什么是安全信息和事件管理(SIEM)? -目的及福利

柏苑五金保养


约翰Parlee 2023年8月1日

安全信息和事件管理(SIEM)是安全团队用来识别威胁和异常活动的一套工具. 它们是多功能工具,可以用于其他目的, 然而, 主要用户往往是负责日常监控的安全团队, 威胁狩猎, 和分析. SIEM已经存在很长时间了, 这些工具已经得到了显著的发展,以满足现代安全团队的需求.

什么是SIEM?

SIEM代表安全信息和事件管理, 哪一组工具和国内十大彩票平台用于查看事件数据和信息, 并有助于相互关联, 优先考虑, 然后把它拿给分析师看. SIEM为安全操作团队提供了检测的能力, 分析, 应对安全威胁. 该工具从各种来源收集数据, 然后汇总并构建这些数据——这有助于安全团队分析这些数据. 这些数据提供了对包括网络在内的庞大数据集正在发生的事情的理解, 应用程序, 国内十大彩票平台器, 端点, 和其他来源,然后创建相应的警报.

SIEM可以管理分析人员无法手动处理的大量数据. 分析师可以查看时间点事件,然后根据需要转向更大或更小的数据集.

的确,组织需要一个安全团队来应对这些威胁, 但SIEM有助于在威胁影响组织之前识别和解决这些威胁.

使用哪种SIEM?

在选择SIEM供应商时,需要考虑以下几点:

1. 偏好/曝光

许多安全团队找到了他们喜欢的解决方案, 他们投入时间和金钱来学习和操作这项技术. 例如, 一些供应商有自己的会议, 查询语言, 体系结构集, 学习/职业道路. 安全专家可能从分析师开始, 然后, 当他们晋升到更高的职位时, 他们可以获得管理SIEM体系结构所需的经验和知识, 组件, 和能力.

学习特定的SIEM查询语言与学习编程或数据库语言非常相似. 许多SIEM供应商都有自己的这种语言版本, 还有搜索, 警报, 所开发的查询成为SIEM的集成部分. 学习一门特定的语言是一种投资. 虽然有些技能是可转移的, 请记住,当团队熟悉一种SIEM查询语言时, 它可以使过渡到另一个挑战.

2. 能力

SIEM已经从一个可以提供警报和分析的消费平台发展成为一个可以进行编排的强大平台, 自动化, 和响应. 它为分析人员提供了自动化一些最耗时的工作的能力, 例如提供决策所需的即时数据丰富和上下文.

在时间紧迫的情况下, SIEM可以提供即时响应功能,可以阻止威胁并阻止攻击者的活动. 例如, SIEM集成可以在防火墙上自动采取行动,阻止显示恶意活动的IP地址. 使用这些功能,SIEM可以比“人在循环”快得多. 然而, 这种自动化带来了合法的风险, 或者错误分类的活动也可能被屏蔽. 话虽如此, 功能应该由安全团队进行审查, 因为他们认为随着时间的推移,SIEM将在操作和优化中带来价值.

与其他工具集成的能力对于支持自动化也很重要. 安全团队应该考虑他们拥有哪些工具,以及他们对开发哪些用例感兴趣.

3. 成本

在投资SIEM套件时,成本是需要考虑的一个重要方面. 一旦进行了初始投资,组织就开始了一段重要的旅程. 他们正在购买SIEM的架构和功能. 看到职位描述要求特定SIEM的特定技能并不罕见.

考虑到随着时间的推移,数据管理是成本的很大一部分. 计划将要摄取的数据量以及如何管理它以满足组织保留目标是很重要的. 许多siem都有一个基于每天摄取的数据量的定价模型, 以及随着时间的推移保留了多少数据. SIEM摄取的信息越多,组织的成本就越高. 考虑如何以及在何处存储数据也很重要. 如果您正在使用基于云的SIEM, 与管理自己的存储相比,您可能会产生一些额外的成本.

SIEM的演变

随着时间的推移,SIEM发生了重大变化, 最初满足日志存储的遵从性义务, 然后进化到增强搜索, 报警, 和分析. 随着时间的推移,SIEM的功能得到了极大的增强. 这导致了包括编排、自动化和响应(SOAR)在内的功能。. SOAR帮助安全团队使用内部和外部数据源丰富他们的事件, 自动审查警报, 并通过采取综合解决方案来应对.

现在的挑战是如何实现自动化和响应, 同时在没有人为干预的情况下始终如一地达到预期的结果. The human analyst develops important context with time and exposure; it’s important to consider the impact of 自动化 where an analyst is not exposed to the information from an event to build context and awareness for a potentially related event.

SIEM的下一次进化:人工智能

人工智能和大型语言模型的使用似乎很适合SIEM. 在适当的环境下,人工智能可以促进安全分析师或检测工程师的工作. 通过简单地指定分析师或工程师需要AI做什么, 人工智能可以生成格式良好并有文档记录的复杂查询——这些任务通常需要人类投入额外的时间和精力.

人工智能将在训练中发挥作用. 它可以为分析师提供指导性学习模型, 以及供安全团队遵循的结构化剧本. 可能更适合有经验的从业者的任务, 例如,在初级操作员的监控下,制导威胁搜索和事件响应通常可以实现自动化. 在确定了威胁之后, 分析人员可以询问所有现有的攻击路径,以帮助确定修复工作的优先级.

人工智能还可以促进数据管理. 有些数据集可能没有通用的字段名, 人工智能可以促进与表格无关的搜索, 进一步简化了安全团队必须执行的一些常见任务,以便能够完全查询其数据集并接收完整的信息.

此外, 安全负责人将能够利用这些相同的技术来审查SIEM的性能, 人工智能, 还有安保团队. 事件发生后, 人工智能可以审查这些活动, 环境中的弱点, 以及安全配置,以根据最佳实践提供关于如何在将来防止该活动的建议列表. 事件可以追溯分析,以审查误报, 利用现有数据和先前的活动重新分析新出现的事件,可以识别以前未发现的潜在威胁.

基础设施管理是困难的,让它更容易!

无论您处于基础设施管理的哪个阶段, 关注基本的安全实践是至关重要的, 维护对网络或云中的内容的高可见性和管理. 管理整个IT基础设施已经是一项极其复杂的任务, 而如今的商业环境只会增加额外的障碍, 比如经济的不确定性, 网络安全威胁, 劳动的挑战, 人们普遍期望用更少的钱做更多的事. IT基础设施管理国内十大彩票平台 来自Park Place Technologies的软件可以帮助您的IT团队在面对当前业务挑战时承担越来越多的责任.

侨福托管国内十大彩票平台™是一套全面的托管IT基础设施解决方案,可帮助您有序地管理组织的关键基础设施,同时最大限度地减少混乱并加速业务转型. 了解有关此组合的更多信息 存储管理, 国内十大彩票平台器管理, 网络管理国内十大彩票平台 今天!

作者简介

约翰Parlee,首席信息安全官