安全信息和事件管理（SIEM）对于企业主动识别、管理和消除安全威胁至关重要。SIEM 解决方案采用事件关联、AI 驱动的异常检测以及机器学习驱动的用户和实体行为分析 （UEBA） 等机制来检测、审查和应对网络安全威胁。这些功能使 SIEM 系统能够提供实时安全警报，并增强组织快速有效地响应事件的能力。

SIEM 的演变

2005 年，Gartner®创造了 SIEM 一词，将安全信息管理（SIM）和安全事件管理（SEM）结合在一起。

• 安全信息管理（SIM）：SIM 涉及收集和存储所有与网络活动相关的数据。这可以从从服务器、防火墙、域控制器、路由器、数据库和 NetFlow 收集的日志数据，也可以从网络中存在的非结构化数据（例如电子邮件）中收集。
• 安全事件管理（SEM）：SEM是指对安全事件的监控和分析。使用各种技术实时分析这些内容，发送警报，并启动工作流以响应任何异常行为。
• 下一代 SIEM：随着网络威胁的演变和日益复杂，对更先进的 SIEM 解决方案的需求显而易见。下一代 SIEM 在传统 SIEM 的基础上集成了高级分析、UEBA 和编排功能。这样可以更主动地进行威胁搜寻、更好的异常检测和更快的事件响应时间。

多年来，SIEM 工具已从简单的日志管理发展到复杂的威胁检测和管理。如今的 SIEM 在利用 AI 和 ML 功能（如 UEBA）进行高级持续性威胁检测方面发挥着重要作用。SIEM 工具可满足 SOC 的安全监控和分析用例的需求，例如确保数据和云安全、评估和管理网络风险以及遵守法规要求。

SIEM 解决方案的工作原理是什么

SIEM 解决方案从整个网络的源引入和分析与安全相关的数据点，并为安全管理员提供见解，以检测和缓解安全攻击。它的工作原理如下：

SIEM 解决方案引入事件数据（如日志和流数据）以进行网络行为分析。在基本层面上，该解决方案使用基于代理和无代理的机制收集网络中每个设备和应用程序生成的数据。该解决方案还采用非事件数据和上下文信息，例如威胁源。在 SIEM 软件中集中聚合所有数据后，将使用关联和 ML 算法对其进行规范化和分析，并将其转换为可操作的信息，这些信息以通知和交互式仪表板的形式交付给安全团队。

SIEM 解决方案的仪表板和图形报告提供对整个网络中发生的安全事件的实时洞察，这些分析仪表板可帮助安全分析师识别趋势和可疑行为，检查最近的警报，并监控整个网络的运行状况。

SIEM 解决方案的主要特性和功能是什么

• 全面的日志管理
• 事件关联
• 取证分析
• 安全事件管理
• 高级威胁分析
• 用户行为分析（UBA）

全面的日志管理

SIEM 解决方案从整个网络的来源引入日志数据，包括服务器、防火墙、入侵检测和防御系统、应用程序、数据库服务器、交换机、路由器、Active Directory 服务器、工作站等。这些汇总的日志数据安全地存储在一个中心位置，便于分析。日志收集通常使用各种技术执行，例如无代理和基于代理的日志收集。

• 基于代理的日志收集：此方法要求在每台设备上部署代理。代理收集日志，然后分析并筛选日志，然后再将日志返回到 SIEM 服务器。该技术主要用于封闭和安全的网络，例如通信受到限制的非军事区。
• 无代理日志收集：这是更常用的方法，其中设备生成的日志由 SIEM 服务器使用安全通信通道（例如使用安全协议的特定端口）自动收集。

在日志收集之后，SIEM 工具会解析日志，提取和规范化数据，使其适合有效的分析和关联。

事件关联

SIEM 解决方案的主要用途是威胁检测，通过聚合和关联安全数据来实现。关联引擎处理规则，这些规则是可能指示安全威胁的事件序列。现代 SIEM 解决方案使用非事件数据和威胁源来丰富其关联引擎的效率。SIEM 解决方案是可定制的，使用户能够微调关联规则以捕获特定于企业的威胁。此外，关联能力与自动化工作流执行相关联，从而减少了解决需要立即干预的威胁的手动过程。

应通过在企业防火墙中编写规则来立即阻止来自恶意来源的流量。SIEM 解决方案不仅应将防火墙日志与威胁源相关联，以检测允许的恶意流量，还应提供通过编写防火墙规则或策略立即阻止流量的选项。

取证分析

借助 SIEM 解决方案，安全分析师可以安全地长时间保留日志数据，并有效地梳理大量日志。这使他们能够检查安全事件，以确定数据泄露的程度，确定攻击的肇事者，查看攻击者在环境中停留的时间，了解他们采取的一系列操作，并评估业务影响。此外，取证团队还可以重建过去的安全事件，以查明任何安全漏洞并防止未来的网络攻击。

安全事件管理

SIEM 解决方案收集所有检测到的事件，并在仪表板中显示时间线和关键数据点，以便从单个控制台监控、会审和解决这些事件。虽然 SIEM 解决方案的实时警报系统有助于缩短平均检测时间（MTTD），但安全事件管理控制台通过提供从控制台内执行缓解步骤的功能来帮助最大限度地减少平均解决时间（MTTR）。SIEM 工具的事件管理功能还通过提供仪表板来跟踪和分类事件解决过程，从而确保对安全专业人员的问责制。

高级威胁分析

实施不同的威胁检测机制（基于规则的关联、基于签名的威胁检测和基于 ML 的异常检测）与实时安全警报相结合，增强了 SIEM 解决方案准确发现威胁和减少 MTTD 的能力。安全分析为有效的威胁调查提供了一个平台，通过来自可靠的开源工具或第三方供应商的威胁源集成，进一步增强了这一平台。威胁建模框架（如 MITRE ATT&CK）的实施进一步增强了 SIEM 解决方案的威胁搜寻、检测、分析和修复功能。这允许管理员快速识别威胁源，从而加快缓解过程。

用户行为分析（UBA）

SIEM 工具的 UEBA 功能使用 ML 和深度学习算法检测组织网络中的异常行为。通过收集与网络中的用户和实体活动相关的数据来创建行为基线。当检测到任何偏离基线的情况时，将根据严重程度分配风险评分。偏差可能包括在异常时间登录、短时间内登录失败次数过多、权限提升等。如果风险评分超过设定的阈值，安全管理员会收到实时通知。ML 驱动的 UEBA 可捕获高级持续性威胁，这些威胁通常无法通过基于规则的检测机制检测到。UEBA 在检测内部威胁、帐户泄露和数据泄露方面也发挥着重要作用。

SIEM 解决方案用例

• 合规审计
• 云安全和监控
• 用户监控和内部威胁检测

合规审计

许多组织都需要遵守法规要求。SIEM工具可以简化整个审计流程，通过为各种合规标准（如 PCI DSS、GDPR、HIPAA、FISMA、SOX、FERPA、NERC CIP、PDPA 等）提供开箱即用的审计就绪报告，最大限度地降低安全风险并简化企业的合规性演示，某些 SIEM 解决方案还允许用户根据其审核要求自定义或创建新的合规性报告。

云安全和监控

随着越来越多的组织转向云，新的安全挑战可能会出现。使用 SIEM 工具可以提高对云环境的可见性，帮助组织降低风险并增强对威胁的防御能力。

云访问安全代理（CASB）使用组织的安全策略来检查云服务提供商和组织之间传输的数据。例如，如果员工将敏感的公司数据存储在未经批准的云应用程序上，CASB 会协助 IT 团队识别用户访问的所有非托管应用程序并实施补救措施。将 SIEM 与 CASB 集成，可为 IT 管理员提供云安全的整体视图，增强威胁检测并建立协调的事件响应。

用户监控和内部威胁检测

除了增强网络监控外，SIEM 解决方案还提供监控组织内用户活动的功能，从而能够检测和预防有意和无意的内部威胁。这确保了用户不会滥用其访问权限来泄露敏感信息或使网络系统受到外部攻击。SIEM 解决方案提供对用户登录和注销活动的宝贵见解，并跟踪对敏感文件和文件夹所做的配置更改和修改。

部署 SIEM 解决方案有哪些优势

• 遵守和管理：将各种合规性法规的要求与安全操作对应起来，并为各种法规要求提供可审计的合规性报告模板和合规性违规警报。
• 更快、更高效的安全运营：发现安全威胁并确定解决的优先级，自动响应已知威胁，并改进 MTTR。
• 优化网络运营：持续监控所有网络活动并存储日志数据，以便进行根本原因分析和故障排除。
• 网络弹性：通过日志取证和影响分析，在发生违规或安全事件后恢复业务，并立即生成事件报告，以避免合规性处罚。
• 安全编排：与网络中的其他 IT 解决方案集成并集中管理安全。

下一代SIEM 功能

为了应对不断变化的安全环境，下一代 SIEM 工具提供了一组新的功能，可提供可操作的情报，帮助企业实施主动安全策略并改善其安全态势。

下一代 SIEM 解决方案提供高级功能，例如：

• 跨平台检测异常活动：除了检测外围网络中的异常活动外，下一代 SIEM 还将此功能扩展到各种平台，以关联混合业务环境中发生的事件。
• 先进而复杂的威胁检测机制：攻击者采用高级攻击技术（例如无文件恶意软件、窃取凭据和加密敏感数据的勒索软件等）来破坏企业网络，下一代 SIEM 解决方案中支持 AI 的威胁检测功能和基于 ML 的行为分析可帮助组织检测这些复杂的攻击技术。
• 安全编排和自动化响应（SOAR）：下一代 SIEM 解决方案与其他关键 IT 基础架构（如 IT 服务管理、IT 运营管理等）进行协调，以确保稳固的安全态势。此外，自动化事件响应有助于减少 MTTR。
• 身份驱动的安全方法：随着越来越多的组织迁移到云，标识已成为新的边界。当身份遭到入侵时，它会使整个云和本地网络容易受到攻击。下一代 SIEM 解决方案通过引入安全访问、影子 IT 监控和用户行为分析来帮助保护身份。

Log360 连续六次入选Gartner® SIEM 魔力象限™，是一个统一的 SIEM 解决方案，具有集成的 DLP 和 CASB 功能，可检测、优先处理、调查和响应安全威胁。它结合了威胁情报、基于 ML 的异常检测和基于规则的攻击检测来识别复杂的攻击，并提供事件管理控制台来有效修复检测到的威胁。Log360 凭借其直观和先进的安全分析和监控功能，提供跨本地、云和混合网络的整体可见性。