什么是SIEM

SIEM 解决方案是一种企业级应用程序,可集中和自动化与网络安全相关的操作,该工具通过收集、分析和关联从组织 IT 基础设施中的各种实体聚合的网络事件来帮助应对网络威胁。

与帮助监控和评估组织物理空间中的危险的监视控制台相比,SIEM解决方案就像一个虚拟安全指挥中心,提供对企业网络的完整、实时可见性。

基于这种可见性,SIEM 解决方案通过安全分析、事件关联、基于 ML 和 AI 的异常检测以及事件响应工作流提供威胁检测、调查和响应(TDIR)功能。

SIEM 的功能概述

日志管理

  • 自动日志收集
  • 日志解析和规范化
  • 日志存档
  • 通过日志搜索提供的日志取证

安全分析

  • 设备和应用程序的预定义报告存储库
  • Active Directory 报表
  • UEBA报告
  • 趋势报告
  • 特定于合规性的报告
  • 仪表板
  • 高级调查控制台

威胁检测

  • 关联规则
  • 警报条件和配置文件
  • UEBA
  • IOC 的威胁源集成

威胁搜寻

  • 进程搜寻树
  • Mitre ATT&CK 框架集成
  • 高级威胁分析

威胁修复

  • 事件管理控制台
  • 自动响应工作流

在这里插入图片描述

SIEM 解决方案的工作原理是什么

网络数据聚合

SIEM 解决方案通过基于代理的方法(代理部署在网络设备、服务器和端点上)、syslog(将日志转发到中央服务器)和 API(支持与受支持的系统直接集成)收集日志。

演化:传统 SIEM 解决方案主要依赖于从有限来源收集基于日志的数据,现代 SIEM 解决方案整合了各种数据源,例如日志、数据包、流量、云服务和 API,以实现全面的威胁可见性和检测准确性。

SIEM 日志记录和数据聚合,从不同的网络实体收集的数据类型有哪些:

  • 路由器:配置变更日志、接口状态日志和流日志。
  • 防火墙:配置日志、连接日志、VPN 日志和代理服务器日志。
  • Web服务器:应用日志和访问日志。
  • 终端:系统日志、安全日志、应用日志和网络日志。
  • 文件服务器:用户访问日志、系统事件日志、文件修改日志和鉴权日志。
  • 云平台:API访问日志、审计日志、资源使用跟踪日志、实例发放日志、应用使用日志。

数据处理

收集到原始数据后,将对其进行处理,其中包括索引、解析和规范化,对日志进行索引以便快速检索,对日志进行解析以提取相关信息,并对日志进行规范化以确保不同格式之间的一致性。

演化:传统的 SIEM 系统采用基于规则的解析和索引,导致结构僵化, 现代 SIEM 系统利用 ML 算法(如监督学习、无监督学习和自然语言处理)进行动态分析。

储存和保留

处理后的数据存储在集中式存储库中,该存储库可以是专用数据库、数据湖或云存储解决方案,此存储库必须支持可伸缩性和高可用性,以容纳大量数据并确保数据完整性。SIEM 解决方案还可以保留必要的日志,以便进行取证分析和审计。

演化:传统的 SIEM 系统使用关系数据库进行存储,现代 SIEM 系统采用分布式存储解决方案(如 Hadoop 或 Elasticsearch)来实现可扩展性以及实时数据访问和检索。

数据可视化和报表

SIEM 解决方案的主要用例之一是数据可视化,它通过图形报告和仪表板呈现网络和安全见解,这有助于分析人员了解网络事件,观察恶意活动趋势,并确定组织的合规性状态。

演化:现代 SIEM 解决方案提供交互式、可自定义的仪表板,以实现直观的数据可视化,它们可自动执行合规报告,并提供详细的见解和实时监控,从而促进与不断发展和新推出的法规和标准保持一致。

威胁检测

SIEM 解决方案的核心功能是关联解析的数据并查找威胁模式,这是通过针对常见威胁、勒索软件攻击、可疑进程生成、攻击者工具的使用等的预定义关联规则提供的。

现代 SIEM 解决方案还使用基于 ML 的行为和统计分析来为用户和实体建立基线,以便发现偏离观察模式的真正异常情况,检测到此类异常后,SIEM 解决方案会通过电子邮件和短信发送警报。专用警报仪表板可用于配置、管理、分配和解决警报。

威胁调查

SIEM 解决方案的警报仪表板会收集所有需要调查的可疑事件,管理员可以从警报仪表板本身获取人员、内容、时间和地点的基本事件详细信息,为了进一步调查,分析人员使用日志搜索功能来构建搜索查询并深入挖掘。现代 SIEM 解决方案具有专用控制台,可协助引导式调查,它们还提供有用的集成,例如与 MITRE ATT&CK® 框架的集成,以进行主动威胁搜寻活动。

事件管理和响应

SIEM解决方案收集所有检测到的事件,并在仪表板上显示时间轴和关键数据点,以便管理员可以从单个控制台监视、构建有关事件的证据、分类和解决事件。将预定义的工作流与警报关联起来,以自动执行事件响应,工作流包括关闭系统、终止进程和禁用用户等操作。这些可以按顺序构建,以便立即响应攻击并减少其影响。

SIEM 解决方案安全用例

  • APTs:SIEM 工具通过将安全事件与威胁源数据相关联,与 MITRE ATT&CK 框架集成以识别攻击的不同阶段,并实现快速事件响应以防止威胁进展,来检测和缓解复杂的攻击(如 APT)。
  • 内部威胁 :SIEM 解决方案可监视用户活动、建立行为基线并分配动态风险评分以识别内部威胁,从而保护敏感数据和关键资产免遭滥用或未经授权的访问。
  • 恶意软件检测 :SIEM 解决方案分析网络流量和系统日志,以识别恶意软件感染的指标,使组织能够在恶意软件造成重大损害之前检测和隔离恶意软件。
  • DLP :SIEM 解决方案监视数据访问和移动,识别潜在的数据外泄尝试,并触发警报或自动响应,以防止未经授权泄露敏感信息。
  • 零日漏洞利用 :SIEM 工具通过分析网络行为、识别指示新攻击媒介的异常模式,以及通过将恶意源与全局阻止列表中的恶意源进行比较来检测与网络交互的恶意源,从而帮助应对零日攻击。

SIEM 解决方案有哪些优势

  • 遵守和管理:将各种合规性法规的要求与安全操作对应起来,并为各种法规要求提供可审计的合规性报告模板和合规性违规警报。
  • 更快、更高效的安全运营:发现安全威胁并确定解决的优先级,自动响应已知威胁,并改进 MTTR。
  • 优化网络运营:持续监控所有网络活动并存储日志数据,以便进行根本原因分析和故障排除。
  • 网络弹性:通过日志取证和影响分析,在发生违规或安全事件后恢复业务,并立即生成事件报告,以避免合规性处罚。
  • 安全编排:与网络中的其他 IT 解决方案集成并集中管理安全。

Log360 统一SIEM 解决方案,具有集成的 DLP 和 CASB 功能,可检测、优先处理、调查和响应安全威胁。它结合了威胁情报、基于 ML 的异常检测和基于规则的攻击检测来识别复杂的攻击,并提供事件管理控制台来有效修复检测到的威胁。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/24009.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【漏扫工具】Afrog V3.0.6一款漏洞扫描神器

简介 [Afrog]是一款高性能的漏洞扫描器,快速稳定。它支持用户自定义的 PoC,并内置了多种类型,例如 CVE、CNVD、默认密码、信息泄露、指纹识别、未经授权的访问、任意文件读取和命令执行。借助 afrog,网络安全专业人员可以快速验证…

从一道题看利用sqlite打jdbc达到RCE

前言 从今年国赛的一道java题遇到了sqlite数据库去打jdbc达到RCE的姿势,故笔者写篇文章记下 复现 反编译源代码可以看见这三个数据库 这里提供了mysql sqlite psql 但mysql和psql都不行 这里我们用sqlite去打 jdbc就可以执行load_extension() CVE-2023-32697&#…

重磅就业报告前美股涨势消减,标普暂别纪录高位,英伟达盘中闪崩近6%,欧央行降息预期“退烧”,欧元跳涨

标普纳指创盘中历史新高后转跌,道指三连涨至近两周新高;芯片股指和台积电美股跌落纪录高位,英伟达三日收创历史新高后回落;游戏驿站盘中一度暴拉50%。中概股指回落,财报后蔚来收跌6.8%。欧央行会后,欧元盘中…

美颜SDK与直播美颜插件:开发者指南与优化技巧

本篇文章,小编将详细探讨如何利用美颜SDK和直播美颜插件进行开发,以及在实际应用中优化这些工具的技巧。 一、美颜SDK简介 美颜SDK这些功能通过复杂的图像处理算法实现,SDK的存在大大简化了开发者的工作,使他们无需从零开始编写…

项目3:从0开始的RPC框架

一. 基本概念 区别于传统的增删改查型的业务项目,本项目侧重于开发框架,并且涉及架构方面的技术知识点。 1. 什么是RPC? 远程过程调用(Remote Procedure Call),是一种计算机通信协议,它允许程…

GAT1399协议分析(10)--视频定义及解析

一、官方定义 二、字段解析 VideoID 类型BasicObjectID 解析参考GAT1399协议分析(8)--ImageInfo字段详解-CSDN博客 InfoKind 采集类型

小程序自定义marker弹出框教程

需求背景 微信小程序开发,需要使用腾讯地图显示自定义marker,并且点击marker后弹出自定义的customCallout,并且customCallout的内容为用户点击marker的时候再从后台接口获取数据。 百度了一圈后发现居然没有一篇文章可以一次性完成&#xf…

SSM旅游论坛(前后分离源码+论文)

该旅游论坛是基于Spring、SpringMVC、Mybatis框架开发出来的 用户信息管理 此页面提供给管理员的功能有:用户信息的查询管理,可以删除用户信息、修改用户信息、新增用户信息, 还进行了对用户名称的模糊查询的条件 景点信息管理 论坛类型管理…

医诊合作怎么避免减少双方损失,吸引更多的优质医疗资源下沉到基层?防漏费系统又起到什么作用?

健康领域的现代化治理要求在公共医疗卫生机构之间建立合作关系,然而我国公共医疗卫生服务领域呈现各级各类健康服务机构自由混合竞争的格局,这对公医分类分级诊疗法治秩序构成全面挑战,并成为影响转诊制度构建的重要因素.我国转诊制度的建设应以维护诊疗合作的法律秩序为前提,并…

帕友饮食小建议,健康美味两不误

亲爱的帕友们,大家好! 在忙碌的生活中,饮食健康往往是我们容易忽视的一环。作为帕友,我们更应该注重饮食的均衡与营养,让身体得到充分的滋养。今天,就来给大家分享一些帕友饮食的小建议,让我们…

项目工具|git相关

本博客暂时只作为个人资料,后续会进行完善,主要内容来自: 【【Git第一讲】:git分区与两个盒子的故事】 理解暂存区和未暂存区 git为什么要多一个暂存区?难道不能我把代码写完后就是未暂存区,然后直接提交…

VS2015安装模块时报错:安装包丢失或损坏,,,,,无效的驱动器

解决: 1、解压.iso文件; 2、替换目录 替换为解压后的对应的目录,点击重试即可。

Mysql学习(三)——SQL通用语法之DML

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 DML添加数据修改数据删除数据 总结 DML DML用来对数据库中表的数据记录进行增删改操作。 添加数据 -- 给指定字段添加数据 insert into 表名(字段1,字…

关于调用百度AI开放平台短文本在线合成API接口 Open api characters limit reached 问题

官方示例代码中心: https://console.bce.baidu.com/support/?_1668482508529#/api?productAI&project语音技术&parent语音合成&apitext2audio&methodpost 一、调试时,若提示 16: Open api characters limit reached({"…

基于工业互联网打造敏捷供应链的实现方式:创新路径与实践应用

引言 工业互联网和敏捷供应链是当今制造业发展中的两个重要概念。工业互联网以数字化、网络化和智能化为核心,致力于将传统工业生产与互联网技术相融合,从而实现生产过程的高效、智能和灵活。而敏捷供应链则强调快速响应市场需求、灵活调整生产和供应计划…

fastadmin批量导入

表的字段必须备注清楚导出的excel表头必须对应上如果mysql表有约束,导入会自动限制,挺方便的一个功能。

上心师傅的思路分享(二)

Druid monitor 与Springboot常见报错界面渗透小技巧 目录 前言 1.Druid monitor介绍 2.Druid未授权(1rank) 3.druid弱口令 4.Druid进一步利用 4.1 URL监控 4.2 Session监控 利用思路 EditThisCookie(小饼干插件) 5.SpringBoot Actuator未授权访问漏洞 5.1 简介 5…

【Java数据结构】详解LinkedList与链表(三)

🔒文章目录: 1.❤️❤️前言~🥳🎉🎉🎉 2.无头双向非循环链表的实现 2.1成员属性 2.2成员方法 display——打印链表 size——获取单链表长度 addFirst——头插 addLast——尾插 addIndex——在任…

Application UI

本节包含关于如何用DevExpress控件模拟许多流行的应用程序ui的教程。 Windows 11 UI Windows 11和最新一代微软Office产品启发的UI。 Office Inspired UI Word、Excel、PowerPoint和Visio等微软Office应用程序启发的UI。 How to: Build an Office-inspired UI manually 本教…

数据分析中的统计学基础及Python具体实现【数据分析】

各位大佬好 ,这里是阿川的博客,祝您变得更强 个人主页:在线OJ的阿川 大佬的支持和鼓励,将是我成长路上最大的动力 阿川水平有限,如有错误,欢迎大佬指正 Python 初阶 Python–语言基础与由来介绍 Python–…