什么是SIEM

SIEM 解决方案是一种企业级应用程序,可集中和自动化与网络安全相关的操作,该工具通过收集、分析和关联从组织 IT 基础设施中的各种实体聚合的网络事件来帮助应对网络威胁。

与帮助监控和评估组织物理空间中的危险的监视控制台相比,SIEM解决方案就像一个虚拟安全指挥中心,提供对企业网络的完整、实时可见性。

基于这种可见性,SIEM 解决方案通过安全分析、事件关联、基于 ML 和 AI 的异常检测以及事件响应工作流提供威胁检测、调查和响应(TDIR)功能。

SIEM 的功能概述

日志管理

  • 自动日志收集
  • 日志解析和规范化
  • 日志存档
  • 通过日志搜索提供的日志取证

安全分析

  • 设备和应用程序的预定义报告存储库
  • Active Directory 报表
  • UEBA报告
  • 趋势报告
  • 特定于合规性的报告
  • 仪表板
  • 高级调查控制台

威胁检测

  • 关联规则
  • 警报条件和配置文件
  • UEBA
  • IOC 的威胁源集成

威胁搜寻

  • 进程搜寻树
  • Mitre ATT&CK 框架集成
  • 高级威胁分析

威胁修复

  • 事件管理控制台
  • 自动响应工作流

在这里插入图片描述

SIEM 解决方案的工作原理是什么

网络数据聚合

SIEM 解决方案通过基于代理的方法(代理部署在网络设备、服务器和端点上)、syslog(将日志转发到中央服务器)和 API(支持与受支持的系统直接集成)收集日志。

演化:传统 SIEM 解决方案主要依赖于从有限来源收集基于日志的数据,现代 SIEM 解决方案整合了各种数据源,例如日志、数据包、流量、云服务和 API,以实现全面的威胁可见性和检测准确性。

SIEM 日志记录和数据聚合,从不同的网络实体收集的数据类型有哪些:

  • 路由器:配置变更日志、接口状态日志和流日志。
  • 防火墙:配置日志、连接日志、VPN 日志和代理服务器日志。
  • Web服务器:应用日志和访问日志。
  • 终端:系统日志、安全日志、应用日志和网络日志。
  • 文件服务器:用户访问日志、系统事件日志、文件修改日志和鉴权日志。
  • 云平台:API访问日志、审计日志、资源使用跟踪日志、实例发放日志、应用使用日志。

数据处理

收集到原始数据后,将对其进行处理,其中包括索引、解析和规范化,对日志进行索引以便快速检索,对日志进行解析以提取相关信息,并对日志进行规范化以确保不同格式之间的一致性。

演化:传统的 SIEM 系统采用基于规则的解析和索引,导致结构僵化, 现代 SIEM 系统利用 ML 算法(如监督学习、无监督学习和自然语言处理)进行动态分析。

储存和保留

处理后的数据存储在集中式存储库中,该存储库可以是专用数据库、数据湖或云存储解决方案,此存储库必须支持可伸缩性和高可用性,以容纳大量数据并确保数据完整性。SIEM 解决方案还可以保留必要的日志,以便进行取证分析和审计。

演化:传统的 SIEM 系统使用关系数据库进行存储,现代 SIEM 系统采用分布式存储解决方案(如 Hadoop 或 Elasticsearch)来实现可扩展性以及实时数据访问和检索。

数据可视化和报表

SIEM 解决方案的主要用例之一是数据可视化,它通过图形报告和仪表板呈现网络和安全见解,这有助于分析人员了解网络事件,观察恶意活动趋势,并确定组织的合规性状态。

演化:现代 SIEM 解决方案提供交互式、可自定义的仪表板,以实现直观的数据可视化,它们可自动执行合规报告,并提供详细的见解和实时监控,从而促进与不断发展和新推出的法规和标准保持一致。

威胁检测

SIEM 解决方案的核心功能是关联解析的数据并查找威胁模式,这是通过针对常见威胁、勒索软件攻击、可疑进程生成、攻击者工具的使用等的预定义关联规则提供的。

现代 SIEM 解决方案还使用基于 ML 的行为和统计分析来为用户和实体建立基线,以便发现偏离观察模式的真正异常情况,检测到此类异常后,SIEM 解决方案会通过电子邮件和短信发送警报。专用警报仪表板可用于配置、管理、分配和解决警报。

威胁调查

SIEM 解决方案的警报仪表板会收集所有需要调查的可疑事件,管理员可以从警报仪表板本身获取人员、内容、时间和地点的基本事件详细信息,为了进一步调查,分析人员使用日志搜索功能来构建搜索查询并深入挖掘。现代 SIEM 解决方案具有专用控制台,可协助引导式调查,它们还提供有用的集成,例如与 MITRE ATT&CK® 框架的集成,以进行主动威胁搜寻活动。

事件管理和响应

SIEM解决方案收集所有检测到的事件,并在仪表板上显示时间轴和关键数据点,以便管理员可以从单个控制台监视、构建有关事件的证据、分类和解决事件。将预定义的工作流与警报关联起来,以自动执行事件响应,工作流包括关闭系统、终止进程和禁用用户等操作。这些可以按顺序构建,以便立即响应攻击并减少其影响。

SIEM 解决方案安全用例

  • APTs:SIEM 工具通过将安全事件与威胁源数据相关联,与 MITRE ATT&CK 框架集成以识别攻击的不同阶段,并实现快速事件响应以防止威胁进展,来检测和缓解复杂的攻击(如 APT)。
  • 内部威胁 :SIEM 解决方案可监视用户活动、建立行为基线并分配动态风险评分以识别内部威胁,从而保护敏感数据和关键资产免遭滥用或未经授权的访问。
  • 恶意软件检测 :SIEM 解决方案分析网络流量和系统日志,以识别恶意软件感染的指标,使组织能够在恶意软件造成重大损害之前检测和隔离恶意软件。
  • DLP :SIEM 解决方案监视数据访问和移动,识别潜在的数据外泄尝试,并触发警报或自动响应,以防止未经授权泄露敏感信息。
  • 零日漏洞利用 :SIEM 工具通过分析网络行为、识别指示新攻击媒介的异常模式,以及通过将恶意源与全局阻止列表中的恶意源进行比较来检测与网络交互的恶意源,从而帮助应对零日攻击。

SIEM 解决方案有哪些优势

  • 遵守和管理:将各种合规性法规的要求与安全操作对应起来,并为各种法规要求提供可审计的合规性报告模板和合规性违规警报。
  • 更快、更高效的安全运营:发现安全威胁并确定解决的优先级,自动响应已知威胁,并改进 MTTR。
  • 优化网络运营:持续监控所有网络活动并存储日志数据,以便进行根本原因分析和故障排除。
  • 网络弹性:通过日志取证和影响分析,在发生违规或安全事件后恢复业务,并立即生成事件报告,以避免合规性处罚。
  • 安全编排:与网络中的其他 IT 解决方案集成并集中管理安全。

Log360 统一SIEM 解决方案,具有集成的 DLP 和 CASB 功能,可检测、优先处理、调查和响应安全威胁。它结合了威胁情报、基于 ML 的异常检测和基于规则的攻击检测来识别复杂的攻击,并提供事件管理控制台来有效修复检测到的威胁。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/24009.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【漏扫工具】Afrog V3.0.6一款漏洞扫描神器

简介 [Afrog]是一款高性能的漏洞扫描器,快速稳定。它支持用户自定义的 PoC,并内置了多种类型,例如 CVE、CNVD、默认密码、信息泄露、指纹识别、未经授权的访问、任意文件读取和命令执行。借助 afrog,网络安全专业人员可以快速验证…

从一道题看利用sqlite打jdbc达到RCE

前言 从今年国赛的一道java题遇到了sqlite数据库去打jdbc达到RCE的姿势,故笔者写篇文章记下 复现 反编译源代码可以看见这三个数据库 这里提供了mysql sqlite psql 但mysql和psql都不行 这里我们用sqlite去打 jdbc就可以执行load_extension() CVE-2023-32697&#…

Jira的原理及应用详解(二)

本系列文章简介: 在当今快速发展的软件开发和项目管理领域,有效的团队协作和精确的项目进度追踪是确保项目成功的关键。Jira作为一款广受欢迎的项目和问题追踪工具,以其强大的功能、灵活的定制性以及卓越的用户体验,赢得了全球众多企业的青睐。 Jira最初由Atlassian公司开发…

numpy 函数库 分类整理概览

numpy 函数库 分类整理概览 数组创建和转换 abs, absolute, arange, array, asanyarray, asarray, ascontiguousarray, asfarray, asfortranarray, atleast_1d, atleast_2d, atleast_3d, empty, empty_like, eye, full, full_like, from_dlpack, frombuffer, fromfile, fromf…

机关事业单位需要进行等保测评吗?一年要几次?

机关事业单位需要进行等保测评吗?一年要几次? 【回答】:根据规定,机关事业单位应当自行或者委托具有相应资质的第三方网络安全服务机构,对互联网政务应用网络和数据安全每年至少进行一次安全检测评估。机关事业单位每…

重磅就业报告前美股涨势消减,标普暂别纪录高位,英伟达盘中闪崩近6%,欧央行降息预期“退烧”,欧元跳涨

标普纳指创盘中历史新高后转跌,道指三连涨至近两周新高;芯片股指和台积电美股跌落纪录高位,英伟达三日收创历史新高后回落;游戏驿站盘中一度暴拉50%。中概股指回落,财报后蔚来收跌6.8%。欧央行会后,欧元盘中…

美颜SDK与直播美颜插件:开发者指南与优化技巧

本篇文章,小编将详细探讨如何利用美颜SDK和直播美颜插件进行开发,以及在实际应用中优化这些工具的技巧。 一、美颜SDK简介 美颜SDK这些功能通过复杂的图像处理算法实现,SDK的存在大大简化了开发者的工作,使他们无需从零开始编写…

项目3:从0开始的RPC框架

一. 基本概念 区别于传统的增删改查型的业务项目,本项目侧重于开发框架,并且涉及架构方面的技术知识点。 1. 什么是RPC? 远程过程调用(Remote Procedure Call),是一种计算机通信协议,它允许程…

OpenCV 4.X 使用CvxText在图片显示汉字

最近又需要在图像上实时绘制汉字。一般来讲如果绘制汉字的需求绕不过的话,直接绘制在图片总归是最easy的实现方式。因为不然的话可能要额外调用GUI组件来实现。一般都是用freetypecvxtext,老生常谈。且不说实际实现起来是否最easy,主要是这种…

GAT1399协议分析(10)--视频定义及解析

一、官方定义 二、字段解析 VideoID 类型BasicObjectID 解析参考GAT1399协议分析(8)--ImageInfo字段详解-CSDN博客 InfoKind 采集类型

小程序自定义marker弹出框教程

需求背景 微信小程序开发,需要使用腾讯地图显示自定义marker,并且点击marker后弹出自定义的customCallout,并且customCallout的内容为用户点击marker的时候再从后台接口获取数据。 百度了一圈后发现居然没有一篇文章可以一次性完成&#xf…

SSM旅游论坛(前后分离源码+论文)

该旅游论坛是基于Spring、SpringMVC、Mybatis框架开发出来的 用户信息管理 此页面提供给管理员的功能有:用户信息的查询管理,可以删除用户信息、修改用户信息、新增用户信息, 还进行了对用户名称的模糊查询的条件 景点信息管理 论坛类型管理…

医诊合作怎么避免减少双方损失,吸引更多的优质医疗资源下沉到基层?防漏费系统又起到什么作用?

健康领域的现代化治理要求在公共医疗卫生机构之间建立合作关系,然而我国公共医疗卫生服务领域呈现各级各类健康服务机构自由混合竞争的格局,这对公医分类分级诊疗法治秩序构成全面挑战,并成为影响转诊制度构建的重要因素.我国转诊制度的建设应以维护诊疗合作的法律秩序为前提,并…

Git概念用法

Git是一种版本控制系统,它可以追踪文件的修改并保存这些修改的历史记录。以下是Git的基本概念和使用方式: 仓库(Repository):仓库是存储代码和版本历史记录的地方。可以在本地或远程服务器上创建仓库。 提交&#xff…

帕友饮食小建议,健康美味两不误

亲爱的帕友们,大家好! 在忙碌的生活中,饮食健康往往是我们容易忽视的一环。作为帕友,我们更应该注重饮食的均衡与营养,让身体得到充分的滋养。今天,就来给大家分享一些帕友饮食的小建议,让我们…

【x264】码率控制模块的简单分析—编码主流程

【x264】码率控制(rate control)模块的简单分析—编码主流程 1. 码率控制概述1.1 比特分配1.2 率失真优化(RDO) 2.码率控制中比特分配的实现2.1 码率控制器的创建(x264_ratecontrol_new)2.1.1 码控模块的重…

项目工具|git相关

本博客暂时只作为个人资料,后续会进行完善,主要内容来自: 【【Git第一讲】:git分区与两个盒子的故事】 理解暂存区和未暂存区 git为什么要多一个暂存区?难道不能我把代码写完后就是未暂存区,然后直接提交…

【C++PCL】点云处理点到面ICP配准

作者:迅卓科技 简介:本人从事过多项点云项目,并且负责的项目均已得到好评! 公众号:迅卓科技,一个可以让您可以学习点云的好地方 重点:每个模块都有参数如何调试的讲解,即调试某个参数对结果的影响是什么,大家有问题可以评论哈,如果文章有错误的地方,欢迎来指出错误的…

VS2015安装模块时报错:安装包丢失或损坏,,,,,无效的驱动器

解决: 1、解压.iso文件; 2、替换目录 替换为解压后的对应的目录,点击重试即可。

Mysql学习(三)——SQL通用语法之DML

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 DML添加数据修改数据删除数据 总结 DML DML用来对数据库中表的数据记录进行增删改操作。 添加数据 -- 给指定字段添加数据 insert into 表名(字段1,字…