安全信息和事件管理(SIEM)起源于日志管理,但它已经演变得比事件管理强得多。SIEM软件提供商还引入了机器学习、高级统计分析和其他分析 *** 。
SIEM什么是软件?
SIEM软件可以为企业安全人员提供IT活动在环境中的洞察力和轨迹记录。
SIEM技术已经存在了十多年,最早是从日志管理发展起来的。它管理安全事件(SEM)——实时分析日志和事件数据,提供威胁监控、事件关联和事件响应(SIM)——结合日志数据的收集、分析和报告。
SIEM什么是运行机制?
SIEM软件收集和收集公司所有技术基础设施产生的日志数据,从主机系统和应用到防火墙、软过滤器等 *** 和安全设备。
收集到数据后,SIEM软件开始识别和分类事件,并分析事件。该软件有两个主要目标:
企业对更好合规管理的需求是该技术早期采用的主要驱动力。审计人员需要检查规定是否遵守,SIEM提供了满足HIPPA、SOX和 PCI DDS 等强制监控和报告功能。然而,专家表示,近年来企业对更好安全措施的需求是SIEM市场驱动力更大。
如今,大型企业通常会SIEM视为支撑安全运营中心(SOC)的基础。
分析与情报
安全运营中SIEM软件使用背后的一个主要驱动因素是市场上许多产品的新功能。除了传统的日志数据,还有很多SIEM技术还引入了威胁情报馈送,种类繁多SIEM该产品具有安全分析能力,不仅可以监控 *** 行为,还可以监控用户的行为。
事实上,Gartner2017年5月,全球SIEM在市场报告中,指出了SIEM工具中的情报被描述为“SIEM以惊人的速度在市场上创新,创造更好的威胁检测工具。”
报告进一步指出,供应商正在将机器学习、高级统计分析等分析 *** 引入其产品,其中一些仍在实验人工智能和深度学习功能。
供应商市场之所以如此发展,是因为它具有更快、更准确的检测功能。然而,企业不确定这些功能是否给公司带来了新的收入,也不确定如何为公司创造收入。
至于这类技术的前景,Forrester Research的***分析师罗博·斯特劳德认为:
在AI在机器学习的帮助下,我们可以推断和基于模式的监控和报警,但真正的机会是可预测的修复。这就是今天的市场趋势。从监控工具到提供维修建议的软件。在未来,SIEM甚至可以自动修复操作。
企业中的SIEM
在全球企业的安全费用中,SIEM软件只占一小部分。Gartner据估计,2017年全球企业安全支出约为984亿美元,SIEM软件将获得大约24亿美元。Gartner预计,在SIEM2018年至26亿美元,2021年至34亿美元,技术费用将稳步增长。
SIEM该软件主要由大型企业和上市公司采用,其合规要求是采用该技术的重要原因。
尽管一些中型企业也使用它SIEM软件,但小公司既不必要也不愿意SIEM投资。分析师说,他们通常无法购买自己的解决方案,因为他们的年费用可以达到数万到数十万美元。此外,小公司无法雇佣持续维护SIEM所需人才。
也就是说,一些中小企业( *** B)从足以销售该服务的外包供应商处获得软件即服务SIEM。
鉴于流经SIEM系统的一些数据比较敏感。目前,大型企业用户习惯于在当地运行SIEM软件。GlaxoSmithKline美国SOC***分析师兼SANS研究所长约翰·哈巴德说:“你在记录敏感的东西,不是每个人都敢冒险在互联网上发送。”
然而,随着机器学习和人工智能SIEM一些分析师也预计产品的增加,SIEM提供商将在云中部分析混合选项。
由于提供商可以比公司收集和整理更多的数据,云收集、整理和输出情报正在兴起。
SIEM选择工具和供应商
基于全球销售,SIEM市场上有几家供应商处于主导地位,尤其是IBM、Splunk和HPE(惠普企业)。主流玩家比较多,比如 Alert Logic、Intel、LogRhythm、ManageEngine、Micro Focus、Solar Winds 和Trustwave。
Gartner2017 SIEM魔法象限图领域
穆西奇表示,公司需要根据自己的目标来评估产品,决定哪一个***他们自己的需。主要是为了合规企业,会比想利用更多SIEM建立SOC公司更注重报告等具体功能。
同时,拥有PT大量数据的企业也会寻找一些更适合他们需求的供应商,而数据较少的企业可能会选择其他供应商。同样,需要优秀威胁狩猎功能的公司也会寻求***数据可视化工具和搜索功能。
评估SIEM在供应商中,安全主管需要考虑许多其他因素,比如他们是否能支持特定的工具,系统中会有多少数据,需要支付多少钱。HPE的 ArcSight E *** 是一种功能完善的成熟工具,但需要大量的专业知识,比其他选择更昂贵。安全操作越复杂,手中的工具就越能充分利用。
鉴于SIEM选择后两个驱动力导致的功能需求不同。许多企业会选择两个不同的系统,一个注重合规性,但这将减缓威胁检测。另一个是战术性的SIEM,用于威胁检测。
***化SIEM价值
大多数公司仍然是主要公司SIEM该软件用于跟踪和调查发生了什么。该用例的驱动因素是数据泄露威胁的升级,以及安全主管和公司企业在此类事件中的不断增加。可以想象,如果公司被黑客攻击,没有人CIO,会在接受董事会询问时说话“我特么要是知道就好了。”他们最应该说的是“我们将整理日志数据,找出发生了什么。”
然而,许多公司并不满意SIEM这个例开始将该技术用于检测和近实时响应。现在的游戏玩法是:你的测试速度有多快?机器学习的不断发展正在帮助SIEM系统更准确地识别异常活动和潜在恶意活动。
尽管有了这些发展,公司仍然面临着***化学工具的效果,甚至***对现有系统价值的挑战进行限度挤压。原因有很多。
首先,SIEM技术是一种资源密集型工具,需要有经验的人员来实现、维护和调整——并非所有企业都能完全投资这类员工。
许多企业购买技术是因为他们知道这是他们需要的,但他们没有能够处理技术人员,或者他们没有培训员工。
想要***化SIEM软件输出需要高质量的数据。数据源越大,工具输出越好,异常值越能识别。然而,公司正在努力定义和提供正确的数据。
即使有强大的数据和高端团队来运营SIEM技术,该软件自身也有局限。在检测可接受活动和合法潜在威胁上,SIEM不完全准确,正是这种差异导致了很多SIEM部署中有大量误报。这种情况要求企业有强有力的监管和有效的规定,避免安全团队被过载报警拖垮。
安全人员通常从追求大量误报开始。成熟的公司将学习调整工具,让软件了解正常事件是什么,以减少误报的数量。但另一方面,一些安全团队会跳过这一步,习惯性地忽略太多的误报——错过真正威胁的操作是可能的。
更高端的公司也会编写脚本来自动化更多的传统功能。例如,从不同的数据源中提取上下文数据,以建立更完整的警告视图,并加快对真正威胁的调查和识别。这需要良好的过程和安全操作成熟度。换句话说,它不仅会SIEM与其他技术相结合,作为一种单独的工具,有一个引导各种行动的整体过程。
这样可以减少员工花在低端行动上的时间,让员工把精力放在高价值任务上,从而改善公司的整体安全状况。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。