SIEM技术已经应用了大约20年,其早期产品的目的主要是帮助用户更好地管理日志和满足法规遵从性要求,很少应用于威胁检测和响应.然而,由于现代企业的威胁面不断扩大,对未知攻击的担忧不断增加,安全团队需要实现数据驱动的威胁检测和响应能力,新一代的SIEM产品也应运而生。新一代SIEM的能力演进目前,业界对新一代SIEM并没有一个明确的或普遍接受的概念。但是,我们可以从Gartner给出的SIEM的定义来分析:SIEM是一种旨在通过收集和分析安全事件和上下文数据源来启用或支持威胁检测、合规性和安全事件管理的技术。这个定义可以应用于新一代SIEM的概念:新一代SIEM比传统SIEM更先进,利用新一代大数据技术和数据建模技术,提供改进的数据收集流程和用户界面/经验,并提供额外的威胁检测和缓解功能,例如实体行为分析(UEBA)和SOAR开放集成。通过对传统SIEM系统进行更强大的升级,业务用户将能够获得更准确的分析结果,而不受陈旧的技术框架和流程的束缚。下一代SIEM的新功能可能因供应商而异,但通常包括以下典型功能。云原生操作:下一代SIEM必须直接在云中运行,并与基于云的系统兼容。这使组织能够统一监控众多应用程序、设备、服务器和端点,并提高跨不同数据源收集日志的效率。高级威胁检测:与传统SIEM相比,下一代SIEM可以识别和预测威胁和攻击。它可以发现可疑活动、异常行为和与恶意活动一致的模式。更有效地处理误报:误报并非完全可以避免。然而,传统的SIEM显然有太多的误报。新一代SIEM系统可以通过人工智能和事件关联机制提高检测精度。更快的数据处理:传统的SIEM通常与基于数据量的评估相关联。因此,收集和分析的数据越多,运行SIEM的成本就越高。新一代SIEM借助统一的数据评估模型解决了这个问题,大大降低了获取数据的成本。增强集成:下一代SIEM可以与更多安全工具和系统配合使用,包括安全编排自动化和响应(SOAR)、实时可视化工具、行为分析以及连接到公共、自定义和其他数据源情报的威胁。未来属于开放XDR?尽管新一代SIEM较上一代有了显着飞跃,但研究人员认为改进后的SIEM系统仍会存在一些不足:首先,数据管理效率低下是SIEM框架的先天缺陷。新一代的SIEM平台虽然在努力解决这个问题,但还没有证明其有效性。此外,手动工作在SIEM中仍然必不可少,需要依靠人类编写的规则来完成工作就证明了这一点。此外,即使改进了集成,下一代SIEM在确保其与组织常用的安全工具有效协作方面的选择仍然有限。由于上述SIEM技术难以从根本上解决的问题,一种开放的XDR技术开始出现,被视为对SIEM技术应用不完善的有效补充。甚至有人认为开放的XDR技术将成为SIEM的替代品。.在产品应用目标上,开放的XDR技术与新一代SIEM技术有很多相似之处,主要是通过数据汇聚和分析,帮助企业提升威胁检测和应对能力。但是,开放的XDR采用了与新一代SIEM完全不同的技术架构,更容易集成多种安全数据和能力。开放的XDR框架要求所有的安全数据必须经过统一的标准化和细化,然后才能存储到数据湖或大数据处理系统中,这与传统的SIEM方法形成了鲜明的对比。由于对收集和存储的安全数据进行高质量处理,这使得OpenXDR能够最大限度地发挥人工智能的优势。此外,开放的XDR可以使用不同的安全控制措施来应对各种威胁和风险,并使用统一的控制接口来保证用户的安全操作体验,让安全运营商可以轻松应用UEBA、SOAR、NDR、EDR和各种其他工具和技术。然而,虽然OpenXDR在理论上更先进,但在产品落地上还不够成熟,因为目前还缺乏统一的XDR技术行业标准,所以在不同厂商能力的标准化整合过程中,其落地效果需要进一步观察和验证。结论网络安全威胁态势不断变化,实现数据驱动的安全能力建设是企业用户的必然选择。目前,下一代SIEM和开放式XDR是企业组织在加强网络防御时可以考虑的方法,但也存在一些不足和挑战。组织需要主动采用更先进的技术方法来扩展威胁检测和响应能力。但是,这并不意味着组织应该盲目地采用新技术和产品。充分了解自己的应用需求,然后选择合适的技术产品非常重要,这对于提升威胁检测和响应能力非常重要。有时可能需要尝试多种不同的方法,因此部署替代或补充解决方案也是企业应该考虑的一种架构方法。
