什么是 SIEM?
安全信息和事件管理 ( SIEM ) 解决方案最初是一种集中式日志聚合解决方案。SIEM 解决方案会从整个组织网络中的系统收集日志数据,使组织能够从单一集中位置监控其网络。
随着时间的推移,SIEM解决方案已发展成为一个完整的威胁管理平台。除了收集日志信息外,SIEM 还会对其进行数据分析和机器学习,以提取可操作的警报数据。然后,这些警报将按优先级排序并呈现给分析师,使他们能够迅速采取行动进一步调查和补救。
SIEM 提供哪些功能?
SIEM 解决方案充当日志和威胁管理解决方案。为了使 SIEM 能够发挥作用,它需要提供以下功能:
日志聚合和管理: SIEM应收集整个组织系统的日志数据。这是 SIEM 运营的基础,并为识别和应对网络安全事件提供重要的背景数据。
事件关联:大多数事件单独来看,可能会被视为误报或合法操作。SIEM 解决方案将多个相关事件关联起来,从而可以根据这些汇总数据识别网络攻击。
数据分析和机器学习:识别网络安全事件需要能够检测趋势和偏离常态的情况。在收集整个企业的日志数据后,SIEM 将应用数据分析和机器学习算法将原始数据转换为可用的情报。
集中配置和管理: SIEM 解决方案为安全团队提供单一的用户界面。这使安全管理更加高效,并能够更快速、有效地检测和响应事件。
威胁分类和分类:网络安全解决方案将根据各自的观点生成警报和日志。SIEM 解决方案会汇总这些数据并对警报进行分类和优先级排序,使安全团队能够首先关注最有可能和影响最大的威胁。
选择 SIEM 工具
SIEM 解决方案是组织安全架构中最重要的组件之一。评估 SIEM 解决方案时,重要的是根据以下标准进行考虑:
功能: SIEM 平台应是一体化日志和威胁管理平台。如果 SIEM 解决方案缺乏上述功能,则无法充分支持组织的网络安全计划。
成本: SIEM 解决方案的成本差异很大,并且可能有不同的许可选项(例如独立硬件与基于服务的模型)。正确的解决方案取决于组织的预算和独特需求。
可用性: SIEM 平台是安全团队用来管理组织网络安全的工具。因此,用户友好性是 SIEM 解决方案的重要组成部分。
可扩展性:不同的 SIEM 适用于不同的组织。大型企业应使用专为其用途而设计的解决方案,而不是专为中小型企业设计的解决方案。
集成: SIEM 解决方案旨在与组织的整个安全部署集成。SIEM 可以连接的现成解决方案越多,配置和部署 SIEM 解决方案就越容易。
托管 SIEM 有哪些好处?
SIEM 解决方案是组织网络安全基础设施的重要组成部分。然而,对于组织而言,在内部充分利用 SIEM 可能非常复杂且成本高昂。
管理 SIEM
托管 SIEM 服务提供了一种替代方案,即组织与第三方提供商合作提供托管 SIEM 服务。这种合作关系具有许多优势,例如:
扩大安全团队:当前的网络安全技能缺口意味着许多组织缺乏为其安全团队配备完整人员的能力。这意味着组织可能没有从其 SIEM 解决方案中获取最大价值所需的人员。托管 SIEM 为组织提供了有效保护其网络和系统所需的技术人员。
全天候监控:网络攻击不仅发生在工作时间,全天候网络监控对于防范网络威胁至关重要。托管 SIEM 提供商将拥有全天候安全运营中心(SOC),使其能够为组织的网络提供持续保护。
专业知识:与任何工具一样,SIEM 解决方案也存在学习曲线,分析师可能需要一些时间才能有效使用该工具。托管 SIEM 提供商将配备对其 SIEM 解决方案非常熟悉的网络安全专业人员,使其能够为客户提供最大的价值和保护。
外包配置和维护:部署、配置和维护 SIEM 解决方案可能非常耗时,并且需要专门的网络安全知识和专业知识。托管 SIEM 提供商将接管这些职责,并由专家执行。
降低总拥有成本 (TCO): SIEM 解决方案在硬件/软件、许可证等方面可能产生大量成本。托管 SIEM 提供商可以利用其 SIEM 解决方案中的多租户功能将这些成本分摊到整个客户群。这使组织能够以内部解决方案成本的一小部分实现相同级别的保护。
快速部署: SIEM 需要与组织的整个安全基础设施集成,这可能非常复杂且耗时。托管 SIEM 提供商将拥有一个入职流程,使其 SIEM 能够比内部解决方案更快地集成并保护组织。