SIEM是什么?它是怎么运作的?又该如何选择正确的工具?
作者: 日期:2017年12月09日 阅:16,405

安全信息与事件管理(SIEM)源于日志管理,但早已演变得比事件管理强大许多,今天的SIEM软件提供商还引入了机器学习、高级统计分析和其他分析方法。

SIEM软件是什么?

SIEM软件能给企业安全人员提供其IT环境中所发生活动的洞见和轨迹记录。

SIEM技术已存在了十年以上,最早是从日志管理发展起来的。它将安全事件管理(SEM)——实时分析日志和事件数据以提供威胁监视、事件关联和事件响应,与安全信息管理(SIM)——收集、分析并报告日志数据,结合了起来。

SIEM的运作机制是什么

SIEM软件收集并聚合公司所有技术基础设施所产生的日志数据,数据来源从主机系统及应用,到防火墙及杀软过滤器之类网络和安全设备都有。

收集到数据后,SIEM软件就开始识别并分类事件,对事件进行分析。该软件的主要目标有两个:

1. 产出安全相关事件的报告,比如成功/失败的登录、恶意软件活动和其他可能的恶意活动。
2. 如果分析表明某活动违反了预定义的规则集,有潜在的安全问题,就发出警报。

企业对更好合规管理的需求,是早期对该技术采用的主要驱动力。审计人员需要检查规定有没有被遵从的方法,而SIEM提供了满足HIPPA、SOX和 PCI DDS 等强制要求的监视与报告功能。然而,专家表示,近些年企业对更好的安全措施的需求,才是SIEM市场更大的驱动力。

如今,大型企业通常都将SIEM视为支撑安全运营中心(SOC)的基础。

分析与情报

安全运营中SIEM软件使用背后的一个主要推动因素,是市场上很多产品包含的新功能。除了传统的日志数据,很多SIEM技术还引入了威胁情报馈送,更有多种SIEM产品具备安全分析能力,不仅监视网络行为,还监测用户行为,可针对某动作是否恶意活动给出更多情报。

事实上,Gartner在其2017年5月对全球SIEM市场的报告中,点出了SIEM工具中的情报,描述为“SIEM市场中的创新,正以惊人的速度,创建更好的威胁检测工具。”

报告进一步指出,提供商正往其产品中引入机器学习、高级统计分析和其他分析方法,其中一些还在实验人工智能和深度学习功能。

提供商市场如此发展,是因为有了能更快产出更准确检测率的功能。不过,企业也不确定这些功能是否有给公司带来新的收益,或者是怎么给公司创收的。

至于此类技术的前景, Forrester Research的首席分析师罗博·斯特劳德认为:

在AI和机器学习的帮助下,我们可以做推断和基于模式的监视与警报,但真正的机会是预见性的修复。这就是当今市场动向。正在从监视工具,变成提供修复建议的软件。在未来,SIEM甚至可以自动化修复操作。

企业中的SIEM

全球企业的安全开销中,SIEM软件仅占很小的一部分。Gartner估测,2017年全球企业安全开支约在984亿美元左右,SIEM软件大概会收获24亿美元。Gartner预计,在SIEM技术上的开销将会平稳增长,2018年到26亿美元,2021年34亿美元。

SIEM软件主要被大型企业和上市公司采用,此类公司中合规要求是采纳该技术的重要原因。

虽然有些中型企业也用SIEM软件,小公司却既没必要也没意愿往SIEM里投钱。分析师称,他们通常无力购买自已的解决方案,因为其年度开销可达数万到十几万美元。而且,小公司也没能力雇佣持续维护SIEM所需的人才。

也就是说,有些中小企业(SMB)通过软件即服务的方式,从足以售卖该服务的外包供应商处,获得了SIEM。

鉴于流经SIEM系统的部分数据比较敏感,目前大型企业用户习惯在本地运行SIEM软件。GlaxoSmithKline美国SOC首席分析师兼SANS研究所导师约翰·哈巴德说:“你在记录敏感的东西,这种东西可不是人人都敢冒在互联网上发送的风险的。”

不过,随着机器学习和人工智能在SIEM产品中的增多,一些分析师也预计,SIEM提供商会拿出一个混合选项,部分分析在云端执行。

云端收集、整理和产出情报正在兴起,因为提供商可以比公司收集并梳理更多数据。

SIEM工具和提供商选择

基于全球销售额,SIEM市场有几家居于统治性地位的供应商,尤其是IBM、Splunk和HPE(惠普企业)。还有更多一些的主流玩家,比如 Alert Logic、Intel、LogRhythm、ManageEngine、Micro Focus、Solar Winds 和Trustwave。

Gartner2017 SIEM领域魔力象限图

穆西奇称,公司企业需根据自己的目标来评估产品,决定哪款最符合自身需要。主要为了合规的企业,就会比想利用SIEM建立SOC的公司,更看重报告之类的特定功能。

同时,拥有PT级海量数据的企业,也会寻找更适合他们需求的某些供应商,而拥有数据较少的企业,可能选择其他。同样的,需要优良威胁捕猎功能的公司,会寻求顶级数据可视化工具和搜索功能。

评估SIEM供应商时,安全主管需要考虑很多其他因素,比如他们是否能支持特定工具、系统中会有多少数据、需要支付多少钱。举个例子,HPE的 ArcSight ESM 是一款功能完善的成熟工具,但需要大量专业知识,且比其他选择要贵。安全操作越复杂,越能充分利用好手中的工具。

鉴于SIEM选择背后两大驱动力导致的功能需求各不相同,很多企业会选取2套不同系统,一套关注合规,但这会减慢威胁检测。另一套则是战术性的SIEM,用于威胁检测。

最大化SIEM价值

大多数公司仍主要将SIEM软件用于追踪和调查已发生过什么。这一用例的驱动因素,是数据泄露威胁的升级,以及此类事件中安全主管和公司企业所面临后果的不断加码。可以想象,如果公司被黑,没有任何一位CIO,会在接受董事会问询时说“我特么要是知道就好了。”他们最应该想说的是“我们会梳理日志数据,查明发生了什么。”

不过,现在也有很多公司不满足于SIEM的这一用例,开始将该技术更多地用在检测和近实时响应上。现在的玩法是:你的检测速度有多快?不断发展的机器学习,正帮助SIEM系统更加准确地识别异常活动和潜在恶意活动。

尽管了有了这些发展,公司企业还是面临最大化工具效果,甚至最大限度榨取已有系统价值的挑战。其中原因多种多样。

首先,SIEM技术是资源密集型工具,需要经验丰富的人员来实现、维护和调整——这种员工不是所有企业都能完全投入的。

很多企业因为知道这是自己需要的东西而买下了该技术,但他们并没有能够搞定该技术的人员,或者他们没对员工进行所需的培训。

想要最大化SIEM软件产出,就需要拥有高品质的数据。数据源越大,该工具产出越好,越能识别出异常值。然而,公司企业在定义和提供正确数据方面苦苦挣扎。

且即便有了强大的数据和高端团队来运营SIEM技术,该软件自身也有局限。在检测可接受活动和合法潜在威胁上,SIEM并非完全准确,正是这种差异,导致了很多SIEM部署中出现了大量误报。该情况需要企业内有强力监管和有效规程,避免安全团队被警报过载拖垮。

安全人员往往从追逐大量误报开始。成熟的公司会学着调整工具,让该软件理解什么是正常事件,以此来降低误报数量。但另一方面,一些安全团队会跳过该步骤,习惯性直接无视太多误报——有可能错过真正威胁的一种操作。

更为高端的公司还会编写脚本来自动化更多常规功能。比如从不同数据源拉取上下文数据以建立更完整的警报视图,加速对真正威胁的调查和识别。这需要良好的过程和安全运营成熟度。也就是说,不仅仅将SIEM作为一个单独的工具,而是将之与其他技术整合,有个整体的过程来引导各种行动。

如此,可以减少员工花费在低端动作上的时间,让他们可以将自己的精力放在高价值任务上,以提升公司的整体安全态势。

相关阅读

IBM安全产品线全解读 联动一切的QRadar
成功的安全分析你需要注意这五个要素
数据越多垃圾越多?如何收集、处理、分析更多的安全数据

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章