些事件。虽然 SIEM 解决方案的实时警报系统有助于缩短平均检测时间(MTTD),但安全事件管理控制台通过提供从控制台内执行缓解步骤的功能来帮助最大限度地减少平均解决时间(MTTR)。SIEM 工具的事件管理功能还通过提供仪表板来跟踪和分类事件解决过程,从而确保对安全专业人员的问责制。
实施不同的威胁检测机制(基于规则的关联、基于签名的威胁检测和基于 ML 的异常检测)与实时安全警报相结合,增强了 SIEM 解决方案准确发现威胁和减少 MTTD 的能力。安全分析为有效的威胁调查提供了一个平台,通过来自可靠的开源工具或第三方供应商的威胁源集成,进一步增强了这一平台。威胁建模框架(如 MITRE ATT&CK)的实施进一步增强了 SIEM 解决方案的威胁搜寻、检测、分析和修复功能。这允许管理员快速识别威胁源,从而加快缓解过程。
SIEM 工具的 UEBA 功能使用 ML 和深度学习算法检测组织网络中的异常行为。通过收集与网络中的用户和实体活动相关的数据来创建行为基线。当检测到任何偏离基线的情况时,将根据严重程度分配风险评分。偏差可能包括在异常时间登录、短时间内登录失败次数过多、权限提升等。如果风险评分超过设定的阈值,安全管理员会收到实时通知。ML 驱动的 UEBA 可捕获高级持续性威胁,这些威胁通常无法通过基于规则的检测机制检测到。UEBA 在检测内部威胁、帐户泄露和数据泄露方面也发挥着重要作用。
许多组织都需要遵守法规要求。SIEM工具可以简化整个审计流程,通过为各种合规标准(如 PCI DSS、GDPR、HIPAA、FISMA、SOX、FERPA、NERC CIP、PDPA 等)提供开箱即用的审计就绪报告,最大限度地降低安全风险并简化企业的合规性演示,某些 SIEM 解决方案还允许用户根据其审核要求自定义或创建新的合规性报告。
随着越来越多的组织转向云,新的安全挑战可能会出现。使用 SIEM 工具可以提高对云环境的可见性,帮助组织降低风险并增强对威胁的防御能力。
云访问安全代理(CASB)使用组织的安全策略来检查云服务提供商和组织之间传输的数据。例如,如果员工将敏感的公司数据存储在未经批准的云应用程序上,CASB 会协助 IT 团队识别用户访问的所有非托管应用程序并实施补救措施。将 SIEM 与 CASB 集成,可为 IT 管理员提供云安全的整体视图,增强威胁检测并建立协调的事件响应。
除了增强网络监控外,SIEM 解决方案还提供监控组织内用户活动的功能,从而能够检测和预防有意和无意的内部威胁。这确保了用户不会滥用其访问权限来泄露敏感信息或使网络系统受到外部攻击。SIEM 解决方案提供对用户登录和注销活动的宝贵见解,并跟踪对敏感文件和文件夹所做的配置更改和修改。
为了应对不断变化的安全环境,下一代 SIEM 工具提供了一组新的功能,可提供可操作的情报,帮助企业实施主动安全策略并改善其安全态势。
下一代 SIEM 解决方案提供高级功能,例如:
Log360 连续六次入选Gartner® SIEM 魔力象限™,是一个统一的 SIEM 解决方案,具有集成的 DLP 和 CASB 功能,可检测、优先处理、调查和响应安全威胁。它结合了威胁情报、基于 ML 的异常检测和基于规则的攻击检测来识别复杂的攻击,并提供事件管理控制台来有效修复检测到的威胁。Log360 凭借其直观和先进的安全分析和监控功能,提供跨本地、云和混合网络的整体可见性。