什么是SIEM

news2024/12/24 5:45:07

SIEM 解决方案是一种企业级应用程序,可集中和自动化与网络安全相关的操作,该工具通过收集、分析和关联从组织 IT 基础设施中的各种实体聚合的网络事件来帮助应对网络威胁。

与帮助监控和评估组织物理空间中的危险的监视控制台相比,SIEM解决方案就像一个虚拟安全指挥中心,提供对企业网络的完整、实时可见性。

基于这种可见性,SIEM 解决方案通过安全分析、事件关联、基于 ML 和 AI 的异常检测以及事件响应工作流提供威胁检测、调查和响应(TDIR)功能。

SIEM 的功能概述

日志管理

  • 自动日志收集
  • 日志解析和规范化
  • 日志存档
  • 通过日志搜索提供的日志取证

安全分析

  • 设备和应用程序的预定义报告存储库
  • Active Directory 报表
  • UEBA报告
  • 趋势报告
  • 特定于合规性的报告
  • 仪表板
  • 高级调查控制台

威胁检测

  • 关联规则
  • 警报条件和配置文件
  • UEBA
  • IOC 的威胁源集成

威胁搜寻

  • 进程搜寻树
  • Mitre ATT&CK 框架集成
  • 高级威胁分析

威胁修复

  • 事件管理控制台
  • 自动响应工作流

在这里插入图片描述

SIEM 解决方案的工作原理是什么

网络数据聚合

SIEM 解决方案通过基于代理的方法(代理部署在网络设备、服务器和端点上)、syslog(将日志转发到中央服务器)和 API(支持与受支持的系统直接集成)收集日志。

演化:传统 SIEM 解决方案主要依赖于从有限来源收集基于日志的数据,现代 SIEM 解决方案整合了各种数据源,例如日志、数据包、流量、云服务和 API,以实现全面的威胁可见性和检测准确性。

SIEM 日志记录和数据聚合,从不同的网络实体收集的数据类型有哪些:

  • 路由器:配置变更日志、接口状态日志和流日志。
  • 防火墙:配置日志、连接日志、VPN 日志和代理服务器日志。
  • Web服务器:应用日志和访问日志。
  • 终端:系统日志、安全日志、应用日志和网络日志。
  • 文件服务器:用户访问日志、系统事件日志、文件修改日志和鉴权日志。
  • 云平台:API访问日志、审计日志、资源使用跟踪日志、实例发放日志、应用使用日志。

数据处理

收集到原始数据后,将对其进行处理,其中包括索引、解析和规范化,对日志进行索引以便快速检索,对日志进行解析以提取相关信息,并对日志进行规范化以确保不同格式之间的一致性。

演化:传统的 SIEM 系统采用基于规则的解析和索引,导致结构僵化, 现代 SIEM 系统利用 ML 算法(如监督学习、无监督学习和自然语言处理)进行动态分析。

储存和保留

处理后的数据存储在集中式存储库中,该存储库可以是专用数据库、数据湖或云存储解决方案,此存储库必须支持可伸缩性和高可用性,以容纳大量数据并确保数据完整性。SIEM 解决方案还可以保留必要的日志,以便进行取证分析和审计。

演化:传统的 SIEM 系统使用关系数据库进行存储,现代 SIEM 系统采用分布式存储解决方案(如 Hadoop 或 Elasticsearch)来实现可扩展性以及实时数据访问和检索。

数据可视化和报表

SIEM 解决方案的主要用例之一是数据可视化,它通过图形报告和仪表板呈现网络和安全见解,这有助于分析人员了解网络事件,观察恶意活动趋势,并确定组织的合规性状态。

演化:现代 SIEM 解决方案提供交互式、可自定义的仪表板,以实现直观的数据可视化,它们可自动执行合规报告,并提供详细的见解和实时监控,从而促进与不断发展和新推出的法规和标准保持一致。

威胁检测

SIEM 解决方案的核心功能是关联解析的数据并查找威胁模式,这是通过针对常见威胁、勒索软件攻击、可疑进程生成、攻击者工具的使用等的预定义关联规则提供的。

现代 SIEM 解决方案还使用基于 ML 的行为和统计分析来为用户和实体建立基线,以便发现偏离观察模式的真正异常情况,检测到此类异常后,SIEM 解决方案会通过电子邮件和短信发送警报。专用警报仪表板可用于配置、管理、分配和解决警报。

威胁调查

SIEM 解决方案的警报仪表板会收集所有需要调查的可疑事件,管理员可以从警报仪表板本身获取人员、内容、时间和地点的基本事件详细信息,为了进一步调查,分析人员使用日志搜索功能来构建搜索查询并深入挖掘。现代 SIEM 解决方案具有专用控制台,可协助引导式调查,它们还提供有用的集成,例如与 MITRE ATT&CK® 框架的集成,以进行主动威胁搜寻活动。

事件管理和响应

SIEM解决方案收集所有检测到的事件,并在仪表板上显示时间轴和关键数据点,以便管理员可以从单个控制台监视、构建有关事件的证据、分类和解决事件。将预定义的工作流与警报关联起来,以自动执行事件响应,工作流包括关闭系统、终止进程和禁用用户等操作。这些可以按顺序构建,以便立即响应攻击并减少其影响。

SIEM 解决方案安全用例

  • APTs:SIEM 工具通过将安全事件与威胁源数据相关联,与 MITRE ATT&CK 框架集成以识别攻击的不同阶段,并实现快速事件响应以防止威胁进展,来检测和缓解复杂的攻击(如 APT)。
  • 内部威胁 :SIEM 解决方案可监视用户活动、建立行为基线并分配动态风险评分以识别内部威胁,从而保护敏感数据和关键资产免遭滥用或未经授权的访问。
  • 恶意软件检测 :SIEM 解决方案分析网络流量和系统日志,以识别恶意软件感染的指标,使组织能够在恶意软件造成重大损害之前检测和隔离恶意软件。
  • DLP :SIEM 解决方案监视数据访问和移动,识别潜在的数据外泄尝试,并触发警报或自动响应,以防止未经授权泄露敏感信息。
  • 零日漏洞利用 :SIEM 工具通过分析网络行为、识别指示新攻击媒介的异常模式,以及通过将恶意源与全局阻止列表中的恶意源进行比较来检测与网络交互的恶意源,从而帮助应对零日攻击。

SIEM 解决方案有哪些优势

  • 遵守和管理:将各种合规性法规的要求与安全操作对应起来,并为各种法规要求提供可审计的合规性报告模板和合规性违规警报。
  • 更快、更高效的安全运营:发现安全威胁并确定解决的优先级,自动响应已知威胁,并改进 MTTR。
  • 优化网络运营:持续监控所有网络活动并存储日志数据,以便进行根本原因分析和故障排除。
  • 网络弹性:通过日志取证和影响分析,在发生违规或安全事件后恢复业务,并立即生成事件报告,以避免合规性处罚。
  • 安全编排:与网络中的其他 IT 解决方案集成并集中管理安全。

Log360 统一SIEM 解决方案,具有集成的 DLP 和 CASB 功能,可检测、优先处理、调查和响应安全威胁。它结合了威胁情报、基于 ML 的异常检测和基于规则的攻击检测来识别复杂的攻击,并提供事件管理控制台来有效修复检测到的威胁。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1801127.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【百万字详解Redis】主从复制

文章目录 一、主从复制概述1.1、单机问题1.1.1、机器宕机1.1.2、容器瓶颈1.1.3、QPS瓶颈 1.2、什么是主从复制1.3、主从复制形式1.3.1、一主一从1.3.2、一主多从 1.4、主从复制作用 二、单机主从2.1、复制redis.conf2.2、配置主机2.3、配置从机2.4、启动服务2.5、读写分离 三、…

[工具探索]富士mini90拍立得使用指南

文章目录 1. 基本功能介绍1.1 相机外观1.2 电池与胶片 2. 设置相机2.1 装入电池2.2 装入胶片 3. 拍摄模式3.1 标准模式3.2 儿童模式3.3 远景模式3.4 双重曝光模式3.5 Bulb(B)模式3.6 **派对模式**3.7 微距模式3.8 **亮度模式**3.9 **定时拍摄模式**3.10 …

php探针代码怎么写

创建php文件并输入代码,访问文件查看php版本、环境和系统配置信息,可使用ini_set()函数定制输出,但注意在生产环境中使用时要注重安全,因为它会泄露敏感信息。 PHP探针代码撰写指南 PHP探针代码是一种脚本,可提供关于…

基于Java Mq的数据交换平台实现_设计消息的格式和内容

基于Java Mq的数据交换平台实现 目录概述需求: 设计思路实现思路分析 参考资料和推荐阅读 Survive by day and develop by night. talk for import biz , show your perfect code,full busy,skip hardness,make a better result,wait for change,challen…

FileZilla:不安全的服务器,不支持 FTP over TLS 原因与解决方法

今天在用FileZilla Client连接某个主机的FTP的时候,主机地址、账号、密码、端口确定百分之百正确的情况下,结果报错如下: 状态: 正在解析 x.x.x 的地址 状态: 正在连接 x.x.x.x:21... 状态: 连接建立,等待欢迎消息... 状态: 不安全…

6.6SSH的运用

ssh远程管理 ssh是一种安全通道协议,用来实现字符界面的远程登录。远程复制,远程文本传输。 ssh对通信双方的数据进行了加密 用户名和密码登录 密钥对认证方式(可以实现免密登录) ssh 22 网络层 传输层 数据传输的过程中是加密的 …

Java Web学习笔记19——Ajax介绍

Ajax: 概念:Asynchronous JavaScript And XML 异步的JavaScript和XML。 作用: 1)数据交换:通过Ajax可以给服务器发送请求,并获得服务器的响应数据。 2)异步交互:可以在不重新加载页面的情况…

【NetTopologySuite类库】生成凸包

介绍 计算几何体的凸包。凸包是最小的凸几何体,包含输入几何体中的所有点。使用Graham Scan算法。 API地址: https://nettopologysuite.github.io/NetTopologySuite/api/NetTopologySuite.Algorithm.ConvexHull.html 示意图 示例代码 需在NuGet中安装…

nomachine使用记录以及录包

录包命令: rosbag record 话题名字(可以是原相机话题和执行程序的话题)rosbag play 包名(可以离线播放包的数据) rqt_image_view 话题可视化

新买的移动硬盘无法识别

文章目录 背景解决方案 背景 同事新买的移动硬盘,插在电脑上识别不出来盘符,检查了一下,硬盘没问题应该,是ssk的硬盘盒M.2的SSD,硬盘驱动也是正常的,插拔了几次,都不识别,换了太电脑…

未见过类型题每周总结(个人向)

1.DP40 小红取数 题目 解析 一道01背包的衍生问题,我们可以按照它的思路定义数组dp[i][j],表示前i个数中%k为j的最大和。为什么设置未%k的最大和呢?是因为当两个数分别%k,如a%kx,b%ky。那么(ab)%k&#…

FENDI CLUB精酿啤酒品鉴体验

当提及“品质卓越,口感非凡”的啤酒时,FENDI CLUB精酿啤酒无疑是一个值得一试的选择。这款啤酒以其独特的酿造工艺和优质的原料,为消费者带来了与众不同的味觉享受。 一、独特的酿造工艺 FENDI CLUB精酿啤酒在酿造过程中,严格遵循…

关于 spring boot 的 目录详解 和 配置文件 以及 日志

目录 配置文件 spring boot 的配置文件有两种格式,分别是 properties 和 yml(yaml)。这两种格式的配置文件是可以同时存在的,此时会以 properties 的文件为主,但一般都是使用同一种格式的。 格式 properties 语法格…

使用 Django 创建 App

文章目录 步骤 1:创建 Django 项目步骤 2:创建 App步骤 3:配置 App步骤 4:编写代码步骤 5:运行服务器 在 Django 中,App 是组织代码的基本单元,它可以包含模型、视图、模板等组件,帮…

Hadoop的Windows环境准备

一、将Hadoop传输到Windows中 1、备份副本 cp -r /opt/softs/hadoop3.1.3/ /opt/softs/hadoop3.1.3_temp 2、删除备份的share目录 cd /opt/softs/hadoop3.1.3_temp rm -rf share/ 3、下载到Windows中 重命名去掉_temp 4、删除备份文件 rm -rf /opt/softs/hadoop3.1.3_t…

Redis到底支不支持事务?

文章目录 一、概述二、使用1、正常执行:2、主动放弃事务3、全部回滚:4、部分支持事务:5、WATCH: 三、事务三阶段四、小结 redis是支持事务的,但是它与传统的关系型数据库中的事务是有所不同的 一、概述 概念: 可以一次执行多个命令,本质是一…

如何提高网站排名?

提高网站排名是一个复杂的过程,涉及到多个方面的优化,包括但不限于内容质量、网站结构、用户体验、外部链接建设等,GSR这个系统,它是一种快速提升关键词排名的方案,不过它有个前提,就是你的站点在目标关键词…

自制植物大战僵尸:HTML5与JavaScript实现的简单游戏

引言 在本文中,我们将一起探索如何使用HTML5和JavaScript来创建一个简单的植物大战僵尸游戏。这不仅是一项有趣的编程挑战,也是学习游戏开发基础的绝佳机会。 什么是植物大战僵尸? 植物大战僵尸是一款流行的策略塔防游戏,玩家需…

C# MemoryCache 缓存应用

摘要 缓存是一种非常常见的性能优化技术,在开发过程中经常会用到。.NET提供了内置的内存缓存类 MemoryCache,它可以很方便地存储数据并在后续的请求中快速读取,从而提高应用程序的响应速度。 正文 通过使用 Microsoft.Extensions.Caching.Me…

Sql-labs的第一关

前言 我们在使用Sql-libs靶场进行Sql注入实验的时候,前提要求我们对mysql数据库结构要有一个大概的了解,因为mysql5.0以上的版本都会自带一个名为information_schema的数据库,这个数据库下面会有columns和tables两个表。 tables这个表的table…