什么是SIEM软件? 它是如何工作的以及如何选择合适的工具 - 沐鸣娱乐新闻 - 沐鸣官网资讯 - 沐鸣网络电子科技有限公司

全国统一热线:0755-29925678

沐鸣娱乐新闻

沐鸣平台资讯

行业动态

沐鸣相关新闻

什么是SIEM软件? 它是如何工作的以及如何选择合适的工具

浏览次数:700日期:2019-06-06小编:沐鸣

欢迎访问沐鸣平台网址,什么是SIEM软件?

安全信息和事件管理(SIEM)软件为企业安全专业人员提供了对IT环境中活动的洞察和跟踪记录。


SIEM技术已经存在了十多年,最初是从日志管理学科发展而来的。它结合了安全事件管理(SEM) - 它可以实时分析日志和事件数据,提供威胁监控,事件关联和事件响应 - 以及收集,分析和报告日志数据的安全信息管理(SIM)。


SIEM如何运作

SIEM软件收集和聚合整个组织的技术基础架构中生成的日志数据,从主机系统和应用程序到网络和安全设备,如防火墙和防病毒过滤器。


然后,该软件识别事件和事件并对其进行分类,并对其进行分析。该软件提供了两个主要目标,即

1、提供与安全相关的事件和事件的报告,例如登录成功和失败,恶意软件活动和其他可能的恶意活动

2、如果分析显示活动针对预定的规则集运行,则发送警报,从而指示潜在的安全问题。

企业管理协会(EMA)的研究主管Paula Musich表示,企业对更好的合规管理的需求推动了该技术的早期采用,该公司位于科罗拉多州博尔德,是一家市场研究和咨询公司。


“审计师需要一种方法来判断合规是否得到满足,SIEM提供了必要的监控和报告,以满足HIPPA,SOX和PCI DDS等要求,”她说,参考健康保险流通与责任法案,萨班斯 - 奥克斯利法案和支付卡行业数据安全标准。


然而,专家表示,企业对更高安全措施的需求近年来推动了更多的SIEM市场。


“现在,大型组织通常将SIEM视为建立安全运营中心的基础,”Musich说。


分析和情报

使用SIEM软件进行安全操作的主要驱动因素之一在于市场上许多产品中包含的新功能。


“现在,除了传统的日志数据之外,许多SEIM技术还引入了威胁情报源,并且有多个SIEM产品具有安全分析功能,可以查看网络行为以及用户行为,从而提供有关活动是否表示恶意的更多情报活动,“Musich解释道。


实际上,技术研究公司Gartner在其2017年5月关于全球SIEM市场的报告中提到了SIEM工具中的智能,称“SIEM市场的创新正在以令人兴奋的速度发展,以创建更好的威胁检测工具。”


Gartner报告进一步指出,供应商正在为其产品引入机器学习,高级统计分析和其他分析方法,而一些供应商也在尝试人工智能和深度学习功能。


根据Gartner的说法,供应商推出了诸如能够以更快的速度提供更准确的检测率的功能。然而,Gartner指出,企业尚不清楚这些能力是否或通过多少能够为组织带来新的回报。


通过AI和机器学习,我们可以进行推理和基于模式的监控和警报,但真正的机会是预测性恢复。

-  Rob Stroud

Forrester Research的首席分析师,ISACA(一家专注于IT治理的国际专业协会)的前任董事会主席Rob Stroud表示,他看到了这些技术的前景。


“通过AI和机器学习,我们可以进行推理和基于模式的监控和警报,但真正的机会是预测性恢复。这是现在市场的转型。它是从监控工具到[软件提供]补救建议,“斯特劳德说,并补充说他希望SIEM软件能够在未来自动修复。


SIEM在企业中

据Gartner称,SIEM软件仅占全球企业安全总支出的一小部分。 Gartner估计2017年全球企业安全支出将近984亿美元,其中SIEM软件的收入约为24亿美元。 Gartner预计,SIEM技术的支出将适度增长,2018年将近26亿美元,2021年将达到34亿美元。


据分析师称,SIEM软件主要用于大型组织和上市公司,其中法规的遵守仍然是使用该技术的一个重要因素。


虽然一些中型公司也是SIEM软件,但小公司往往不需要也不想投资它。分析师表示,他们通常不会购买自己的解决方案,因为其年度成本可能从数万到超过10万美元以上。此外,小公司没有能力雇用维持SIEM软件所需的人才。


也就是说,分析师也注意到,一些中小型企业将SIEM作为软件即服务提供,通过外包提供商提供,这些提供商足够大,可以销售其服务的SMB客户。


目前,由于一些数据通过系统的敏感性,大型企业用户倾向于始终在本地运行SIEM软件。葛兰素史克公司美国安全运营中心的首席分析师,安全组织SANS研究所的讲师约翰哈伯德说:“你正在记录敏感的东西,这并不是人们对通过互联网发送很多胃口的东西。”专业人士。


然而,随着SIEM产品中的机器学习和人工智能功能的增加,一些分析师预计SIEM供应商将提供混合选项,其中一些分析在云中运行。


“我们正在通过云观看收集,策划和情报;我们看到这种情况出现,因为供应商可以[收集和]剔除比组织更多的数据,“斯特劳德说。


SIEM工具和供应商选择

SIEM市场有几个基于全球销售的主要供应商,特别是IBM,Splunk和HPE。至少有几个主要参与者,即Alert Logic,Intel,LogRhythm,ManageEngine,Micro Focus,Solar Winds和Trustwave。


Musich说公司需要根据自己的目标评估产品,以确定哪种产品最能满足他们的需求。希望此技术主要用于合规性的组织会比想要利用SIEM建立安全运营中心的组织更重视某些功能(如报告)。


同时,她说,拥有数PB数据的组织会发现一些供应商能够更好地满足他们的需求,而那些拥有较少数据的人可能会选择其他选择。同样,那些想要突出威胁搜寻的公司可能会寻找其他人可能不需要的顶级数据可视化工具和搜索功能。


Musich表示,在评估SIEM供应商时,安全领导者需要考虑许多其他因素 - 例如他们是否可以支持特定工具,他们将在系统中拥有多少数据,以及他们想要花多少钱。例如,HPE的ArcSight ESM是一个成熟的工具,具有许多功能,但需要大量的专业知识,并且比其他选项更昂贵。


“总会有各种各样的功能,”Musich补充说。 “而且运营中的安全性越复杂,他们就会越好地利用他们拥有的工具。”


鉴于SIEM选择背后的两个主要驱动因素的能力要求不同,Hubbard说他看到许多组织选择两个不同的系统,一个专注于合规性,另一个专注于威胁检测。


“您可能会收集很多合规性,但这可能会降低威胁检测的速度。所以你有一个用于威胁检测的战术SIEM,“他说。


最大化SIEM的价值

451 Research的信息安全团队高级分析师Eric Ogren表示,大多数公司仍然主要使用SIEM软件来跟踪和调查发生的事情。 Ogren说,这个用例是由于违规行为的威胁不断升级以及领导者和组织在此类事件中将面临越来越严重的后果。


如果一家公司受到攻击,那么没有CIO想让董事会询问发生了什么,并说,“如果我知道,该死的。”

-  Eric Ogren

正如Ogren所说:“如果一家公司受到攻击,没有CIO想让董事会询问发生了什么,并说,'如果我知道的话,该死的。'他们想说,'我们正在查看日志数据,以了解发生了什么。 “”


然而,与此同时,许多公司现在正在超越这一点,并越来越多地使用该技术进行检测和近实时响应,Ogren说。


“现在的游戏是:你能检测到多快?”他补充说,不断发展的机器学习能力正在帮助SIEM系统更准确地识别异常和潜在的恶意活动。


专家表示,尽管取得了这些进步,但组织仍然面临着最大化利益的能力,因此,它们在现有系统中获得的价值仍然受到挑战。


这有很多原因。


首先,SIEM技术是资源密集型的,需要有经验的员工来实施,维护和微调它们 - 并非所有组织都已完全投资的员工。


斯特劳德说:“很多组织都会引入这项技术,因为他们知道这是他们想要的东西,但他们没有员工,也没有让员工接受使用它所需的培训。”


SIEM软件还需要高质量的数据才能获得最大的产量 - “您提供的数据来源越多,获得的数据越多,它就能越好地看到异常值,”Stroud解释道。然而,组织继续努力定义和提供正确的数据。


分析师表示,即使拥有强大的数据和运行SIEM技术的先进团队,该软件本身也有限制。他们指出,在检测什么是可接受的活动以及什么是合法的潜在威胁方面并不完全准确 - 这种差异导致许多部署中出现大量错误警报。


这种情况需要在企业内部实施强有力的治理和有效的程序,以便安全团队不会屈服于提醒过载。


斯特劳德说,安全专业人员通常会开始追逐大量错误警报。复杂的组织将学习超时调整工具,以便软件了解常见事件,从而减少错误警报的数量。


然而,另一方面,他说,一些安全团队会吝啬这一步,而是从习惯中调出更多的虚假警报 - 这种做法可能会失去真正的威胁。


Musich表示,更复杂的组织还编写脚本来自动化更多平凡的功能,例如从不同来源提取上下文数据,以更全面地了解警报,加快调查和识别真实威胁。


“这需要良好的流程以及安全运营的成熟度,”她补充道。 “这意味着让它不仅仅是一种工具,而是将其与其他技术相结合,并拥有指导活动的整体流程。”


她说,这样的举动可以减少员工在较低级别活动上花费的时间,而是让他们将精力重新转移到提升公司整体安全状况的高价值任务上。

关注沐鸣官网,获取更多最新行业资讯。


如果你对我们的服务感兴趣,可以给我们留言,我们会第一时间联系您。

扫描关注微信

Copyright © 2017 沐鸣网络科技有限公司 版权所有