SIEM 体系结构的组件

news2024/11/17 7:26:45

安全信息和事件管理(SIEM)软件可帮助 IT 安全专业人员保护其企业网络免受网络攻击,SIEM 解决方案从组织中的所有基础结构组件收集日志数据,为安全专业人员提供实时数据和对网络活动的见解。

网络的内部视图可以帮助您识别和预防威胁,并执行自动化程序,作为事件响应计划的一部分。这可以提高安全运营中心(SOC)的效率、性能和响应时间,并有助于满足各种合规性要求。对良好的 SIEM 解决方案进行投资可以避免组织未来可能面临的财务和法律责任。

为什么选择 SIEM

企业必须不断保护自己免受每天面临的越来越多的网络攻击。安全信息和事件管理(SIEM)是各种企业广泛采用的安全系统,用于保护其网络免受这些网络攻击。

  • SIEM 解决方案将帮助安全专业人员有效地管理来自网络中所有设备的日志。
  • SIEM 解决方案还将能够搜寻网络中的行为异常,进行调查,并将整个网络中看似随机的事件关联起来,以提醒 SOC 可能发生的安全事件。
  • SIEM 解决方案可以检测任何异常网络活动并提醒 SOC 团队,安全管理员还可以对 SIEM 解决方案进行编程,以在检测到威胁时执行某些缓解过程,这有助于减少响应时间,也可以控制损坏。

SIEM 体系结构的组件

SIEM 解决方案由各种组件组成,这些组件通过持续监控和分析网络设备和事件来帮助安全团队检测数据泄露和恶意活动。以下介绍了 SIEM 体系结构中的不同组件:

  • 数据聚合
  • 安全数据分析(报告和仪表板)
  • 关联和安全事件监控
  • 取证分析
  • 事件检测
  • 事件响应
  • 实时事件响应或告警控制台
  • 威胁情报
  • 用户和实体行为分析(UEBA)
  • IT 合规管理

数据聚合

SIEM 解决方案的此组件负责收集由企业网络中的多个源(如服务器、数据库、应用程序、防火墙、路由器、云系统等)生成的日志数据,这些日志包括特定设备或应用程序中发生的所有事件的记录,这些日志被收集并存储在集中位置或数据存储中。

各种 SIEM 日志收集技术包括:

  • 基于代理的日志收集
    在此技术中,在生成日志的每个网络设备上都安装了一个代理。这些代理负责从设备收集日志并将其转发到中央 SIEM 服务器。除了这些职责之外,他们还可以根据预定义的参数在设备级别过滤日志数据,对其进行解析,并在转发前将其转换为合适的格式。这种自定义的日志收集和转发技术有助于优化带宽的使用。
    基于代理的日志收集方法主要用于通信受限的封闭和安全区域。
  • 无代理日志收集
    此技术不涉及在任何网络设备中部署代理。相反,必须在设备中进行配置更改,以便它们可以以安全的方式将任何生成的日志发送到中央 SIEM 服务器。在交换机、路由器、防火墙等设备中,通常不支持安装第三方工具进行日志采集,因此通过Agent采集日志数据变得困难。在这种情况下,可以使用无代理日志收集技术。它还减少了网络设备上的负载,因为不需要部署额外的代理。
  • 基于 API 的日志收集
    在这种技术中,可以借助应用程序编程接口 (API) 直接从网络设备收集日志。虚拟化软件提供 API,使 SIEM 解决方案能够远程从虚拟机收集日志。此外,当公司从本地软件转向基于云的解决方案时,由于服务未连接到任何物理基础结构,因此很难将日志直接推送到 SIEM。发生这种情况时,基于云的 SIEM 解决方案利用 API 作为中介来收集和查询网络日志。

安全数据分析(报告和仪表板)

SIEM 解决方案附带一个安全分析组件,该组件主要包括实时仪表板,这些仪表板以图形和图表的形式直观地呈现安全数据。这些仪表板会自动更新,帮助安全团队快速识别恶意活动并解决安全问题。借助这些仪表板,安全分析师可以检测数据中可能存在的异常、相关性、模式和趋势,并实时获得对所发生事件的各种见解。SIEM 解决方案还为用户提供了创建和自定义自己的仪表板的选项。

此安全分析组件的另一个方面是预定义的报告。通常,SIEM 解决方案捆绑了数百个预定义报告,这些报告有助于提供对安全事件的可见性、检测威胁以及简化安全性和合规性审核。这些报告大多基于已知的入侵指标(IoC)构建,也可以进行自定义以满足内部安全需求。

大多数 SIEM 解决方案还为用户提供了筛选、搜索和向下钻取这些报表的选项,根据用户的需求设置报表生成计划,以表格和图形的形式查看数据,以及以不同格式导出报表。

关联和安全事件监控

关联引擎是 SIEM 解决方案中最重要的组件之一,使用预定义或用户定义的关联规则,收集的日志数据分析不同网络活动、公共属性或可能存在的模式之间存在的任何关系。关联引擎能够将不同的安全事件放在一起,以提供安全攻击的整体视图。它们能够在网络的早期检测到可疑活动、入侵或潜在漏洞的迹象,并且 SIEM 系统也将为这些活动生成警报。

关联规则示例

“如果用户在短时间内多次登录尝试失败后成功登录,则触发警报。”

大多数 SIEM 解决方案都附带基于 IoC 构建的预定义关联规则,然而,随着攻击者不断使用更先进的技术来入侵系统,这些规则必须定期修改和改进,否则它们就会过时。构建关联规则需要深入了解攻击者的行为和策略。

取证分析

SIEM 解决方案的此组件用于执行根本原因分析并生成事件报告,该报告提供对攻击尝试或持续攻击的详细分析,帮助企业立即采取适当的补救措施。

尽管拥有最好的防御机制,但企业并不总是能够阻止所有网络攻击。但是,企业可以进行取证分析以重建犯罪现场并确定违规行为的根本原因。由于日志数据包含特定设备或应用程序中发生的所有事件的记录,因此可以对其进行分析以查找恶意攻击者留下的痕迹。

SIEM 系统可帮助安全团队浏览日志、生成取证报告,并发现特定安全漏洞发生的时间、遭到入侵的系统和数据、恶意活动背后的黑客以及入口点。

此组件还有助于企业满足某些合规性要求,例如长期存储和存档日志数据,以及对其执行取证调查的能力。

在这里插入图片描述

事件检测

SIEM 解决方案的此模块涉及检测安全事件,安全事件是指未经授权的一方试图或成功地破坏网络中的数据,或违反组织的安全策略。拒绝服务攻击、滥用数据和资源、未经授权的权限升级和网络钓鱼攻击是安全事件的一些常见示例。必须检测和分析这些事件,并采取适当的措施来解决安全问题,同时确保业务运营的连续性。在事件检测期间,组织努力将平均检测时间(MTTD)保持在尽可能低的水平,以减少攻击者造成的损害。

可以使用以下技术进行事件检测:

  • 事件关联
  • 威胁情报
  • 用户和实体行为分析(UEBA)

事件响应

SIEM 解决方案的此模块负责在检测到安全事件时为解决安全事件而采取的补救措施。随着企业每天都面临大量的安全问题,并且攻击者采用了更复杂的技术,事件响应已成为一项具有挑战性的冒险。缩短平均解决时间 (MTTR)是每个企业的首要任务。

一些事件响应技术包括:

  • 通过工作流自动执行事件响应
  • 进行取证分析

实时事件响应或告警控制台

SIEM 解决方案实时执行日志收集和关联活动;如果检测到任何可疑活动,会立即发出警报,事件响应团队将立即采取行动以减轻攻击或防止其发生。

警报通知也可以通过电子邮件或短信实时发送,并且可以根据分配给它们的优先级进行分类:高、中或低。可以将工作流分配给安全事件,以便在引发警报时自动执行相应的工作流。

威胁情报

威胁情报提供识别不同类型的网络安全威胁并采取适当措施预防、解决或缓解这些威胁所需的上下文信息。通过了解攻击的来源、背后的动机、用于实施攻击的策略和方法以及妥协的迹象,组织可以更好地了解威胁、评估风险并做出明智的决策。

为了添加上下文信息,公司可以从第三方供应商处获取威胁源,也可以编译和使用以 STIX/TAXII 格式提供的开源威胁源。可以立即识别威胁类型,并启动补救措施,从而缩短 MTTR。

此组件还可帮助安全管理员执行威胁搜寻,这是一个在整个网络中主动搜索可能躲避安全系统的任何威胁或 IOC 的过程。

用户和实体行为分析(UEBA)

此组件有助于检测安全事件。随着攻击者不断开发新技术来入侵网络,传统的安全系统正在迅速过时。但是,组织可以借助机器学习技术来保护自己免受任何类型的网络威胁。

UEBA 组件采用机器学习技术,根据企业中用户和计算机的正常行为开发行为模型。通过处理从各种网络设备获取的大量数据,为每个用户和实体开发此行为模型。任何偏离此行为模型的事件都将被视为异常,并将进一步评估潜在威胁。风险评分将分配给用户或实体;风险评分越高,怀疑程度越高。根据风险评分,进行风险评估,并开展补救措施。

有人可能会问,关联引擎和 UEBA 之间有什么区别。前者是基于规则的系统,用于检测事件和威胁,而后者,顾名思义,根据行为分析发现可疑事件,企业要想有效抵御攻击,就应该同时依靠传统的基于规则的机制和现代的行为分析。

IT 合规管理

在数据保护和安全方面,通常期望公司满足各种监管机构规定的标准、法规和准则。这些监管要求因行业类型和经营地区而异。如果公司不遵守将受到处罚。

为了确保组织满足政府为保护敏感数据而制定的所有合规性要求,SIEM 解决方案包括合规性管理组件。还应采取积极措施,例如采用各种技术来识别异常、模式和网络威胁,以保护敏感数据不被泄露。

SIEM 解决方案能够存储和存档日志数据延长一段时间,以便审计员可以检查审计跟踪。他们还可以通过日志收集和分析生成合规报告,例如 HIPAA、SOX、PCI DSS、GDPR、ISO 27001,以及根据授权规定的特定要求生成的开箱即用报告。

所有这些 SIEM 组件协同工作,通过提供对不同类型威胁的见解来帮助安全团队,这些威胁模式,以及网络中可能发生的恶意活动,以及为解决任何安全问题而必须采取的必要行动方案。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1181073.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

热像仪:使用 ESP32 和 MLX90640 传感器设计您自己的红外成像设备

本文详细介绍如何设计一款基于ESP32的热成像仪,文末包含完整的原理图,PCB,3D文件,程序源码的免费下载链接 使用 ESP32 和 MLX90640 传感器 DIY 热像仪 热像仪广泛应用于各种工业应用,例如热性能监控、检测温度异常、热基准测试等。我们甚至将热成像用于国防和军事应用。我…

Python教程:Pandas删除数据的4种情况

大家早好、午好、晚好吖 ❤ ~欢迎光临本文章 如果有什么疑惑/资料需要的可以点击文章末尾名片领取源码 开始之前,pandas中DataFrame删除对象可能存在几种情况 1、删除具体列 2、删除具体行 3、删除包含某些数值的行或者列 4、删除包含某些字符、文字的行或者列…

2023-11-07 android 编译的时候出现 unused variable ‘temp0‘ [-Werror,-Wunused-variable]

一、android 编译的时候出现 unused variable temp0 [-Werror,-Wunused-variable] 二、解决方法:在android.mk里面添加 LOCAL_CFLAGS -Wno-unused-parameter -Wno-unused-variable 三、解释 -Woption 让编译器给出option指定的编译警告,常用的一些如…

CSS实现文本左右对齐

因为文本里面有中午符号,英文,英文符号等,导致设置宽度以后右侧凌乱,可以通过以下代码设置样式,让文本工整对齐。 让我们看一下设置前和设置后的对比图片: 效果图如下:(左边是设置…

揭秘Spring框架:模块装配的奥秘与实战技巧 【Spring|Java】

⭐简单说两句⭐ 作者:后端小知识,CSDN后端领域新星创作者|阿里云专家博主 CSDN个人主页:后端小知识 🔎GZH:后端小知识 🎉欢迎关注🔎点赞👍收藏⭐️留言📝 揭秘Spring框架…

Cocos 进度条物体跟随效果

话不多说上代码,记录一下初学cocos解决的问题,实用小功能。 import { _decorator, Button, Component, Node, ProgressBarComponent, Sprite, UITransform, Vec3 } from cc; const { ccclass, property } _decorator;ccclass(game_scene1) export clas…

容联七陌携手岚时科技,解决医美机构回访3大痛点

近日,岚时科技研发中心联合容联七陌发布了全新的智能呼叫中心系统,5大功能模块解决了医美机构回访过程中的3大难题:客户资产保全困难、客户回访技术被卡脖子、回访人员(客服、咨询)效率管理困难。 “智能呼叫中心”通过…

ZKP8.1 Polynomial-IOP and Polynomial Commitment Schemes

ZKP学习笔记 ZK-Learning MOOC课程笔记 Lecture 8: FRI-based Polynomial Commitments and Fiat-Shamir (Justin Thaler) 8.1 Polynomial-IOP and Polynomial Commitment Schemes Recall: build an efficient SNARK Recall: Polynomial-IOP P’s first message in the pro…

Freeswitch代码

1.引入依赖 Freeswitch依赖版本 <dependency><groupId>org.freeswitch.esl.client</groupId><artifactId>esl-client</artifactId><version>0.10.1</version> </dependency> 2.代码 import org.freeswitch.esl.client.inbound…

分享导致vcruntime140_1.dll丢失的原因,以及vcruntime140_1.dll的解决办法

电脑中缺失vcruntime140_1.dll文件的问题&#xff0c;是常有的问题&#xff0c;不仅仅是vcruntime140_1.dll文件&#xff0c;还会有很多的其他的dll文件都会出现这样的问题。今天就和大家聊聊vcruntime140_1.dll文件丢失的情况&#xff0c;和什么原因导致的丢失vcruntime140_1.…

【波形图】在波形图上显示相对时间并将原点设置为零

默认情况下&#xff0c;波形图有一个定义的窗口来显示 X 轴。当X值达到该窗口的上限时&#xff0c;图表开始滚动以显示最新值的窗口。为了防止这种情况&#xff0c;请通过右键单击图表并选择X Scale Autoscale X将 X 轴设置为自动缩放。此操作还将增加窗口的大小以显示从 0 到…

基于SSM的智慧作业试题管理系统(有报告)。Javaee项目。

演示视频&#xff1a; 基于SSM的智慧作业试题管理系统&#xff08;有报告&#xff09;。Javaee项目。 项目介绍&#xff1a; 采用M&#xff08;model&#xff09;V&#xff08;view&#xff09;C&#xff08;controller&#xff09;三层体系结构&#xff0c;通过Spring Sprin…

样式问题解决

1.深度样式选择器 1.vue2中 原生css >>> .el-card__header saas\scss ::v-deep .el-card__header less /deep/ .el-card__header 2.vue3中 :deep() { //styles } ::deep() { //styles } 2.修改element.style样式

【uniapp】解决在H5谷歌浏览器下 u-input 标签 设置只读后,click事件不生效

【问题描述】 谷歌浏览器更新后&#xff0c;h5模式下原本的input外层view中的click事件不触发了?? 但是更换浏览器后就可以&#xff0c;打包app也是正常可以触发的&#xff0c;本来是没打算兼容h5&#xff0c;既然遇到了就记录一下~ 【解决办法】 使u–input里写上readonly&…

python随机生成指定长度的字符串

需求&#xff1a;随机生成一个指定长度的字符串&#xff08;数字和小写字母&#xff09; 涉及到的python知识点 &#xff08;1&#xff09;python模块包&#xff1a;random random.choice(sequence)&#xff1a;从指定的序列中获取一个随机元素 random.choice(sequence)从序…

GoLong的学习之路(二十一)进阶,语法之并发(go最重要的特点)(协程的主要用法)

并发编程在当前软件领域是一个非常重要的概念&#xff0c;随着CPU等硬件的发展&#xff0c;我们无一例外的想让我们的程序运行的快一点、再快一点。Go语言在语言层面天生支持并发&#xff0c;充分利用现代CPU的多核优势&#xff0c;这也是Go语言能够大范围流行的一个很重要的原…

AI 视频 | 文本生视频工具又迎来重大更新,Runway Gen-2 到底有多强?Gen-2 怎么用(保姆级教程)

一、引言 不久前刚介绍了一个号称地表最强的文本生视频的工具 Moonvalley&#xff1a;免费的 AI 视频生成工具 Moonvalley 厉害了&#xff01;Moonvalley 怎么用&#xff08;保姆级教程&#xff09; 紧接着在 11 月 2 日&#xff0c;Runway 重磅发布了第 2 代文本到视频和图像…

unity打AB包,AssetBundle预制体与图集(三)

警告&#xff1a; spriteatlasmanager.atlasrequested wasn’t listened to while 条件一&#xff1a;图片打图集里面去了 条件二&#xff1a;然后图集打成AB包了 条件三&#xff1a;UI预制体也打到AB包里面去了 步骤一&#xff1a;先加载了图集 步骤二&#xff1a;再加载UI预…

测试面试题集锦(四)| Linux 与 Python 编程篇(附答案)

本系列文章总结归纳了一些软件测试工程师常见的面试题&#xff0c;主要来源于个人面试遇到的、网络搜集&#xff08;完善&#xff09;、工作日常讨论等&#xff0c;分为以下十个部分&#xff0c;供大家参考。如有错误的地方&#xff0c;欢迎指正。有更多的面试题或面试中遇到的…

四川思维跳动商务信息咨询有限公司可靠吗?

随着抖音等短视频平台的兴起&#xff0c;越来越多的商家开始利用这些平台进行带货。四川思维跳动商务信息咨询有限公司也提供抖音带货服务&#xff0c;那么&#xff0c;他们的服务可靠吗&#xff1f;本文将为你揭开真相&#xff0c;让你安心选择&#xff01; 一、公司简介 四川…