从 SIEM 到下一代 SIEM 的演变

news2024/11/24 11:29:41

在此文中,我们详细介绍了下一代 SIEM 的演变。传统的 SIEM 主要用于提高网络可见性和网络安全性,同时支持合规性。它们跨应用程序、网络和系统摄取、收集和存储日志数据。

SIEM 使捕获和搜索数据变得更加容易,这些数据有助于组织进行审计、取证和事件响应。

因为它充当可以提供整个企业可见性的中央数据存储库,所以它经常被安全运营中心 (SOC) 用作识别和调查指示活动威胁和攻击活动的事件的主要控制台。

SIEM 中的“S”已经成熟了好几年。

传统和第二代 SIEM 的局限性

早期版本的 SIEM 具有平庸的搜索功能,这使得检索随时间推移收集的数据变得非常困难。管理员能够执行简单的关联,使他们能够根据时间和/或 IP 地址将相关数据分组在一起。

虽然这很有帮助,但第二代 SIEM 显着改善了可搜索性问题,但还没有真正的安全分析。有些人试图添加这些技术。

但是,从根本上说,这些平台是为本地日志收集而设计的。添加新的分析功能,如网络流量分析、网络检测和响应 (NDR) 或用户实体行为分析 (UEBA) 几乎是不可能的,因此这些技术是“附加”的,而不是真正集成的。

云也是如此。如今向混合云、去中心化云和多云环境的转变需要对 SIEM 进行全面的重新架构。

传统和第二代 SIEM 平台无法充分投资重建全新产品。所以他们尝试“MacGyver”它在云端工作。但是,如果不手动关联多个安装,大多数都无法处理所需的数量和/或提供完整的可见性。较新的云原生产品缺乏传统 SIEM 的功能。

这导致事件、误报和 SOC 分析师在确定威胁是否真实、活动是否正在进行或如何及时准确地做出响应时遇到的大量事件急剧增加。在威胁检测、调查和响应方面,传统的 SIEM 表现不佳。

为什么下一代 SIEM 优于传统 SIEM?

真正的下一代 SIEM 被设计为云原生 SaaS 平台,可在分散的、混合的、多云环境中可靠地工作。

它可以接受更广泛的遥测,包括应用程序、网络端点和云以及威胁情报。

它提供了一套统一的分析、训练有素的机器学习 (ML) 和人工智能 (AI) 以进行准确检测;收集与攻击相关的上下文以确定攻击活动的优先级并验证攻击活动(调查);并且具有动态响应能力,可实现更快、更精确的补救。

以下要求概述了下一代 SIEM 应提供的功能以满足当今现代基础设施的需求:

  • 云原生、混合和多云部署

  • 从所有可用来源收集和管理数据

  • 大数据架构

  • 完全可观察性

  • 主动线程检测和修复

  • 自动线程修复

  • 合规性(仅举几例,例如 GDPR)

支持云原生、混合和多云部署

下一代 SIEM 必须专门构建以在各种公共和私有云环境中运行,其中包括 AWS、Microsoft Azure、GCP 等。

这包括跨地理分散的云(也称为“联合搜索”)无缝管理和支持数据需求的能力。对于混合环境也必须如此,因为大多数企业仍将在云端和本地维护数据。

支持多云环境不仅仅是从云端收集数据。SIEM 必须支持正确收集数据并跨多个云应用高级威胁分析的能力,以识别隐藏在公共云环境中的威胁。

提高完整的可观察性

由于其基础架构和基于数据的许可模型,许多 SIEMS 难以在整个企业范围内大规模摄取和整合数据。然而,能够从其他安全解决方案、应用程序、端点、网络数据包信息等向 SIEM 发送数据以获得环境的整体视图至关重要。

此外,大多数 SIEM 和 XDR 解决方案都是基于规则的 ML/AI 引擎。真正的下一代 SIEM 使用训练有素的机器学习,它提供比基于规则的 ML/AI 更好的结果,因为它吸收更广泛的数据源而不是固定的数据集。

这允许 ML/AI 支持的任何分析在生命周期的更早阶段查明攻击,而不是等待规则触发。此外,经过训练的机器学习检测模型可以更有效地发现新的攻击和变体,这些攻击和变体可以轻松逃避基于规则的系统。

支持大数据架构

由于 SIEM 是 SOC 的“真实来源”,因此它可以完美地提供有关整个组织中几乎所有 IT 系统中的用户、应用程序、网络、设备和事件的上下文。传统的 SIEM 无法很好地处理大规模数据,并且还会产生高百分比的误报,尤其是当企业迁移到云端时,因为它生成的事件比本地解决方案多得多。

相反,下一代 SIEM 应该扩展以处理更多的数据源、增加的数据量、搜索与安全相关的数据集的能力以及持续的监控和分析。这些功能以及第三方威胁情报源的结合,增强了检测更复杂攻击的能力。

通过自动化提高更好的威胁检测

下一代 SIEM 提供一组可以链接在一起的统一分析,通常称为模型链接,具有分析链的能力。模型链分析通过警报的交叉验证消除了确定威胁时的歧义。

例如:您看到危险行为的早期警告与不寻常的横向移动相结合。然后,还有潜在的指挥和控制 (C2) 通信,以及地理位置问题。此数据与上下文统一以建立真正的威胁。

使用传统的 SIEM,安全团队可能需要几天或几周的时间来收集所有必要的上下文并手动验证作为攻击活动一部分的各种事件。为了让安全团队真正做出响应并防止违规行为。

促进优先调查

大多数 SIEM 和安全分析平台只是将攻击阶段关联起来,从而增加风险级别。它们为每个攻击阶段或用于触发事件的任何数据源提供妥协指标,但由分析师确定包含的警报集是否与攻击相关。

下一代 SIEM 必须能够跨任何数据源提供统一的数据集。结合广泛的分析,它可以提供必要的上下文,从而减轻安全团队执行调查和确认攻击活动有效性所需的大量手动工作。

如前所述,将分析模型链接在一起、交叉验证攻击活动并将这些结果提交到企业风险引擎的能力对于确定攻击的优先级至关重要。相反,大多数 SIEM 只是依赖汇总的第三方风险评分,而不是生成与组织特别相关的动态风险评分。

启用动态威胁修复

对于大多数 SIEM 和相关的SOAR,响应手册中缺乏上下文和精度。通常,他们只提供指导。IT 团队必须协作以提出适合组织的正确纠正措施,这会减慢响应时间。

下一代 SIEM 必须通过正确的遥测集收集一整套“相关”上下文,以提供有关攻击的准确详细信息,从而采取一套精确的行动来阻止违规行为。重要的是要摆脱静态剧本以生成动态响应,而不是自定义静态响应操作,这会减慢修复速度。

此外,下一代 SIEM 必须能够确定各个操作的优先级,以最大程度地减少业务中断并为有针对性的响应提供步骤。根据风险确定行动的优先级,使安全团队能够采取必要的步骤来阻止或限制攻击,而不是等待一次采取所有行动。

支持合规性

下一代 SIEM 必须支持和改进传统 SIEM 最常见的用例,法规遵从性。这是通过支持整个业务基础架构的集中合规性审计和报告实现的。

下一代 SIEM 应该内置对常见合规性要求和标准的支持和报告,例如健康保险流通与责任法案 (HIPAA)、支付卡行业数据安全标准 (PCI DSS) 和萨班斯-奥克斯利法案 ( SOX)、NIST、GDPR、MITRE 攻击框架等。

真正的下一代 SIEM 改进了安全操作的每个阶段。它旨在解决与可观察性、合规性和审计相关的所有用例。

它还可以加速准确的威胁检测、调查和响应。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/552891.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

详解RGB和XYZ色彩空间转换之下

前言 首先需要指明本文中描述的R,G,B并非通常的sRGB中的三个分量R,G,B,而是波长分别为700nm,546.1nm,435.8nm的单色红光,单色绿光,单色蓝光。sRGB中的RGB中的红色、绿色、蓝色已经不是单色光了。虽然习惯上大家都叫RGB…

Docker数据目录迁移方法

文章目录 前言一、停掉Docker服务?二、迁移docker数据到数据盘目三、备份原数据目录四、添加软链接五、重启docker服务六、确认服务没有问题后,删除备份的目录总结 前言 服务器上安装的docker服务,数据默认存储在/var/lib/docker目录&#x…

html5网页播放器视频切换、倍速切换、视频预览的代码实例

本文将对视频播放相关的功能进行说明,包括初始化播放器、播放器尺寸设置、视频切换、倍速切换、视频预览、自定义视频播放的开始/结束时间、禁止拖拽进度、播放器皮肤、控件按钮以及播放控制等。 图 / html5视频播放器调用效果(倍速切换) 初始…

网络知识点之-动态路由

动态路由是指路由器能够自动地建立自己的路由表,并且能够根据实际情况的变化适时地进行调整。 中文名:动态路由外文名:dynamic routing 简述 动态路由是与静态路由相对的一个概念,指路由器能够根据路由器之间的交换的特定路由信息…

usb摄像头驱动-core层USB集线器(Hub)驱动

usb摄像头驱动-core层USB集线器(Hub)驱动 文章目录 usb摄像头驱动-core层USB集线器(Hub)驱动usb_hub_inithub_probehub_eventport_eventhub_port_connect_changehub_port_connectusb_new_deviceannounce_device 在USB摄像头驱动中…

20.04Ubuntu换源:提升软件下载速度和更新效率

在使用Ubuntu操作系统时,一个常见的优化措施是更改软件源,以提高软件下载速度和更新效率。软件源是指存储软件包的服务器,通过更换软件源,你可以选择更靠近你所在地区的服务器,从而加快软件下载速度,并减少…

Android Compose Bloom 项目实战 (五) : 使用Navigation实现页面跳转

1. 前言 上几篇文章 我们分别实现了 Compose Bloom项目的各个页面,包括欢迎页、登录页和主页,但是各个页面都是单独独立的,并没有关联页面跳转,而本篇文章的任务就是实现各个页面见的跳转。 2. Navigation 要实现页面跳转&#…

Jetpack Compose动画实现原理详解

一、简介 Jetpack Compose是Google推出的用于构建原生界面的新Android 工具包,它可简化并加快 Android上的界面开发。Jetpack Compose是一个声明式的UI框架,随着该框架的推出,标志着Android 开始全面拥抱声明式UI开发。Jetpack Compose存在很…

【数据结构】红黑树封装map和set

文章目录 1.前置知识2.结构的改写与封装2.1 map和set的结构框架2.2 RBTreeNode结构的改写2.3 RBTree结构改写(仿函数的引入) 3. 迭代器3.1 RBTree的迭代器3.2 map和set的迭代器封装 4. 插入的改写和operatorp[]的重载4.1 insert的改写4.2 map::operator[…

【2023 · CANN训练营第一季】进阶班 应用开发深入讲解→DVPP

1 数据预处理概述 1.1 典型使用场景 受网络结构和训练方式等因素的影响,绝大多数神经网络模型对输入数据都有格式上的限制。在计算视觉领域,这个限制大多体现在图像的尺寸、色域、归一化参数等。如果源图或视频的尺寸、格式等与网络模型的要求不—致时…

pytest-编写插件

pytest 0 、文档1、钩子函数分类1.4 测试运行钩子 2、本地编写插件:conftest.py3、外部插件:setuptools4、实战 0 、文档 官方文档 中文文档 1、钩子函数分类 pytest中的钩子函数按功能一共分为6类:引导钩子,初始化钩子、用例收…

rtl仿真器-incisive安装和测试

需要的文件 安装文件 incisive : http://pan.baidu.com/s/1dFC9KZn 提取码 k3cb path: license: IScape: 安装的图形界面 IScape下载链接: https://pan.baidu.com/s/1FvpOto5fAIRjQARcbMbjZQ 密码: k1cb 目录结构 需要四个目录 安装目录:INCISIVE151 path 存放解密工具 l…

强化学习路线规划之深度强化学习

学到如今,我实在明白了一个至关重要的东西,那就是目标很重要,有了清晰的目标我们就知道该做什么,不至于迷茫,否则每天都在寻找道路。所以我一直在规划这样一条道路,让想学习的人可以抛下不知道该怎么做的顾…

在Notion AI 中轻松打造您的AI私人助理,提供卓越的工作体验(二)

大家好,我是瓜叔。 notion AI在工作和生活场景中的应用 我们先来看"总结"功能。 这边有一篇文章叫做学习编码的好处。导入到nation https://www.likecs.com/show-203992587.html 导入方法详见上一篇文章:在Notion AI 中轻松打造您的AI私人助理…

VMware快照:简化虚拟化环境管理与数据保护

引言: 在虚拟化环境中,数据保护和灵活性是至关重要的。VMware快照作为一项强大的功能,为虚拟机管理者提供了便利和安全性。本文将介绍VMware快照的使用,以及它为用户带来的几个关键优势。 VMware快照是一项重要的功能&#xff0c…

Threejs进阶之十五:在Thereejs 使用自定义shader

目录 最终效果什么是 ShaderShaderMaterial类常用属性uniforms属性vertexShader属性fragmentShader属性 代码实现新建ShaderView.vue文件并引入Threejs定义初始化函数创建initMesh函数实例化ShaderMaterial类实例化TextureLoader()定义uniforms 全局变量定义vertexShader顶点着…

ad18学习笔记二:绘图工具栏、活动栏

在画原理图库的时候会经常用到顶上的绘图工具栏(官方文档里叫做活动栏): 版本不同,上面的命令是不同的 ad如何自定义绘图工具栏? 网上介绍工具栏和设置的文章还挺多的,但是没有看到ad18是怎么增减绘图工具…

LeetCode高频算法刷题记录7

文章目录 1. 下一个排列【中等】1.1 题目描述1.2 解题思路1.3 代码实现 2. 两数相加【中等】2.1 题目描述2.2 解题思路2.3 代码实现 3. 括号生成【中等】3.1 题目描述3.2 解题思路3.3 代码实现 4. 滑动窗口最大值【困难】4.1 题目描述4.2 解题思路4.3 代码实现 5. 最小覆盖子串…

c++boost库学习-07-Message Queue

一、前言 boost中的消息队列(Message Queue)是进程间通信的一种机制,实际上是其内部也是采用共享内存的方式来达到进程间通信的目的。这也就意味这Message Queue有其局限性:只有处在同一台计算机中的不同进程才能使用消息队列进行…

在原有机械硬盘的基础上集装固态硬盘并装操作系统

1、加装固态硬盘 我的电脑出场自带的是机械硬盘(即右边那个白色长方形,上面有类似于锡纸一样的东西),左边的这个光滑的正方形里面是内存条,可以拆开这个光滑的盖进行安装,而我们的固态硬盘装在左下角这个长…