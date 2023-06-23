什么是安全信息和事件管理 (SIEM)？

什么是 SIEM？

安全信息和事件管理 (SIEM) 是一种安全解决方案，可帮助组织在潜在的安全威胁和漏洞可能破坏业务运营之前识别并解决它们。

SIEM 系统可帮助企业安全团队检测用户异常行为，并使用人工智能 (AI) 自动执行与威胁检测和事件响应相关的大量手动流程。

最初的 SIEM 平台是日志管理工具。它们结合了安全信息管理 (SIM) 和安全事件管理 (SEM) 功能。这些平台能够实时监控和分析安全相关事件。

此外，它们还有助于跟踪和记录安全数据以进行合规或审计目的。Gartner 在 2005 年创造了 SIEM 一词来表示 SIM 和 SEM 技术的组合。

多年来，SIEM 软件不断演变，整合了用户和实体行为分析 (UEBA) 以及其他用于识别异常行为和高级威胁指标的高级安全分析、AI 和机器学习功能。如今，SIEM 已成为现代安全运营中心 (SOC) 中用于安全监控和合规性管理用例的主要内容。
SIEM 的工作原理是什么？

从最基本的层面上看，所有 SIEM 解决方案都包含执行某种程度的数据聚合、整合和排序功能，用以识别威胁并遵守相关的数据合规要求。虽然不同的解决方案在功能方面不尽相同，但大多数都提供相同的核心功能集：
日志管理

SIEM 从一个组织的整个 IT 基础架构（包括本地和云环境）的各种来源采集事件数据。

实时收集、关联和分析来自用户、端点、应用、数据源、云工作负载和网络的事件日志数据，以及来自安全硬件和软件（例如防火墙或防病毒软件）的数据。

一些 SIEM 解决方案还与第三方威胁情报订阅源相集成，可将它们的内部安全数据与先前识别的威胁特征符和概要文件详细比对。集成实时威胁情报订阅源，可确保团队屏蔽或检测新型攻击特征符。
事件关联和分析

事件关联是任何 SIEM 解决方案的重要组成部分。事件关联利用高级分析来识别和理解复杂的数据模式，以提供洞察分析，快速定位潜在威胁，降低对业务安全性的影响。

通过减少用于深入分析安全事件的手动工作流程，SIEM 解决方案可显著改善 IT 安全团队的平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
事件监控和安全警报

SIEM 将其分析整合到一个中央仪表板中，安全团队可以在其中监控活动、分类警报、识别威胁并启动响应或补救措施。

大多数 SIEM 仪表板还包括实时数据可视化，可帮助安全分析师发现可疑活动的峰值或趋势。使用可自定义、预定义的关联规则，管理员可以立即收到警报并采取适当措施来消除威胁，以免造成更严重的安全问题。
合规管理和报告

许多组织需要满足不同形式的监管合规要求，对于这些组织而言，SIEM 解决方案是备受欢迎的选择。SIEM 提供自动数据收集和分析功能，因此，在收集和验证整个业务基础架构中的合规数据方面，SIEM 是一种极具价值的工具。

SIEM 解决方案可以为 PCI-DSS、GDPR、HIPPA、SOX 和其他合规标准生成实时的合规报告，从而减轻安全管理的负担并及早发现潜在的违规行为，以便解决这些问题。许多 SIEM 解决方案都带有预构建的开箱即用附加组件，可以自动生成旨在满足合规要求的报告。
SIEM 的优势

无论组织规模如何，采取主动措施来监控和降低 IT 安全风险都至关重要。SIEM 解决方案以各种方式使企业受益并已成为简化安全工作流程的重要组成部分。

实时威胁识别

SIEM 解决方案支持涵盖整个业务基础架构的集中化合规审计和报告流程。高级自动化简化系统日志和安全事件的收集和分析，从而降低内部资源使用率，同时满足严格的合规报告标准。
AI 驱动的自动化

当今的下一代 SIEM 解决方案与强大的安全编排、自动化和响应 (SOAR) 系统集成，帮助 IT 团队在管理业务安全时节省时间和资源。

这些解决方案采用了能够自动从网络行为学习的深度机器学习功能，在处理复杂的威胁识别和事件响应协议时，所耗费的时间比实体团队使用的时间要少。
提高组织效率

SIEM 针对 IT 环境提供了更高的可视化水准，使之成为改善跨部门效率的重要驱动力。

中央仪表板提供系统数据、警报和通知的统一视图，使团队能够在响应威胁和安全事件时有效地进行沟通和协作。
检测高级和未知威胁

鉴于网络安全环境变化的速度迅疾难测，各组织亟需能够检测已知和未知安全威胁并做出响应的解决方案。

使用集成的威胁情报订阅源和 AI 技术，SIEM 解决方案可以帮助安全团队更有效地应对各种网络攻击，包括：

  • 内部威胁安全漏洞或攻击源自有权访问公司网络和数字资产的个人。

  • 网络钓鱼看似由可信发件人发送的消息，通常用于窃取用户数据、登录凭据、财务信息或其他敏感的业务信息。

  • 勒索软件一种恶意软件，它会锁定受害者的数据或设备，并威胁受害者，使其保持锁定状态（或更糟糕的状态），并要求受害者向攻击者支付赎金。

  • 分布式拒绝服务 (DDoS) 攻击从被劫持设备组成的分布式网络（僵尸网络）以难以管理的流量轰炸网络和系统的攻击，从而降低网站和服务器的性能，直到它们无法使用。

  • 数据渗露手动或使用恶意软件自动窃取计算机或其他设备上的数据。
进行取证调查

SIEM 解决方案非常适合在发生安全事件后进行计算机取证调查。使用 SIEM 解决方案，各组织可在同一个地方高效收集和分析来自他们的所有数字资产的日志数据。

这样，各组织将能够重现过去的事件或分析新事件，来调查可疑活动，并实施更有效的安全流程。
评估和报告合规性

对于许多组织而言，合规审计和报告是既有必要又颇具挑战性的任务。SIEM 解决方案可在需要时提供监管合规性的实时审计和按需报告，显著降低了管理此流程所需的资源支出。
监控用户和应用

随着远程办公、SaaS 应用和自带设备 (BYOD) 政策的兴起，各组织必须构建较高的可视化管理级别，才能降低传统网络范围之外产生的各种网络风险。

SIEM 解决方案会跟踪所有用户、设备和应用的所有网络活动，大幅提高整个基础架构的透明度，而且，无论在何处访问数字资产和服务，SIEM 都能执行威胁检测任务。
实施 SIEM 的最佳实践

在投资新解决方案之前和之后，都应该遵循以下实施 SIEM 的最佳实践：

  1. 首先，充分了解实施范围。明确企业如何从部署中获得最大收益，以及如何设置合适的安全用例。

  2. 在所有系统和网络（包括任何云部署）中设计和应用预定义的数据关联规则。

  3. 确定所有业务合规要求，并确保将 SIEM 解决方案配置为根据这些标准实时审计和报告，以便更好地了解风险状态。

  4. 对整个组织内的 IT 基础架构中的所有数字资产进行编目和分类。这对于管理收集日志数据、检测访问权限滥用和监控网络活动至关重要。

  5. 制定在集成 SIEM 解决方案时可以监控的 BYOD 政策、IT 配置和限制。

  6. 定期调整 SIEM 配置，确保减少安全警报中的误判。

  7. 记录和实践所有事件响应计划和工作流程，以帮助确保团队能够快速响应任何需要干预的安全事件。

  8. 尽可能利用 AI 和安全技术（如 SOAR）实现自动化。

  9. 评估投资一家托管安全服务提供商 (MSSP) 来管理您的 SIEM 部署的可能性。根据企业的独特需求，更好的方案是，MSSP 能够处理 SIEM 实施方案的复杂性，并能够定期管理功能和并保持连续运行。
SIEM 的未来

认知能力能够提高系统的决策能力，因此，AI 技术对于 SIEM 的未来将变得越来越重要。它还能确保系统可随着端点数量的增加而调整和增长。

随着物联网 (IoT)、云计算、移动技术和其他技术不断增加 SIEM 工具必须使用的数据量，AI 技术提供了一种解决方案的潜力；这种解决方案可支持更多的数据类型，并随着威胁态势的发展，能够把控整体局面。
