哪些是SIEM?如何发挥出SIEM的价值?
发布时间:2021-10-19 16:48:35 所属栏目:安全 来源:互联网
导读:SIEM一般被认为是一个日志聚合的设备。然而,SIEM的主要能力是提供威胁检测,最好还能够实现事件调查、加速事件响应时间,同时还能有统一、整体的基础设施视角。SIEM只是保护和监控网络和系统的拼图之一;而从Michael Oberlaender看来,这块拼图由十层堆栈组
|
SIEM一般被认为是一个日志聚合的设备。然而,SIEM的主要能力是提供威胁检测,最好还能够实现事件调查、加速事件响应时间,同时还能有统一、整体的基础设施视角。SIEM只是保护和监控网络和系统的拼图之一;而从Michael Oberlaender看来,这块拼图由十层堆栈组成(OSI七层,加上用户、管理和金钱),在刚开始的时候,会看上去很吓人
在一个略微更加深入的层面,一个SIEM一般会提供以下能力:
事件与日志收集:从网络中各个来源聚合事件和日志数据,从而更方便监控。
面板:频繁地从收集到的数据处做出表格,从而更容易地识别环境模式以及非正常活动。
关联:基于常见属性将事件连接到一起,从而将数据转化为能够关联的有价值组合。
告警:自动化分析关联事件,提供可持续的验证、趋势与审计。• 取证分析:能够基于特定的标准,在不同的阶段和时间段上搜索全日志。
合规::自动化收集应用中的合规数据,基于现有的安全、治理以及审计流程生成相对应的报告。
留存:长时间存储历史数据,使长时间的数据关联更为容易;同时满足应用合规。
映射:将计算机化的术语转化为可读的数据,更便于展示,并且能够映射到用户以及厂商定义的分类和方法中。
SIEM不应该是一个购入以后就被遗忘的设备。如果企业做的仅仅是购买了SIEM,连上网,然后认为SIEM将所有的安全需求都达成了——那就会陷入许多哦麻烦中。SIEM只是一个为事件响应团队与数字取证团队标准化安全工作流的工具而已——这些团队的成员会使用SIEM来确保网络的安全。
这只是使用SIEM的原因之一,其他部署SIEM的原因还包括:
满足HIPAA、SOX、PII、NERC、COBIT 5、PCI、FISMA等合规要求。
ISO 27000、ISO 27001、ISO 27002和ISO 27003等认证。
日志管理与留存。
事件响应与持续监控。
事例管理以及工单系统。
策略实施验证以及监测策略违反情况。
许多企业过去部署SIEM的主要原因是为了合规。SIEM的功能不仅仅能保护敏感信息,还提供一种能够满足合规要求的手段。企业可以通过SIEM避免审计失败,因为SIEM的存留和报告功能能够验证自身的合规情况是否和法律法规的要求一致。
(编辑:湘西站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
