业内人士详述SIEM建设的演进过程

在今年（2011年）的RSA大会上，有一个关于SIEM的session，说的是建设SIEM系统的三个阶段。发言者认为建设SIEM/SOC这样的系统不适合一步到位，而应该分阶段实施，逐步落实目标计划。这篇报道讲述了发言的业内人士的具体观点。这个观点与我们对于SOC在国内建设的观点是基本一致的。

文章引述作为某大型联邦政府部门的人士Nelson的话表示，典型的SIEM实施分为三个阶段：初级阶段，成长阶段和成熟阶段。

在初级阶段，主要是受到合规政策的驱动，部署SIEM用于收集和存储日志，主要是用于审计。然而，由于缺乏后续资金和人力资源，大部分SIEM用户 都只是停留在初级阶段。Nelson建议用户在这个阶段应该花费半年的时间进行调适。他不建议用户在这个阶段设立过多的目标和期望。"Keep the bar low at the beginning; just get that information in there and get your baseline," he said. "If you try to blow it up all at once at the beginning with the threat and anomoly detection and threat analysis and response, you're going to fail."

【注：在国内有的用户也可以分为这三个阶段。但是第一阶段的动因往往不是合规。不过，在国内我认为第一阶段的目标设定为将日志采集上来，存 起来，能查，能出具报表是适当的，也是现实的，与Nelson所提及的内容大体相当。这也是一些人提到的上SIEM之前先上日志审计（日志管理）的意思。 也就是SIEM的SIM部分——根据Gartner的划分。】

在成长阶段，就可以进一步发挥SIEM的功能了，主要是SEM的功能，也就是所谓的事件监控功能。【注：根据Gartner对于SIEM的定义，SEM注重监控】Nelson表示，将上下文加入安全信息中很有必要，例如身份信息、网络信息，等等。【注：Gartner也很强调Context】

而在成熟阶段，SIEM的使用过程已经与用户的IT运维流程整合到一起了，成为其中的一个部分。Nelson将这称作“安全的运维化/运营化”（This is where security is operationalized）。

另一位业内人士，作为政府行业SI的Murphy表示，要实现从初级阶段到成熟阶段的跨越，识别威胁的优先级十分关键。【注：太多重点就等于没有重点，没有优先级，就没有目标，成果就难以取得】"You might have a lot more usable information coming at you than you initially expect; it could be hundreds of things per hour that need to be looked at and addressed in some fashion," he said. "So it is important that there's a really strong prioritization algorithm in place."（你可能采集到比你最初设计的时候多得多的信息，可能每小时就有成百的信息需要你去看。因此你必须要有一个强大的优先级判定算法来帮助 你。）

Murphy表示，划分优先级不能仅仅针对时间的严重性，还应该考虑其他因素，例如事件所作用的资产（业务或应用）的等级、风险因素、时间因素，等等。

最后，这篇文章可以让我们了解历年RSA大会上对于SIEM的讨论内容。可以看出，讨论的内容从最初的技术，越来越偏向实施、运维和使用。也体现了SIEM的逐步成熟（包括技术和市场两个方面）。