什么是安全信息和事件管理(SIEM),有什么用处

安全信息和事件管理(SIEM)对于企业主动识别、管理和消除安全威胁至关重要。SIEM 解决方案采用事件关联、AI 驱动的异常检测以及机器学习驱动的用户和实体行为分析 (UEBA) 等机制来检测、审查和应对网络安全威胁。这些功能使 SIEM 系统能够提供实时安全警报,并增强组织快速有效地响应事件的能力。

SIEM 的演变

2005 年,Gartner®创造了 SIEM 一词,将安全信息管理(SIM)和安全事件管理(SEM)结合在一起。

  • 安全信息管理(SIM):SIM 涉及收集和存储所有与网络活动相关的数据。这可以从从服务器、防火墙、域控制器、路由器、数据库和 NetFlow 收集的日志数据,也可以从网络中存在的非结构化数据(例如电子邮件)中收集。
  • 安全事件管理(SEM):SEM是指对安全事件的监控和分析。使用各种技术实时分析这些内容,发送警报,并启动工作流以响应任何异常行为。
  • 下一代 SIEM:随着网络威胁的演变和日益复杂,对更先进的 SIEM 解决方案的需求显而易见。下一代 SIEM 在传统 SIEM 的基础上集成了高级分析、UEBA 和编排功能。这样可以更主动地进行威胁搜寻、更好的异常检测和更快的事件响应时间。

多年来,SIEM 工具已从简单的日志管理发展到复杂的威胁检测和管理。如今的 SIEM 在利用 AI 和 ML 功能(如 UEBA)进行高级持续性威胁检测方面发挥着重要作用。SIEM 工具可满足 SOC 的安全监控和分析用例的需求,例如确保数据和云安全、评估和管理网络风险以及遵守法规要求。

SIEM 解决方案的工作原理是什么

SIEM 解决方案从整个网络的源引入和分析与安全相关的数据点,并为安全管理员提供见解,以检测和缓解安全攻击。它的工作原理如下:

SIEM 解决方案引入事件数据(如日志和流数据)以进行网络行为分析。在基本层面上,该解决方案使用基于代理和无代理的机制收集网络中每个设备和应用程序生成的数据。该解决方案还采用非事件数据和上下文信息,例如威胁源。在 SIEM 软件中集中聚合所有数据后,将使用关联和 ML 算法对其进行规范化和分析,并将其转换为可操作的信息,这些信息以通知和交互式仪表板的形式交付给安全团队。

SIEM 解决方案的仪表板和图形报告提供对整个网络中发生的安全事件的实时洞察,这些分析仪表板可帮助安全分析师识别趋势和可疑行为,检查最近的警报,并监控整个网络的运行状况。

SIEM 解决方案的主要特性和功能是什么

  • 全面的日志管理
  • 事件关联
  • 取证分析
  • 安全事件管理
  • 高级威胁分析
  • 用户行为分析(UBA)

全面的日志管理

SIEM 解决方案从整个网络的来源引入日志数据,包括服务器、防火墙、入侵检测和防御系统、应用程序、数据库服务器、交换机、路由器、Active Directory 服务器、工作站等。这些汇总的日志数据安全地存储在一个中心位置,便于分析。日志收集通常使用各种技术执行,例如无代理和基于代理的日志收集。

  • 基于代理的日志收集:此方法要求在每台设备上部署代理。代理收集日志,然后分析并筛选日志,然后再将日志返回到 SIEM 服务器。该技术主要用于封闭和安全的网络,例如通信受到限制的非军事区。
  • 无代理日志收集:这是更常用的方法,其中设备生成的日志由 SIEM 服务器使用安全通信通道(例如使用安全协议的特定端口)自动收集。

在日志收集之后,SIEM 工具会解析日志,提取和规范化数据,使其适合有效的分析和关联。

事件关联

SIEM 解决方案的主要用途是威胁检测,通过聚合和关联安全数据来实现。关联引擎处理规则,这些规则是可能指示安全威胁的事件序列。现代 SIEM 解决方案使用非事件数据和威胁源来丰富其关联引擎的效率。SIEM 解决方案是可定制的,使用户能够微调关联规则以捕获特定于企业的威胁。此外,关联能力与自动化工作流执行相关联,从而减少了解决需要立即干预的威胁的手动过程。

应通过在企业防火墙中编写规则来立即阻止来自恶意来源的流量。SIEM 解决方案不仅应将防火墙日志与威胁源相关联,以检测允许的恶意流量,还应提供通过编写防火墙规则或策略立即阻止流量的选项。

取证分析

借助 SIEM 解决方案,安全分析师可以安全地长时间保留日志数据,并有效地梳理大量日志。这使他们能够检查安全事件,以确定数据泄露的程度,确定攻击的肇事者,查看攻击者在环境中停留的时间,了解他们采取的一系列操作,并评估业务影响。此外,取证团队还可以重建过去的安全事件,以查明任何安全漏洞并防止未来的网络攻击。

安全事件管理

SIEM 解决方案收集所有检测到的事件,并在仪表板中显示时间线和关键数据点,以便从单个控制台监控、会审和解决这些事件。虽然 SIEM 解决方案的实时警报系统有助于缩短平均检测时间(MTTD),但安全事件管理控制台通过提供从控制台内执行缓解步骤的功能来帮助最大限度地减少平均解决时间(MTTR)。SIEM 工具的事件管理功能还通过提供仪表板来跟踪和分类事件解决过程,从而确保对安全专业人员的问责制。

高级威胁分析

实施不同的威胁检测机制(基于规则的关联、基于签名的威胁检测和基于 ML 的异常检测)与实时安全警报相结合,增强了 SIEM 解决方案准确发现威胁和减少 MTTD 的能力。安全分析为有效的威胁调查提供了一个平台,通过来自可靠的开源工具或第三方供应商的威胁源集成,进一步增强了这一平台。威胁建模框架(如 MITRE ATT&CK)的实施进一步增强了 SIEM 解决方案的威胁搜寻、检测、分析和修复功能。这允许管理员快速识别威胁源,从而加快缓解过程。

用户行为分析(UBA)

SIEM 工具的 UEBA 功能使用 ML 和深度学习算法检测组织网络中的异常行为。通过收集与网络中的用户和实体活动相关的数据来创建行为基线。当检测到任何偏离基线的情况时,将根据严重程度分配风险评分。偏差可能包括在异常时间登录、短时间内登录失败次数过多、权限提升等。如果风险评分超过设定的阈值,安全管理员会收到实时通知。ML 驱动的 UEBA 可捕获高级持续性威胁,这些威胁通常无法通过基于规则的检测机制检测到。UEBA 在检测内部威胁、帐户泄露和数据泄露方面也发挥着重要作用。

在这里插入图片描述

SIEM 解决方案用例

  • 合规审计
  • 云安全和监控
  • 用户监控和内部威胁检测

合规审计

许多组织都需要遵守法规要求。SIEM工具可以简化整个审计流程,通过为各种合规标准(如 PCI DSS、GDPR、HIPAA、FISMA、SOX、FERPA、NERC CIP、PDPA 等)提供开箱即用的审计就绪报告,最大限度地降低安全风险并简化企业的合规性演示,某些 SIEM 解决方案还允许用户根据其审核要求自定义或创建新的合规性报告。

云安全和监控

随着越来越多的组织转向云,新的安全挑战可能会出现。使用 SIEM 工具可以提高对云环境的可见性,帮助组织降低风险并增强对威胁的防御能力。

云访问安全代理(CASB)使用组织的安全策略来检查云服务提供商和组织之间传输的数据。例如,如果员工将敏感的公司数据存储在未经批准的云应用程序上,CASB 会协助 IT 团队识别用户访问的所有非托管应用程序并实施补救措施。将 SIEM 与 CASB 集成,可为 IT 管理员提供云安全的整体视图,增强威胁检测并建立协调的事件响应。

用户监控和内部威胁检测

除了增强网络监控外,SIEM 解决方案还提供监控组织内用户活动的功能,从而能够检测和预防有意和无意的内部威胁。这确保了用户不会滥用其访问权限来泄露敏感信息或使网络系统受到外部攻击。SIEM 解决方案提供对用户登录和注销活动的宝贵见解,并跟踪对敏感文件和文件夹所做的配置更改和修改。

部署 SIEM 解决方案有哪些优势

  • 遵守和管理:将各种合规性法规的要求与安全操作对应起来,并为各种法规要求提供可审计的合规性报告模板和合规性违规警报。
  • 更快、更高效的安全运营:发现安全威胁并确定解决的优先级,自动响应已知威胁,并改进 MTTR。
  • 优化网络运营:持续监控所有网络活动并存储日志数据,以便进行根本原因分析和故障排除。
  • 网络弹性:通过日志取证和影响分析,在发生违规或安全事件后恢复业务,并立即生成事件报告,以避免合规性处罚。
  • 安全编排:与网络中的其他 IT 解决方案集成并集中管理安全。

下一代SIEM 功能

为了应对不断变化的安全环境,下一代 SIEM 工具提供了一组新的功能,可提供可操作的情报,帮助企业实施主动安全策略并改善其安全态势。

下一代 SIEM 解决方案提供高级功能,例如:

  • 跨平台检测异常活动:除了检测外围网络中的异常活动外,下一代 SIEM 还将此功能扩展到各种平台,以关联混合业务环境中发生的事件。
  • 先进而复杂的威胁检测机制:攻击者采用高级攻击技术(例如无文件恶意软件、窃取凭据和加密敏感数据的勒索软件等)来破坏企业网络,下一代 SIEM 解决方案中支持 AI 的威胁检测功能和基于 ML 的行为分析可帮助组织检测这些复杂的攻击技术。
  • 安全编排和自动化响应(SOAR):下一代 SIEM 解决方案与其他关键 IT 基础架构(如 IT 服务管理、IT 运营管理等)进行协调,以确保稳固的安全态势。此外,自动化事件响应有助于减少 MTTR。
  • 身份驱动的安全方法:随着越来越多的组织迁移到云,标识已成为新的边界。当身份遭到入侵时,它会使整个云和本地网络容易受到攻击。下一代 SIEM 解决方案通过引入安全访问、影子 IT 监控和用户行为分析来帮助保护身份。

Log360 连续六次入选Gartner® SIEM 魔力象限™,是一个统一的 SIEM 解决方案,具有集成的 DLP 和 CASB 功能,可检测、优先处理、调查和响应安全威胁。它结合了威胁情报、基于 ML 的异常检测和基于规则的攻击检测来识别复杂的攻击,并提供事件管理控制台来有效修复检测到的威胁。Log360 凭借其直观和先进的安全分析和监控功能,提供跨本地、云和混合网络的整体可见性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/288507.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

WPD小波包理解

WPD是分析信号特性和提供具有时频局部化函数的正交小波基的有效工具,同时也是一种小波分解,它可以将原始信号分解成若干子层。小波分解实现了单侧分解,但它只分离频率的低通分量。相比之下,WPD提供了更精确的信号分析,…

计算机网络实验(六):三层交换机实现VLAN间路由

一、实验名称:三层交换机实现VLAN间路由 二、实验原理 2.1. VLAN基本配置 在交换网络中,为了实现对物理网络的逻辑划分,引入了VLAN(虚拟局域网)的概念。VLAN通过将不同的设备划分到不同的虚拟网络中,实现了逻辑隔离。基本配置包括在交换机上创建VLAN、将端口划分到相应…

Spring Bean的生命周期(钩子函数)

借鉴:https://www.cnblogs.com/liweimingbk/p/17843970.html https://blog.csdn.net/lxz352907839/article/details/128634404 一、Spring Bean生命周期 如果Spring配置文件中所定义的Bean类实现了ApplicationContextAware 接口,那么在加载Spring配置文…

Java多线程详解

进程 进程是程序的执行实例,而在进程的执行过程中,它需要操作和管理一系列的数据。这个数据集合通常包括程序的代码、程序计数器、寄存器、堆栈、数据段和其他与程序执行相关的信息。这些数据共同构成了一个进程的上下文(context&#xff09…

python c语言 代码动态检查,python c语言语法分析

大家好,小编来为大家解答以下问题,python c语言 代码动态检查,python c语言语法分析,今天让我们一起来看看吧! Source code download: 本文相关源码 初学编程,应该学习哪一门编程语言,有不少人感…

析构和友元函数

1. 类的析构函数 析构函数的作用,用于释放该类所占用的资源(或者说释放对象)在类的对象使用完时(当类的对象超出了作用域),会自动调用析构函数;如果是在堆区实例化的对象,那么当手动…

软件测试之性能测试

性能测试是与时间相关的。 主要内容 性能测试基础 概念和术语介绍 性能测试模型 性能测试分类介绍 性能测试实施与管理 性能测试基础 为什么要进行性能测试(WHY)(最重要) 应用程序是否能够很快的响应用户的要求? 应…

[DevOps-03] Build阶段-Maven安装配置

一、简要说明 下载安装JDK8下载安装Maven二、复制准备一台虚拟机 1、VM虚拟复制克隆一台机器 2、启动刚克隆的虚拟机,修改IP地址 刚刚克隆的虚拟机 ,IP地址和原虚拟的IP地址是一样的,需要修改克隆后的虚拟机IP地址,以免IP地址冲突。 # 编辑修改IP地址 $ vi /etc/sysconfig…

从科学角度分析,探索选择智能酒精壁炉的原因

酒精壁炉作为一种现代家居取暖方式,引人关注。从科学角度来看,为何选择酒精壁炉成为一个值得探讨的问题。酒精壁炉的燃料—乙醇,是一种简单化合物,其燃烧过程在化学上较为干净。当乙醇燃烧时,其主要产物是二氧化碳和水…

如何将图像数据转换为.mat文件,mat文件内是cell封装的struct格式的数据

在我看论文:《 Holistically-nested Edge Detection (HED) 》的时候,对论文中有关边缘结果的评价指标很感兴趣,于是我就研究了如何计算这些指标 如果有同样感兴趣或者有需要的小伙伴可以下载这里的代码:GitHub - xwjabc/hed: A P…

使用Apache Commons SCXML实现状态机管理

第1章:引言 大家好,我是小黑,咱们程序员在开发过程中,经常会遇到需要管理不同状态和状态之间转换的场景。比如,一个在线购物的订单,它可能有“新建订单”、“已支付”、“配送中”、“已完成”等状态。在这…

openmediavault(OMV) (26)网络(1)ddns-go

简介 "ddns-go" 是一个动态域名解析(Dynamic DNS)工具,用于更新域名的IP地址。它可以自动检测你的公共IP地址,并将其更新到指定的域名解析服务商,以确保你的域名始终与最新的IP地址相匹配。 安装 hub.docker.com上下载ddns-go镜像 配置compose文件 --- versio…

面向对象综合训练综合练习(文字版格斗游戏,对象数组,复杂的对象数组操作)

文章目录 练习一:文字版格斗游戏练习二:文字版格斗游戏进阶练习三:对象数组(商品)练习四:对象数组(汽车)练习五:对象数组(手机)练习六&#xff1a…

【教学类-43-13】 20240103 (4宫格数独:错误版:768套) 不重复的基础模板数量:768套

作品展示:——4宫格 768套不重复模板(64页*12套题) 有错误,实际数量小于768套 背景需求: 测试4宫格数独基础模板有几种。 写个程序,验算是不是真的是乘阶法的288种。 代码展示: 768套4宫格题…

Python for与while循环的介绍和对应练习题的巩固

for循环 重复执行同一段代码就是循环 循环列表 for val in list_name: list_num [1,2,3,4,5,6,7,8,9] for i in list_num:print(i)代码执行顺序 从上往下依次执行 遍历 通过某种顺序把某种集合所有元素都访问一遍 list_food{"火锅","烧烤","张…

Python贪吃蛇小游戏(PyGame)

文章目录 写在前面PyGame入门贪吃蛇注意事项写在后面 写在前面 本期内容:基于pygame的贪吃蛇小游戏 实验环境 python3.11及以上pycharmpygame 安装pygame的命令: pip install -i https://pypi.tuna.tsinghua.edu.cn/simple pygamePyGame入门 pygam…

【人工智能】为什么说大模型会有「幻觉」问题,又如何去解决呢

大家好,我是全栈小5,欢迎阅读文章! 此篇是【话题达人】序列文章,这一次的话题是《如何解决大模型的幻觉问题》 目录 大模型模型幻觉模型预训练庞大文本数据集语义关系 模型微调特定任务少量标签数据 如何解决普遍方法 大模型 先来…

java仓库管理系统Myeclipse开发mysql数据库web结构java编程计算机网页项目

一、源码特点 java Web仓库管理系统是一套完善的java web信息管理系统,对理解JSP java编程开发语言有帮助,系统具有完整的源代码和数据库,系统主要采用B/S模式开发。开发环境为 TOMCAT7.0,Myeclipse8.5开发,数据库为Mysql5.0&…

双侧电源系统距离保护MATLAB仿真模型

微❤关注“电气仔推送”获得资料(专享优惠) 系统原始数据 双侧电源系统模型如图所示: 仿真模型搭建 将线路AB分成Line1和Line2,将线路BC分成Line3和Line4,用三相电压电流测量模块作为系统母线,根据系统已…

我的NPI项目之设备系统启动(一) -- 客制化/给设备身份的CDT

做为设备设计和制造的公司,我们除了不能制造/生产PCB/PCBA/外壳,其它设备上的所有模块几乎都是自己设计的。那么,作为软件,会涉及到哪些设计内容呢? 选定主chipset/soc,例如qcmxxx/sdmxxx。根据chipset&am…