SIEM 体系结构的组件

安全信息和事件管理（SIEM）软件可帮助 IT 安全专业人员保护其企业网络免受网络攻击，SIEM 解决方案从组织中的所有基础结构组件收集日志数据，为安全专业人员提供实时数据和对网络活动的见解。

网络的内部视图可以帮助您识别和预防威胁，并执行自动化程序，作为事件响应计划的一部分。这可以提高安全运营中心（SOC）的效率、性能和响应时间，并有助于满足各种合规性要求。对良好的 SIEM 解决方案进行投资可以避免组织未来可能面临的财务和法律责任。

为什么选择 SIEM

企业必须不断保护自己免受每天面临的越来越多的网络攻击。安全信息和事件管理（SIEM）是各种企业广泛采用的安全系统，用于保护其网络免受这些网络攻击。

• SIEM 解决方案将帮助安全专业人员有效地管理来自网络中所有设备的日志。
• SIEM 解决方案还将能够搜寻网络中的行为异常，进行调查，并将整个网络中看似随机的事件关联起来，以提醒 SOC 可能发生的安全事件。
• SIEM 解决方案可以检测任何异常网络活动并提醒 SOC 团队，安全管理员还可以对 SIEM 解决方案进行编程，以在检测到威胁时执行某些缓解过程，这有助于减少响应时间，也可以控制损坏。

SIEM 体系结构的组件

SIEM 解决方案由各种组件组成，这些组件通过持续监控和分析网络设备和事件来帮助安全团队检测数据泄露和恶意活动。以下介绍了 SIEM 体系结构中的不同组件：

• 数据聚合
• 安全数据分析（报告和仪表板）
• 关联和安全事件监控
• 取证分析
• 事件检测
• 事件响应
• 实时事件响应或告警控制台
• 威胁情报
• 用户和实体行为分析（UEBA）
• IT 合规管理

数据聚合

SIEM 解决方案的此组件负责收集由企业网络中的多个源（如服务器、数据库、应用程序、防火墙、路由器、云系统等）生成的日志数据，这些日志包括特定设备或应用程序中发生的所有事件的记录，这些日志被收集并存储在集中位置或数据存储中。

各种 SIEM 日志收集技术包括：

• 基于代理的日志收集：
  在此技术中，在生成日志的每个网络设备上都安装了一个代理。这些代理负责从设备收集日志并将其转发到中央 SIEM 服务器。除了这些职责之外，他们还可以根据预定义的参数在设备级别过滤日志数据，对其进行解析，并在转发前将其转换为合适的格式。这种自定义的日志收集和转发技术有助于优化带宽的使用。
  基于代理的日志收集方法主要用于通信受限的封闭和安全区域。
• 无代理日志收集：
  此技术不涉及在任何网络设备中部署代理。相反，必须在设备中进行配置更改，以便它们可以以安全的方式将任何生成的日志发送到中央 SIEM 服务器。在交换机、路由器、防火墙等设备中，通常不支持安装第三方工具进行日志采集，因此通过Agent采集日志数据变得困难。在这种情况下，可以使用无代理日志收集技术。它还减少了网络设备上的负载，因为不需要部署额外的代理。
• 基于 API 的日志收集：
  在这种技术中，可以借助应用程序编程接口 （API） 直接从网络设备收集日志。虚拟化软件提供 API，使 SIEM 解决方案能够远程从虚拟机收集日志。此外，当公司从本地软件转向基于云的解决方案时，由于服务未连接到任何物理基础结构，因此很难将日志直接推送到 SIEM。发生这种情况时，基于云的 SIEM 解决方案利用 API 作为中介来收集和查询网络日志。

安全数据分析（报告和仪表板）

SIEM 解决方案附带一个安全分析组件，该组件主要包括实时仪表板，这些仪表板以图形和图表的形式直观地呈现安全数据。这些仪表板会自动更新，帮助安全团队快速识别恶意活动并解决安全问题。借助这些仪表板，安全分析师可以检测数据中可能存在的异常、相关性、模式和趋势，并实时获得对所发生事件的各种见解。SIEM 解决方案还为用户提供了创建和自定义自己的仪表板的选项。

此安全分析组件的另一个方面是预定义的报告。通常，SIEM 解决方案捆绑了数百个预定义报告，这些报告有助于提供对安全事件的可见性、检测威胁以及简化安全性和合规性审核。这些报告大多基于已知的入侵指标（IoC）构建，也可以进行自定义以满足内部安全需求。

大多数 SIEM 解决方案还为用户提供了筛选、搜索和向下钻取这些报表的选项，根据用户的需求设置报表生成计划，以表格和图形的形式查看数据，以及以不同格式导出报表。

关联和安全事件监控

关联引擎是 SIEM 解决方案中最重要的组件之一，使用预定义或用户定义的关联规则，收集的日志数据分析不同网络活动、公共属性或可能存在的模式之间存在的任何关系。关联引擎能够将不同的安全事件放在一起，以提供安全攻击的整体视图。它们能够在网络的早期检测到可疑活动、入侵或潜在漏洞的迹象，并且 SIEM 系统也将为这些活动生成警报。

关联规则示例：

“如果用户在短时间内多次登录尝试失败后成功登录，则触发警报。”

大多数 SIEM 解决方案都附带基于 IoC 构建的预定义关联规则，然而，随着攻击者不断使用更先进的技术来入侵系统，这些规则必须定期修改和改进，否则它们就会过时。构建关联规则需要深入了解攻击者的行为和策略。

取证分析

SIEM 解决方案的此组件用于执行根本原因分析并生成事件报告，该报告提供对攻击尝试或持续攻击的详细分析，帮助企业立即采取适当的补救措施。

尽管拥有最好的防御机制，但企业并不总是能够阻止所有网络攻击。但是，企业可以进行取证分析以重建犯罪现场并确定违规行为的根本原因。由于日志数据包含特定设备或应用程序中发生的所有事件的记录，因此可以对其进行分析以查找恶意攻击者留下的痕迹。

SIEM 系统可帮助安全团队浏览日志、生成取证报告，并发现特定安全漏洞发生的时间、遭到入侵的系统和数据、恶意活动背后的黑客以及入口点。

此组件还有助于企业满足某些合规性要求，例如长期存储和存档日志数据，以及对其执行取证调查的能力。

事件检测

SIEM 解决方案的此模块涉及检测安全事件，安全事件是指未经授权的一方试图或成功地破坏网络中的数据，或违反组织的安全策略。拒绝服务攻击、滥用数据和资源、未经授权的权限升级和网络钓鱼攻击是安全事件的一些常见示例。必须检测和分析这些事件，并采取适当的措施来解决安全问题，同时确保业务运营的连续性。在事件检测期间，组织努力将平均检测时间（MTTD）保持在尽可能低的水平，以减少攻击者造成的损害。

可以使用以下技术进行事件检测：

• 事件关联
• 威胁情报
• 用户和实体行为分析（UEBA）

事件响应

SIEM 解决方案的此模块负责在检测到安全事件时为解决安全事件而采取的补救措施。随着企业每天都面临大量的安全问题，并且攻击者采用了更复杂的技术，事件响应已成为一项具有挑战性的冒险。缩短平均解决时间 (MTTR)是每个企业的首要任务。

一些事件响应技术包括：

• 通过工作流自动执行事件响应
• 进行取证分析

实时事件响应或告警控制台

SIEM 解决方案实时执行日志收集和关联活动;如果检测到任何可疑活动，会立即发出警报，事件响应团队将立即采取行动以减轻攻击或防止其发生。

警报通知也可以通过电子邮件或短信实时发送，并且可以根据分配给它们的优先级进行分类：高、中或低。可以将工作流分配给安全事件，以便在引发警报时自动执行相应的工作流。

威胁情报

威胁情报提供识别不同类型的网络安全威胁并采取适当措施预防、解决或缓解这些威胁所需的上下文信息。通过了解攻击的来源、背后的动机、用于实施攻击的策略和方法以及妥协的迹象，组织可以更好地了解威胁、评估风险并做出明智的决策。

为了添加上下文信息，公司可以从第三方供应商处获取威胁源，也可以编译和使用以 STIX/TAXII 格式提供的开源威胁源。可以立即识别威胁类型，并启动补救措施，从而缩短 MTTR。

此组件还可帮助安全管理员执行威胁搜寻，这是一个在整个网络中主动搜索可能躲避安全系统的任何威胁或 IOC 的过程。

用户和实体行为分析（UEBA）

此组件有助于检测安全事件。随着攻击者不断开发新技术来入侵网络，传统的安全系统正在迅速过时。但是，组织可以借助机器学习技术来保护自己免受任何类型的网络威胁。

UEBA 组件采用机器学习技术，根据企业中用户和计算机的正常行为开发行为模型。通过处理从各种网络设备获取的大量数据，为每个用户和实体开发此行为模型。任何偏离此行为模型的事件都将被视为异常，并将进一步评估潜在威胁。风险评分将分配给用户或实体;风险评分越高，怀疑程度越高。根据风险评分，进行风险评估，并开展补救措施。

有人可能会问，关联引擎和 UEBA 之间有什么区别。前者是基于规则的系统，用于检测事件和威胁，而后者，顾名思义，根据行为分析发现可疑事件，企业要想有效抵御攻击，就应该同时依靠传统的基于规则的机制和现代的行为分析。

IT 合规管理

在数据保护和安全方面，通常期望公司满足各种监管机构规定的标准、法规和准则。这些监管要求因行业类型和经营地区而异。如果公司不遵守将受到处罚。

为了确保组织满足政府为保护敏感数据而制定的所有合规性要求，SIEM 解决方案包括合规性管理组件。还应采取积极措施，例如采用各种技术来识别异常、模式和网络威胁，以保护敏感数据不被泄露。

SIEM 解决方案能够存储和存档日志数据延长一段时间，以便审计员可以检查审计跟踪。他们还可以通过日志收集和分析生成合规报告，例如 HIPAA、SOX、PCI DSS、GDPR、ISO 27001，以及根据授权规定的特定要求生成的开箱即用报告。

所有这些 SIEM 组件协同工作，通过提供对不同类型威胁的见解来帮助安全团队，这些威胁模式，以及网络中可能发生的恶意活动，以及为解决任何安全问题而必须采取的必要行动方案。