一、SIEM包括两部分内容:
安全信息管理(SIM): SIM涉及所有网络活动的收集。这包括从服务器、防火墙、域控制器、路由器、数据库和网络流收集的日志数据,以及网络中的非结构化数据,如电子邮件。可以使用两种技术收集日志数据,即无代理收集和基于代理的收集。
基于代理的日志收集:这种方法要求在每台设备上部署一个代理。代理收集日志,然后在将日志返回到SIEM服务器之前对其进行分析和过滤。这种技术主要用于封闭且安全的网络,例如通信受限的非军事化区(DMZ)。
无代理日志收集:这是一种更常用的方法,SIEM服务器使用安全通信通道(如使用安全协议的特定端口)自动收集设备生成的日志。
安全事件管理(SIEM): SIEM是指对收集的数据进行分析。使用各种技术分析数据,发送告警,和/或针对任何异常行为启动工作流。
分析过程包括:
1. 日志关联:分析所有收集的数据,并将日志相互关联,以检测任何攻击模式。日志数据还可以与威胁源相关联,以检测妥协指标(IOC)。
2. 威胁情报:上下文威胁信息用于检测网络中发生的任何入侵、横向移动或数据泄露。
3. 基于机器学习的用户行为分析:机器学习算法和分析工具可以形成用户行为模式的基线。如果行为出现偏差,SIEM解决方案将检测到异常,发出警报,及时对安全威胁进行防范。
通过上述技术获得的数据会以条形图或饼图的形式呈现,这使得IT安全管理员可以更快、更容易地做出决策。
二、让我们一起看一下SIEM针对暴力破解的经典应用场景:
一分钟内输入五次不正确的网络访问密码。这被认为是低优先级攻击,因为用户可能多次输入了错误的密码。
现在想想一分钟内如果输入240次错误密码的情况。那这极有可能是一种暴力攻击,黑客正试图破解您的账号。
三、让我们再看看SIEM是如何触发告警的:
一分钟内输入错误密码n次将显示:登录失败,事件ID 4625
在n次失败尝试后输入正确的密码将显示:登录成功,事件ID 4624
发出告警:网络中可能存在暴力攻击。
SIEM软件可以检测这种暴力攻击,通知IT安全管理员,并自动启动工作流来锁定帐户并隔离发生事件的计算机。
EventLog Analyzer是一款日志管理和分析工具,可以实现快速、简便地检测网络威胁。这款SIEM解决方案可以识别任何IT资源生成的日志并进行可视化分析。可以轻松扩展至任何IT网络环境,抵御任何来自内部或外部的威胁。想要了解更多,请下载30天免费体验版本!
**
- 软件源自匠心,IT改变世界。 用科技让工作与生活更轻松美好。
**
734
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
