SIEM通常被认为是一个日志聚合设备。但是,SIEM的主要功能是提供威胁检测和事件调查(理想情况下),从而加快事件响应时间,同时仍然对基础设施有一个统一的整体视图。SIEM只是保护和监控网络和系统的难题之一;而从MichaelOberlaender的角度来看,这个谜题由一个十层堆栈(OSI七层,加上用户、管理和资金)组成,一开始看起来会很吓人。在稍深的层次上,SIEM通常提供以下功能:事件和日志收集:聚合来自网络中各种来源的事件和日志数据,以便于监控。面板:经常根据收集的数据制成表格,从而更容易识别环境模式和异常活动。相关性:根据共同属性将事件连接在一起,将数据转化为可以关联的有价值的组合。警报:自动分析相关事件以提供持续验证、趋势分析和审计。?取证分析:能够根据特定标准搜索不同阶段和时间段的完整日志。合规性:自动收集应用程序中的合规性数据,并根据现有的安全、治理和审计流程生成相应的报告。保留:长期保存历史数据,让长期数据关联更容易;同时满足应用程序合规性。映射:将计算机化术语转换为更易于呈现的可读数据,并映射到用户和供应商定义的分类法和方法。SIEM不应该是一件您购买后就忘记的设备。如果一家企业所做的只是购买SIEM,连接到互联网,并认为SIEM满足所有安全要求——那么它就会陷入很多麻烦。SIEM只是一个为事件响应团队和数字取证团队标准化安全工作流程的工具——这些团队的成员将使用SIEM来确保网络的安全。这只是使用SIEM的原因之一,部署SIEM的其他原因包括:ISO27003认证。日志管理和保留。事件响应和持续监控。案例管理和票务系统。验证政策实施并监控政策违规行为。许多企业过去部署SIEM的主要原因是合规性。SIEM功能不仅限于保护敏感信息,还提供了一种满足合规性要求的方法。企业可以通过SIEM避免审计失败,因为SIEM的保留和报告功能可以验证其合规状态是否符合法律法规的要求。但是,如前所述,企业不能简单地部署SIEM,让员工监控SIEM,然后就将系统抛在脑后。要使SIEM发挥作用,尤其是对于事件响应和威胁检测系统,必须调整其警报以及事件和日志收集过程。如果警报太多,相关团队将错过关键数据并迷失在噪音中;如果警报太少,可能永远不会检测到严重的安全事件。这个调整过程需要发生在人工方面,需要依赖那些非常熟悉网络环境的人盯着SIEM和它的监控系统,然后根据业务和网络需求进行更新。对于这个周期,可以参考Gartner的预测、预防、检测和响应四阶段模型。简而言之,SIEM遵循GIGO原则(垃圾输入,垃圾输出;如果输入是垃圾,输出也是垃圾)。SIEM将反映用户和用户安全团队的输入——如果没有对SIEM进行必要的审查、观察和调整,SIEM将停滞不前并最终成为一种负担。SIEM解决方案应该是业务驱动和以流程为中心的——像ITIL框架这样的东西可以帮助确定可以合并、修改或完全删除哪些流程。那么从哪里开始呢?尝试使用服务目录,如果没有,可以使用一些基本用例,然后从那里开始,无需从头开始。正如使用SIEM需要不断适应一样,以下方面也需要不断适应:合规要求流程威胁漏洞和CVE人员客户/用户期望SLA每个企业应用SIEM的方式不一定相同,甚至他们自己的竞争对手或类似公司将以截然不同的方式使用它们——最终,您需要查看哪些适合您自己的环境和业务。创建路线图作为指南可能会有所帮助——从“为什么”或使用SIEM的目的开始,这将更容易识别相关资产并确定优先级。确定资产和优先级后,下一步是定义范围。这是确保SIEM解决方案适用的关键。SIEM功能的范围除了支持和保护业务之外,还可以为业务提供支持。有效的技术、网络运营和安全运营团队在流程和流程下协作,以确定:数据分类关键资产入口和出口点(网络和物理)必需的合规性要求内部IP机制一旦这些到位,它们还必须有包括问责制和问责制的过程。另外,需要有一个固定的来源来回答一些问题,或者说能够得到答案:可以是一个人,一个团队,甚至是一个内页。为确保实践一致性,可以围绕ITIL实践组织SOC或SIEM;考虑到ITIL对管理的关注,它可以用作指南或路线图。战略管理定义了自己的SIEM愿景,或者SIEM解决方案可以作为一个整体提供的服务。这个定义可以简单也可以复杂,但最好从简单的东西开始,定义对象的一些“常识”。可以尽早将十个常见用例联系起来作为一个良好的开端。一旦服务设计分析了业务需求,就可以开始将SIEM/SOC的期望和部署的初衷与业务关联起来。这里的目标是创建一个“SIEM服务目录”,以一组指标作为SIEM在业务中的核心功能。服务和技术管理实践SOC或SIEM运维人员需要关注环境的变化。这似乎是显而易见的事情,但需要实施。如果SOC或SIEM的运维人员不知道有新PC加入网络,或者数据中心暂时下线,就会导致误报、审计失败、报告无效等,这一步也需要练习“服务设计”阶段描述的功能,包括定义职责、沟通、SLA,甚至OLA。此步骤尤其需要标记趋势、维修操作、日常活动以及配置和库存更改。持续改进这一步,对于一个企业来说,往往是最困难的一步,但也是最有必要的。在此阶段,数据将根据先前建立的指标进行审查和使用,以重新定义或改进服务、流程和流程。这个阶段是一个很好的机会来验证和验证手动或GRC收集的数据。使用持续改进记录也有帮助。此时,您应该能够理解为什么需要SIEM并理解它可以为您的业务带来的众多好处中的一部分。但是请记住,优先级、方法和方法会根据情况而变化——从简单开始,随着对SIEM的理解逐渐增加复杂性。使用已被证明有效的框架和已被证明有价值的资源作为辅助工具可以帮助对一些初始需求进行需求。评论SIEM的价值在于整合各种事件和安全分析,从而实现威胁的发现、安全问题的响应、已经发生的攻击的溯源取证等。另一方面,SIEM也是一个“难”的产品:需要经过一系列的流程和制度,才能有效地发挥其各项功能;价值最大化。
