什么是安全信息和事件管理(SIEM),有什么用处

安全信息和事件管理(SIEM)对于企业主动识别、管理和消除安全威胁至关重要。SIEM 解决方案采用事件关联、AI 驱动的异常检测以及机器学习驱动的用户和实体行为分析 (UEBA) 等机制来检测、审查和应对网络安全威胁。这些功能使 SIEM 系统能够提供实时安全警报,并增强组织快速有效地响应事件的能力。

SIEM 的演变

2005 年,Gartner®创造了 SIEM 一词,将安全信息管理(SIM)和安全事件管理(SEM)结合在一起。

  • 安全信息管理(SIM):SIM 涉及收集和存储所有与网络活动相关的数据。这可以从从服务器、防火墙、域控制器、路由器、数据库和 NetFlow 收集的日志数据,也可以从网络中存在的非结构化数据(例如电子邮件)中收集。
  • 安全事件管理(SEM):SEM是指对安全事件的监控和分析。使用各种技术实时分析这些内容,发送警报,并启动工作流以响应任何异常行为。
  • 下一代 SIEM:随着网络威胁的演变和日益复杂,对更先进的 SIEM 解决方案的需求显而易见。下一代 SIEM 在传统 SIEM 的基础上集成了高级分析、UEBA 和编排功能。这样可以更主动地进行威胁搜寻、更好的异常检测和更快的事件响应时间。

多年来,SIEM 工具已从简单的日志管理发展到复杂的威胁检测和管理。如今的 SIEM 在利用 AI 和 ML 功能(如 UEBA)进行高级持续性威胁检测方面发挥着重要作用。SIEM 工具可满足 SOC 的安全监控和分析用例的需求,例如确保数据和云安全、评估和管理网络风险以及遵守法规要求。

SIEM 解决方案的工作原理是什么

SIEM 解决方案从整个网络的源引入和分析与安全相关的数据点,并为安全管理员提供见解,以检测和缓解安全攻击。它的工作原理如下:

SIEM 解决方案引入事件数据(如日志和流数据)以进行网络行为分析。在基本层面上,该解决方案使用基于代理和无代理的机制收集网络中每个设备和应用程序生成的数据。该解决方案还采用非事件数据和上下文信息,例如威胁源。在 SIEM 软件中集中聚合所有数据后,将使用关联和 ML 算法对其进行规范化和分析,并将其转换为可操作的信息,这些信息以通知和交互式仪表板的形式交付给安全团队。

SIEM 解决方案的仪表板和图形报告提供对整个网络中发生的安全事件的实时洞察,这些分析仪表板可帮助安全分析师识别趋势和可疑行为,检查最近的警报,并监控整个网络的运行状况。

SIEM 解决方案的主要特性和功能是什么

  • 全面的日志管理
  • 事件关联
  • 取证分析
  • 安全事件管理
  • 高级威胁分析
  • 用户行为分析(UBA)

全面的日志管理

SIEM 解决方案从整个网络的来源引入日志数据,包括服务器、防火墙、入侵检测和防御系统、应用程序、数据库服务器、交换机、路由器、Active Directory 服务器、工作站等。这些汇总的日志数据安全地存储在一个中心位置,便于分析。日志收集通常使用各种技术执行,例如无代理和基于代理的日志收集。

  • 基于代理的日志收集:此方法要求在每台设备上部署代理。代理收集日志,然后分析并筛选日志,然后再将日志返回到 SIEM 服务器。该技术主要用于封闭和安全的网络,例如通信受到限制的非军事区。
  • 无代理日志收集:这是更常用的方法,其中设备生成的日志由 SIEM 服务器使用安全通信通道(例如使用安全协议的特定端口)自动收集。

在日志收集之后,SIEM 工具会解析日志,提取和规范化数据,使其适合有效的分析和关联。

事件关联

SIEM 解决方案的主要用途是威胁检测,通过聚合和关联安全数据来实现。关联引擎处理规则,这些规则是可能指示安全威胁的事件序列。现代 SIEM 解决方案使用非事件数据和威胁源来丰富其关联引擎的效率。SIEM 解决方案是可定制的,使用户能够微调关联规则以捕获特定于企业的威胁。此外,关联能力与自动化工作流执行相关联,从而减少了解决需要立即干预的威胁的手动过程。

应通过在企业防火墙中编写规则来立即阻止来自恶意来源的流量。SIEM 解决方案不仅应将防火墙日志与威胁源相关联,以检测允许的恶意流量,还应提供通过编写防火墙规则或策略立即阻止流量的选项。

取证分析

借助 SIEM 解决方案,安全分析师可以安全地长时间保留日志数据,并有效地梳理大量日志。这使他们能够检查安全事件,以确定数据泄露的程度,确定攻击的肇事者,查看攻击者在环境中停留的时间,了解他们采取的一系列操作,并评估业务影响。此外,取证团队还可以重建过去的安全事件,以查明任何安全漏洞并防止未来的网络攻击。

安全事件管理

SIEM 解决方案收集所有检测到的事件,并在仪表板中显示时间线和关键数据点,以便从单个控制台监控、会审和解决这些事件。虽然 SIEM 解决方案的实时警报系统有助于缩短平均检测时间(MTTD),但安全事件管理控制台通过提供从控制台内执行缓解步骤的功能来帮助最大限度地减少平均解决时间(MTTR)。SIEM 工具的事件管理功能还通过提供仪表板来跟踪和分类事件解决过程,从而确保对安全专业人员的问责制。

高级威胁分析

实施不同的威胁检测机制(基于规则的关联、基于签名的威胁检测和基于 ML 的异常检测)与实时安全警报相结合,增强了 SIEM 解决方案准确发现威胁和减少 MTTD 的能力。安全分析为有效的威胁调查提供了一个平台,通过来自可靠的开源工具或第三方供应商的威胁源集成,进一步增强了这一平台。威胁建模框架(如 MITRE ATT&CK)的实施进一步增强了 SIEM 解决方案的威胁搜寻、检测、分析和修复功能。这允许管理员快速识别威胁源,从而加快缓解过程。

用户行为分析(UBA)

SIEM 工具的 UEBA 功能使用 ML 和深度学习算法检测组织网络中的异常行为。通过收集与网络中的用户和实体活动相关的数据来创建行为基线。当检测到任何偏离基线的情况时,将根据严重程度分配风险评分。偏差可能包括在异常时间登录、短时间内登录失败次数过多、权限提升等。如果风险评分超过设定的阈值,安全管理员会收到实时通知。ML 驱动的 UEBA 可捕获高级持续性威胁,这些威胁通常无法通过基于规则的检测机制检测到。UEBA 在检测内部威胁、帐户泄露和数据泄露方面也发挥着重要作用。

在这里插入图片描述

SIEM 解决方案用例

  • 合规审计
  • 云安全和监控
  • 用户监控和内部威胁检测

合规审计

许多组织都需要遵守法规要求。SIEM工具可以简化整个审计流程,通过为各种合规标准(如 PCI DSS、GDPR、HIPAA、FISMA、SOX、FERPA、NERC CIP、PDPA 等)提供开箱即用的审计就绪报告,最大限度地降低安全风险并简化企业的合规性演示,某些 SIEM 解决方案还允许用户根据其审核要求自定义或创建新的合规性报告。

云安全和监控

随着越来越多的组织转向云,新的安全挑战可能会出现。使用 SIEM 工具可以提高对云环境的可见性,帮助组织降低风险并增强对威胁的防御能力。

云访问安全代理(CASB)使用组织的安全策略来检查云服务提供商和组织之间传输的数据。例如,如果员工将敏感的公司数据存储在未经批准的云应用程序上,CASB 会协助 IT 团队识别用户访问的所有非托管应用程序并实施补救措施。将 SIEM 与 CASB 集成,可为 IT 管理员提供云安全的整体视图,增强威胁检测并建立协调的事件响应。

用户监控和内部威胁检测

除了增强网络监控外,SIEM 解决方案还提供监控组织内用户活动的功能,从而能够检测和预防有意和无意的内部威胁。这确保了用户不会滥用其访问权限来泄露敏感信息或使网络系统受到外部攻击。SIEM 解决方案提供对用户登录和注销活动的宝贵见解,并跟踪对敏感文件和文件夹所做的配置更改和修改。

部署 SIEM 解决方案有哪些优势

  • 遵守和管理:将各种合规性法规的要求与安全操作对应起来,并为各种法规要求提供可审计的合规性报告模板和合规性违规警报。
  • 更快、更高效的安全运营:发现安全威胁并确定解决的优先级,自动响应已知威胁,并改进 MTTR。
  • 优化网络运营:持续监控所有网络活动并存储日志数据,以便进行根本原因分析和故障排除。
  • 网络弹性:通过日志取证和影响分析,在发生违规或安全事件后恢复业务,并立即生成事件报告,以避免合规性处罚。
  • 安全编排:与网络中的其他 IT 解决方案集成并集中管理安全。

下一代SIEM 功能

为了应对不断变化的安全环境,下一代 SIEM 工具提供了一组新的功能,可提供可操作的情报,帮助企业实施主动安全策略并改善其安全态势。

下一代 SIEM 解决方案提供高级功能,例如:

  • 跨平台检测异常活动:除了检测外围网络中的异常活动外,下一代 SIEM 还将此功能扩展到各种平台,以关联混合业务环境中发生的事件。
  • 先进而复杂的威胁检测机制:攻击者采用高级攻击技术(例如无文件恶意软件、窃取凭据和加密敏感数据的勒索软件等)来破坏企业网络,下一代 SIEM 解决方案中支持 AI 的威胁检测功能和基于 ML 的行为分析可帮助组织检测这些复杂的攻击技术。
  • 安全编排和自动化响应(SOAR):下一代 SIEM 解决方案与其他关键 IT 基础架构(如 IT 服务管理、IT 运营管理等)进行协调,以确保稳固的安全态势。此外,自动化事件响应有助于减少 MTTR。
  • 身份驱动的安全方法:随着越来越多的组织迁移到云,标识已成为新的边界。当身份遭到入侵时,它会使整个云和本地网络容易受到攻击。下一代 SIEM 解决方案通过引入安全访问、影子 IT 监控和用户行为分析来帮助保护身份。

Log360 连续六次入选Gartner® SIEM 魔力象限™,是一个统一的 SIEM 解决方案,具有集成的 DLP 和 CASB 功能,可检测、优先处理、调查和响应安全威胁。它结合了威胁情报、基于 ML 的异常检测和基于规则的攻击检测来识别复杂的攻击,并提供事件管理控制台来有效修复检测到的威胁。Log360 凭借其直观和先进的安全分析和监控功能,提供跨本地、云和混合网络的整体可见性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/593062.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

AntDB设计之CheckPoint——引言与功能简述

1.引言 数据库服务能力提升是一项系统性的工程,在不同的应用场景下,用户对于数据库各项能力的关注点也不同,如:读写延迟、吞吐量、扩展性、可靠性、可用性等等。国内不少数据库系统通过系统架构优化、硬件设备升级等方式&#xf…

数据库课程设计报告——音乐管理系统

目录 省流版word文档需求分析系统目标业务需求及处理流程功能需求及数据需求分析业务规则分析 概念设计命名规范实体集及属性联系集及属性系统总ER图 逻辑设计关系的设计关系的优化数据库基本表设计 物理设计关系模式存取方式选择数据库的存储结构 数据库应用设计数据库脚本数据…

C语言链表、树、图的实现(结构体)

链表、树、图 链表树图邻接矩阵邻接表 链表 参看此线性表实现(C语言——结构体)博文 树 struct Tree{int val;struct Tree *left;struct Tree *right; };在上面的代码中,每一部分都是定义二叉树节点所必需的,所以没有多余的可以…

VS2022 Android NativeActivity 开发指南

几年前最初使用VS时,记得是有Android NativeActivity的,今天更新到了2022最新版,发现找不到这个创建选项。 然后确保安装了C 跨平台开发工具后,开始排查原因。 Visual Studio 2022 中没有“本机活动应用程序” - android - SO中…

LeetCode1534. Count Good Triplets

文章目录 一、题目二、题解 一、题目 Given an array of integers arr, and three integers a, b and c. You need to find the number of good triplets. A triplet (arr[i], arr[j], arr[k]) is good if the following conditions are true: 0 < i < j < k < …

Doris数仓开发规范

文章目录 一、字符集规范二、建表规范三、数据变更规范四、数据查询规范结尾 一、字符集规范 【强制】数据库字符集指定utf-8&#xff0c;并且只支持utf-8。 二、建表规范 【建议】库名统一使用小写方式&#xff0c;中间用下划线&#xff08;_&#xff09;分割&#xff0c;长…

Android 车联网——CarPackageManagerService介绍(十一)

CarPackageManagerService 主要用于车上使用场景扩充了一些包管理相关的接口。包括黑白名单的机制,这主要是出于安全的考虑,车上的应用有更严格的限制。结合用户体验限制对运行在Android Automotive OS 上的应用有一个更好的约束。 一、简介 CarPackageManagerService 是 An…

力扣42. 接雨水

双指针法 思路&#xff1a; 将数组前后设置为 left、right 指针&#xff0c;相互靠近&#xff1b;在逼近的过程中记录两端最大的值 leftMax、rightMax&#xff0c;作为容器的左右边界&#xff1b;更新指针规则&#xff1a; 如果数组左边的值比右边的小&#xff0c;则更新 left…

使用GO开发的IDE简介

一、IDE介绍 Goland Goland是由JetBrains公司开发的商业IDE&#xff0c;专门为Go语言开发设计。JetBrains是一家知名的软件开发公司&#xff0c;以其强大的IDE产品如IntelliJ IDEA而闻名。 优点&#xff1a; 基于IntelliJ平台&#xff0c;因此拥有与IntelliJ IDEA相似的强大功能…

【Linux操作系统】探秘Linux奥秘:进程与任务管理的解密与实战

&#x1f308;个人主页&#xff1a;Sarapines Programmer&#x1f525; 系列专栏&#xff1a;《操作系统实验室》&#x1f516;诗赋清音&#xff1a;柳垂轻絮拂人衣&#xff0c;心随风舞梦飞。 山川湖海皆可涉&#xff0c;勇者征途逐星辉。 目录 &#x1fa90;1 初识Linux OS &…

4462 4.曙曙献爱心

#include<bits/stdc.h> using namespace std; int n,m,k; int a[1001]; int s[1001]; int f[1001][1001];//f[i][j]&#xff0c;i个警察&#xff0c;j个点&#xff0c;能管理的最大人数 int main(){cin>>n>>m>>k;for(int i1;i<n;i){cin>>a[i…

【快慢指针】26.删除有序数组中的重复项

题目 法1&#xff1a;快慢指针 基础解法&#xff0c;必须掌握&#xff01;&#xff01;&#xff01; class Solution {public int removeDuplicates(int[] nums) {if (nums.length < 2) {return nums.length;}int slow 0, fast 1;while (fast < nums.length) {if (n…

大数据StarRocks(一) StarRocks概述

1 StarRocks介绍 StarRocks是新一代极速全场景MPP(Massively Parallel Processing)数据库&#xff0c;它充分吸收关系型OLAP数据库和分布式存储系统在大数据时代的优秀研究成果&#xff0c;在业界实践的基础上&#xff0c;进一步改进优化、升级架构&#xff0c;并增添了众多全…

前端知识点(面试可看) —— HTML

摘要 马上就要毕业啦&#xff0c;没有参加2023年的秋招&#xff0c;准备在最近开始找全职或者实习工作&#xff0c;然后也马上过年了&#xff0c;总结和理一下自己的知识要点&#xff0c;参加2024年的春招。 页面缩放 meta viewport 如何去使用&#xff0c;怎么使用&#xf…

TypeScript 语法 + 工具封装

环境配置 安装 npm install typescript -g 查看版本 tsc --version 1.初识typescript 邂逅typescript&#xff0c;typescript的基本使用 新建ts 文件 &#xff08;记得导出&#xff09; typescript 定义时可指定 变量类型 在名称后面加引号 和 类型 格式为 let 名称: 类型 …

Java学习,一文掌握Java之SpringBoot框架学习文集(2)

&#x1f3c6;作者简介&#xff0c;普修罗双战士&#xff0c;一直追求不断学习和成长&#xff0c;在技术的道路上持续探索和实践。 &#x1f3c6;多年互联网行业从业经验&#xff0c;历任核心研发工程师&#xff0c;项目技术负责人。 &#x1f389;欢迎 &#x1f44d;点赞✍评论…

Docker 安装Mysql

目录 Docker Mysql安装 ✨安装和配置mysql ✨远程连接mysql远程连接 MySQL 是世界上最流行的开源数据库。根据 DB-Engines的调查数据&#xff0c;MySQL 是第二受欢迎的数据库&#xff0c;仅次于 Oracle 数据库。MySQL在过去由于性能高、成本低、可靠性好&#xff0c;已经成…

Redis缓存保卫战:拒绝缓存击穿的进攻【redis问题 三】

欢迎来到我的博客&#xff0c;代码的世界里&#xff0c;每一行都是一个故事 Redis缓存保卫战&#xff1a;拒绝缓存击穿的进攻 前言缓存击穿的定义和原理为何会发生缓存击穿缓存击穿的危害防范缓存击穿结语: 前言 你是否曾经遇到过系统在高并发情况下出现严重性能问题&#xff…

2023.12.31力扣每日一题——一年中的第几天

2023.12.31 题目来源我的题解方法一 模拟 题目来源 力扣每日一题&#xff1b;题序&#xff1a;1154 我的题解 方法一 模拟 如果月份大于2,&#xff0c;需要判断当年是否是闰年&#xff0c;如果是闰年2月份需要多算一天。 具体计算&#xff1a; 先计算月的贡献&#xff08;注…

微信养号指南:提高账号权重

在如今的社交媒体时代&#xff0c;微信成为了人们生活中必不可少的一部分。它不仅是一个即时通讯工具&#xff0c;更是一个方便快捷的社交平台。然而&#xff0c;要想让自己的微信号保持活跃并吸引更多的关注&#xff0c;需要一些技巧和策略。下面将为大家分享一些微信养号指南…