什么是安全信息事件管理 (SIEM)

安全信息事件管理 (SIEM) 解决方案就像飞行员和空中交通管制员使用的雷达系统，如果没有SIEM，企业 IT 部门无异于“盲飞”。虽然安全设备和系统软件擅长捕捉和记录孤立的攻击和异常行为，但是当今最严重的威胁是分布式的，跨多个系统协同工作，并使用先进的规避技术来避免检测。没有SIEM，袭击就会发生并发展成为灾难性事件。日益复杂的攻击和云服务的使用，增加了遭受漏洞攻击的机会，放大了 SIEM 解决方案对当今企业的重要性。

那么，SIEM是什么？

Gartner将SIEM定义为“通过对来自各种事件和上下文数据源的安全事件进行实时收集和历史分析来支持威胁检测和安全事件响应的技术。”

简而言之

SIEM是一个安全平台，可以提取事件日志，并提供对这些数据的单一视图和更多见解。

SIEM的演变

SIEM 不是一项新技术，该平台的基本功能已经以某种形式存在了将近15 年。随着时间的推移，SIEM解决方案变成了具有更多内容的信息平台——它的使用范围扩大到包括合规性报告，汇总来自防火墙和其他设备的日志。但是 SIEM 技术往往很复杂，难以调整，并且要识别攻击，IT专业人员必须知道他们在寻找什么。久而久之，该技术变得困难并且不可扩展。这促使 SIEM 解决方案向更灵活，更易于使用发展。这一点在今天尤为重要，因为组织已经将云解决方案和数字化转型应用到了我们生活的每个方面。因此，理解传统SIEM和现代基于分析的SIEM解决方案之间的区别很重要。

传统的 SIEM 被困在过去

替代方案：基于分析的 SIEM

企业 IT 需要的是一种简单的方法，将所有安全相关数据中的信息关联起来，一种使IT能够管理其安全状况的解决方案。IT组织不应该仅仅在事件发生后观察事件，而应该能够预测事件的发生并实施措施以实时限制其漏洞。为此，企业需要一个基于分析的SIEM平台。以下是传统 SIEM 和现代解决方案之间的区别。Gartner表示，区别在于“现代SIEM的工作原理不仅仅是记录数据，而且不仅仅应用数据分析的简单关联规则” ，在这种背景下，一种特定类型的现代SIEM应运而 生，我们喜欢称之为基于分析的SIEM解决方案。这种现代化的解决方案使 IT 部门能够实时监控威胁并快速响应事件，从而避免或限制损害。但并非所有的攻击都是外部的，IT 部门需要一种监控用户活动的方式，以便将内部威胁或意外危害的风险降到最低。威胁情报对于理解更广泛的威胁环境的性质 以及将这些威胁纳入组织环境至关重要。基于分析的 SIEM 必须擅长安全分析，让IT团队有能力使用复杂的定量方法来深入了解并确定工作的优先顺序。最后，今天的 SIEM 必须包括作为核心平台的一部分来打击高级威胁所需的专用工具。基于分析的 SIEM 与传统SIEM之间的另一个主要区别在于现代化解决方案的灵活性，它可以将解决方案部署在本地、云中或混合环境中。

SIEM 在企业中的使用案例

既然您已经了解 SIEM 的演变，以及可区分现代基于分析的SIEM解决方案和传统SIEM的特点，现在是时候解释该技术实际解决哪些安全使用案例了。

早期检测、快速响应和协作以减轻高级威胁，这对当今企业安全团队提出了重大要求。报告并监 控日志和安全事件已经不够。安全从业人员需要从IT、业务和云中的整个组织范围内的所有数据 源获得更广泛的见解。为了领先于外部攻击和恶意内部人员，公司需要一种高级安全解决方案， 可用于快速响应检测、事件调查和 CSIRT 违规情景的协调。此外，公司还需要能够检测并响应已知、未知和高级威胁。

企业安全团队必须使用SIEM解决方案，该解决方案不仅可以解决常见的安全使用案例，还可以解决高级使用案例。为了跟上动态威胁情况， 现代SIEM 需要能够：

• 集中并汇总所有安全相关事件，因为它们是从它们的源生成的

• 支持各种接收、收集机制，包括系统日志、 文件传输、文件收集等。

• 将上下文和威胁情报添加到安全事件中

• 关联并警示一系列数据 • 检测高级和未知威胁

• 描绘整个组织中的行为 • 获取所有数据（用户、应用程序）并使其可用于 监视、警报、调查和临时搜索

• 从数据中提供临时搜索和报告以进行高级违规 分析 • 调查事件并进行取证调查，以便进行详细的事件 分析

• 评估并报告合规情况

• 使用安全状况分析和报告

• 通过简化的临时分析和事件排序来跟踪攻击者的行为

（SIEM解决方案构成内容）

 

虽然主要从服务器和网络设备日志中收集，但 SIEM 数据也可能来自端点安全、网络安全设备、 应用程序、云服务、身份验证和授权系统以及现有漏洞和威胁的在线数据库。但数据聚合只是整个过程的一半，更重要的是，SIEM 软件将生成的存储库关联起来，并查找异常行为、系统异常情况和安全事件的其他指标。此信息不仅用于实时事件通知，还用于合规性审计和报告、性能仪表板、历史趋势分析和事后事件取 证。鉴于安全威胁的数量和复杂程度不断上升，以及每个组织中数字资产的价值不断上升，采用基于分析的SIEM解决方案作为整个 IT 安全生态系统的一部分不断发展并不让人感觉奇怪。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！