什么是SIEM
安全信息和事件管理(SIEM)是一种可帮助组织在安全威胁危害到业务运营之前检测、分析和响应安全威胁的解决方案,将安全信息管理 (SIM) 和安全事件管理 (SEM) 结合到一个安全管理系统中。SIEM 技术从广泛来源收集事件日志数据,通过实时分析识别偏离规范的活动,并采取适当措施,从而能够快速响应可能发生的网络安全问题,同时满足合规要求。
安全信息和事件管理 (SIEM) 软件可帮助 IT 安全专业人员保护其企业网络免受网络攻击。SIEM 解决方案从组织中的所有基础结构组件(路由器、交换机、防火墙、服务器、个人计算机和设备、应用程序、云环境等)收集日志数据,然后,它会分析数据并向安全管理员提供见解,以有效缓解安全攻击。
SIEM 解决方案
网络安全格局在不断发展。安全信息和事件管理解决方案已成为组织保护其网络免受前所未有的攻击的必备工具。Log360 是具有集成 DLP 和 CASB 功能的统一 SIEM 解决方案,可帮助管理员检测、确定优先级、调查和响应安全威胁。
SIEM 解决方案如何工作
SIEM 解决方案使用无代理和基于代理的机制收集日志,即网络中每个设备和应用程序生成的事件的时间戳记录。在 SIEM 软件中聚合日志后,将使用关联、机器学习算法和其他技术对其进行规范化和分析,以检测可疑活动。
SIEM 解决方案的好处
- 更快、更高效的安全操作:帮助发现安全威胁并确定其优先级;自动响应已知威胁并缩短平均解决时间 (MTTR) 攻击。
- 优化网络运营:监控所有网络活动并存储日志数据,以便进行根本原因分析和故障排除。
- 网络弹性:通过日志取证和影响分析,帮助组织在发生违规或安全事件后快速恢复业务,并即时生成事件报告以避免合规性处罚。
- 合规遵守和管理:将各种合规性法规的要求与安全操作对应起来;审计就绪合规性报告模板和合规性违规警报,有助于遵守法规要求。
SIEM 解决方案用例
- 威胁检测:使用基于规则的日志关联引擎、威胁建模框架 (MITRE ATT&CK) 集成和异常检测来检测安全威胁。
- 异常检测:使用 AI 和 ML 驱动的用户和实体行为分析 (UEBA) 发现高级持续性威胁和复杂攻击。
- 云安全:通过审核安全事件并实施访问云资源的安全策略来保护多云环境。
- 合规审计:证明符合法规要求,只需单击几下即可生成审计就绪报告。
- 安全分析:使用分析仪表板持续监控网络中不同来源的安全事件。
- 端点保护:主动监控并保护您的端点免受网络威胁。
SIEM 解决方案的功能
安全信息和事件管理 (SIEM) 解决方案通过监控网络活动,并采用威胁情报以及用户和实体行为分析 (UEBA) 来检测和缓解攻击,从而提供 IT 基础架构中发生的所有活动的整体视图。
- 日志管理
- 事件管理
- 特权访问审核
- 威胁情报
- 云安全
- 用户实体和行为分析 (UEBA)
- 数据保护
日志管理
日志管理涉及日志数据的收集、规范化和分析,用于更好地了解网络活动、检测攻击和安全事件,并满足 IT 法规要求的要求。为了进行有效的日志分析,SIEM 解决方案采用不同的流程,例如日志关联和取证,这有助于实时检测数据泄露和攻击。日志管理还包括安全归档日志数据,以将日志保留自定义时间段。
事件管理
安全事件是网络中正常活动异常的事件,事件能够使组织的敏感数据面临风险,并可能导致数据泄露或攻击,事件管理包括检测和缓解安全事件。
事件检测是识别网络上发生的安全威胁的过程,管理员可以使用日志关联、UEBA 和威胁分析等各种技术检测事件。
事件解决是指解决网络中的事件或攻击,并使网络恢复到功能状态。SIEM 解决方案提供了各种可在触发警报时自动执行的工作流,这些工作流程在防止攻击在网络内横向传播方面有很大帮助。
特权访问审核
特权用户帐户是具有管理员权限的帐户。这些权限可以允许用户安装、删除或更新软件;修改系统配置;创建、修改或更改用户权限;等等。
特权帐户对于确保网络安全至关重要,因为仅一个受损的特权用户帐户就可以使攻击者获得更多对网络资源的访问权限。跟踪和审核特权用户的操作,并为异常活动生成实时警报至关重要。监视特权用户帐户有助于跟踪和防止内部攻击,因为这些帐户有权观察网络中其他用户的活动。如果用户尝试提升其权限,则可能是潜在的威胁。SIEM 解决方案可以检测此类行为并审核特权用户的活动以增强网络安全。
威胁情报
威胁情报对于防止攻击发生至关重要,而不是在事件发生后对事件做出反应。威胁情报结合了从各种威胁中收集的证据、上下文信息、指标和操作响应中获得的知识,并生成具体的入侵指标 (IOC) 实例。它还可以提供有关新威胁中涉及的策略、技术和过程 (TTP) 的信息,并可以监视当前的网络活动以发现异常模式。威胁情报结合了人工智能 (AI) 和机器学习 (ML) 工具,用于区分网络中的常规和不规则模式,以确定活动是否对网络构成威胁。
云安全
云安全涉及保护云平台上托管的数据和基础架构。在安全性方面,云平台与本地平台同样容易受到攻击。SIEM 解决方案通过检测网络异常、异常用户行为、未经授权访问关键资源等,帮助 IT 安全管理员保护云平台。
用户实体和行为分析 (UEBA)
SIEM 解决方案中的 UEBA 通常基于 ML 或 AI,并分析用户的正常工作模式,或特定用户每天访问网络的典型方式。它可以检测与正常行为的偏差,发出警报,并立即通知安全管理员。
SIEM 解决方案从不同来源(如路由器、防火墙、域控制器、应用程序、数据库和网络中的任何计算设备)处理的信息越多,随着时间的推移,异常检测就越精确。UEBA 使用 ML 技术和 AI 算法来处理信息,了解威胁模式,并确定网络中的特定模式是否与之前发生的威胁异常相似。通过此检测,UEBA 有助于生成实时警报,并利用威胁预防中的自动化使其更可靠。
数据保护
安全专业人员的主要目标之一是防止敏感数据丢失或泄露,SIEM 解决方案通过持续监控用户行为来帮助检测、缓解和防止数据泄露。SIEM 解决方案跟踪对关键数据的访问,并识别未经授权的访问或访问尝试,它还会注意用户帐户中的权限提升,以及这些帐户对数据所做的任何更改。当这些检测功能与工作流管理相结合时,安全管理员可以配置 SIEM 解决方案以防止网络中的恶意活动。
SIEM 体系结构的组件
SIEM 解决方案由各种组件组成,这些组件通过持续监控和分析网络设备和事件来帮助安全团队检测数据泄露和恶意活动。
- 数据聚合
- 安全数据分析
- 关联和安全事件监控
- 取证分析
- 事件检测和响应
- 实时事件响应或警报控制台
- 威胁情报
- 用户和实体行为分析 (UEBA)
- IT 法规遵从性管理
数据聚合
SIEM 解决方案的此组件负责收集由企业网络中的多个源(如服务器、数据库、应用程序、防火墙、路由器、云系统等)生成的日志数据。这些日志包含特定设备或应用程序中发生的所有事件的记录,收集并存储在集中位置或数据存储中。
各种 SIEM 日志收集技术包括:
- 基于代理的日志收集
- 无代理日志收集
- 基于 API 的日志收集
基于代理的日志收集
在此技术中,在生成日志的每个网络设备上安装代理。这些代理负责从设备收集日志并将其转发到中央 SIEM 服务器。除了这些职责之外,他们还可以根据预定义的参数在设备级别过滤日志数据,解析它们,并在转发之前将其转换为合适的格式。这种自定义的日志收集和转发技术有助于优化带宽的使用。
基于代理的日志收集方法主要用于通信受限的封闭和安全区域。
无代理日志收集
此技术不涉及在任何网络设备中部署代理。相反,必须在设备中进行配置更改,以便它们可以以安全的方式将任何生成的日志发送到中央 SIEM 服务器。在交换机、路由器、防火墙等设备中,通常不支持安装第三方日志收集工具,因此通过代理收集日志数据变得困难。在这种情况下,可以使用无代理日志收集技术。它还减少了网络设备上的负载,因为不需要部署额外的代理。
基于 API 的日志收集
在此技术中,可以在应用程序编程接口 (API) 的帮助下直接从网络设备收集日志。虚拟化软件提供 API,使 SIEM 解决方案能够远程从虚拟机收集日志。此外,当公司从本地软件转向基于云的解决方案时,由于服务未连接到任何物理基础结构,因此很难将日志直接推送到 SIEM。发生这种情况时,基于云的 SIEM 解决方案利用 API 作为中介来收集和查询网络日志。
安全数据分析
SIEM 解决方案带有安全分析组件,主要包括实时仪表板,这些仪表板以图形和图表的形式直观地呈现安全数据。这些仪表板会自动更新,帮助安全团队快速识别恶意活动并解决安全问题。借助这些仪表板,安全分析师可以检测数据中可能存在的异常、相关性、模式和趋势,并实时获得对发生的事件的各种见解,SIEM 解决方案还为用户提供了创建和自定义自己的仪表板的选项。
此安全分析组件的另一个方面是预定义的报告,通常,SIEM 解决方案与数百个预定义报告捆绑在一起,有助于提供对安全事件的可见性、检测威胁以及简化安全性和合规性审核。这些报告主要基于已知的入侵指标 (IoC) 构建,也可以自定义以满足内部安全需求。
大多数 SIEM 解决方案还为用户提供了筛选、搜索和向下钻取这些报告的选项,根据用户的需求设置报告生成计划,以表格和图形的形式查看数据,以及以不同格式导出报告。
关联和安全事件监控
关联引擎是 SIEM 解决方案中最重要的组件之一,使用预定义或用户定义的关联规则,收集日志数据分析可能存在的不同网络活动、公共属性或模式之间存在的任何关系。关联引擎能够将不同的安全事件放在一起,以提供安全攻击的整体视图。它们能够在网络早期检测可疑活动、入侵或潜在违规的迹象,SIEM 系统也会为这些活动生成警报。
关联规则的示例:“如果用户在短时间内多次登录尝试失败后成功登录尝试,请触发警报。”
大多数 SIEM 解决方案都带有基于 IoC 构建的预定义关联规则。然而,随着攻击者不断使用更先进的技术来入侵系统,规则必须定期修改和改进,否则它们将变得过时。构建关联规则需要深入了解攻击者的行为和策略。
取证分析
SIEM 解决方案的此组件用于执行根本原因分析并生成事件报告,该报告提供对攻击尝试或持续攻击的详细分析,帮助企业立即采取适当的补救措施。
尽管拥有最好的防御机制,但企业并不总是能够阻止所有网络攻击。但是,企业可以进行取证分析以重建犯罪现场并确定违规的根本原因。由于日志数据包含特定设备或应用程序中发生的所有事件的记录,因此可以对其进行分析以查找恶意攻击者留下的痕迹。
SIEM 系统可帮助安全团队浏览日志、生成取证报告,并发现特定安全漏洞发生的时间、遭到入侵的系统和数据、恶意活动背后的黑客以及入口点。
此组件还可帮助企业满足某些合规性要求,例如长时间存储和存档日志数据,以及对其进行取证调查的能力。
事件检测和响应
事件检测
SIEM 解决方案的此模块涉及检测安全事件。安全事件是指未经授权的一方在网络中尝试或成功泄露数据,或违反组织的安全策略。拒绝服务攻击、滥用数据和资源、未经授权的权限升级和网络钓鱼攻击是安全事件的一些常见示例。必须检测和分析这些事件,并采取适当的措施来解决安全问题,同时确保业务运营的连续性。在事件检测期间,组织努力将平均检测时间 (MTTD) 保持在尽可能低的水平,以减少攻击者造成的损害。可以使用以下技术执行事件检测:
- 事件关联
- 威胁情报
- 用户和实体行为分析
事件响应
SIEM 解决方案的此模块负责在检测到安全事件时为解决安全事件而采取的补救措施。随着企业每天面临大量安全问题,攻击者采用更复杂的技术,事件响应已成为一项具有挑战性的冒险。缩短平均解决时间 (MTTR) 是每个企业的首要任务。一些事件响应技术包括:
- 使用工作流自动响应事件
- 进行取证分析
实时事件响应或警报控制台
SIEM 解决方案实时执行日志收集和关联活动;如果检测到任何可疑活动,则会立即发出警报,事件响应团队将立即采取行动以减轻攻击或防止攻击发生。
警报通知也可以通过电子邮件或短信实时发送,并可以根据分配给它们的优先级进行分类:高、中或低。可以将工作流分配给安全事件,以便在引发警报时,将自动执行相应的工作流。
威胁情报
威胁情报提供识别不同类型的网络安全威胁并采取适当措施来预防、解决或缓解它们所需的上下文信息。通过了解攻击的来源、背后的动机、用于执行攻击的策略和方法以及妥协的迹象,组织可以更好地了解威胁、评估风险并做出明智的决策。
此组件还可帮助安全管理员执行威胁搜寻,在整个网络中主动搜索可能躲避安全系统的任何威胁或 IOC 的过程。
用户和实体行为分析 (UEBA)
此组件有助于检测安全事件。随着攻击者不断开发入侵网络的新技术,传统的安全系统正在迅速过时。但是,组织可以在机器学习技术的帮助下保护自己免受任何类型的网络威胁。
UEBA 组件采用机器学习技术,根据企业中用户和机器的正常行为开发行为模型。此行为模型是通过处理从各种网络设备获得的大量数据为每个用户和实体开发的。任何偏离此行为模型的事件都将被视为异常,并将进一步评估潜在威胁。风险评分将分配给用户或实体;风险评分越高,怀疑越大。根据风险评分,进行风险评估,并开展补救活动。
IT 法规遵从性管理
在数据保护和安全方面,通常公司应满足各种监管机构规定的要求标准、法规和准则。这些监管要求因行业类型和运营地区而异。如果公司不遵守,将受到处罚。
为了确保组织满足政府为保护敏感数据而设定的所有合规性要求,SIEM 解决方案包括合规性管理组件。还应采取主动措施,例如采用各种技术来识别异常、模式和网络威胁,以保护敏感数据免受损害。
Log360 是一个统一的 SIEM 解决方案,提供直观的安全分析、ML 驱动的 UEBA、高级威胁分析、CASB、集成合规性管理以及安全自动化和响应,通过自动执行威胁检测和响应来缩短平均检测时间 (MTTD) 和 MTTR,从而帮助管理员简化安全运营。