什么是SIEM

SIEM 解决方案是一种企业级应用程序，可集中和自动化与网络安全相关的操作，该工具通过收集、分析和关联从组织 IT 基础设施中的各种实体聚合的网络事件来帮助应对网络威胁。

与帮助监控和评估组织物理空间中的危险的监视控制台相比，SIEM解决方案就像一个虚拟安全指挥中心，提供对企业网络的完整、实时可见性。

基于这种可见性，SIEM 解决方案通过安全分析、事件关联、基于 ML 和 AI 的异常检测以及事件响应工作流提供威胁检测、调查和响应（TDIR）功能。

SIEM 的功能概述

日志管理

• 自动日志收集
• 日志解析和规范化
• 日志存档
• 通过日志搜索提供的日志取证

安全分析

• 设备和应用程序的预定义报告存储库
• Active Directory 报表
• UEBA报告
• 趋势报告
• 特定于合规性的报告
• 仪表板
• 高级调查控制台

威胁检测

• 关联规则
• 警报条件和配置文件
• UEBA
• IOC 的威胁源集成

威胁搜寻

• 进程搜寻树
• Mitre ATT&CK 框架集成
• 高级威胁分析

威胁修复

• 事件管理控制台
• 自动响应工作流

SIEM 解决方案的工作原理是什么

网络数据聚合

SIEM 解决方案通过基于代理的方法（代理部署在网络设备、服务器和端点上）、syslog（将日志转发到中央服务器）和 API（支持与受支持的系统直接集成）收集日志。

演化：传统 SIEM 解决方案主要依赖于从有限来源收集基于日志的数据，现代 SIEM 解决方案整合了各种数据源，例如日志、数据包、流量、云服务和 API，以实现全面的威胁可见性和检测准确性。

SIEM 日志记录和数据聚合，从不同的网络实体收集的数据类型有哪些：

• 路由器：配置变更日志、接口状态日志和流日志。
• 防火墙：配置日志、连接日志、VPN 日志和代理服务器日志。
• Web服务器：应用日志和访问日志。
• 终端：系统日志、安全日志、应用日志和网络日志。
• 文件服务器：用户访问日志、系统事件日志、文件修改日志和鉴权日志。
• 云平台：API访问日志、审计日志、资源使用跟踪日志、实例发放日志、应用使用日志。

数据处理

收集到原始数据后，将对其进行处理，其中包括索引、解析和规范化，对日志进行索引以便快速检索，对日志进行解析以提取相关信息，并对日志进行规范化以确保不同格式之间的一致性。

演化：传统的 SIEM 系统采用基于规则的解析和索引，导致结构僵化， 现代 SIEM 系统利用 ML 算法（如监督学习、无监督学习和自然语言处理）进行动态分析。

储存和保留

处理后的数据存储在集中式存储库中，该存储库可以是专用数据库、数据湖或云存储解决方案，此存储库必须支持可伸缩性和高可用性，以容纳大量数据并确保数据完整性。SIEM 解决方案还可以保留必要的日志，以便进行取证分析和审计。

演化：传统的 SIEM 系统使用关系数据库进行存储，现代 SIEM 系统采用分布式存储解决方案（如 Hadoop 或 Elasticsearch）来实现可扩展性以及实时数据访问和检索。

数据可视化和报表

SIEM 解决方案的主要用例之一是数据可视化，它通过图形报告和仪表板呈现网络和安全见解，这有助于分析人员了解网络事件，观察恶意活动趋势，并确定组织的合规性状态。

演化：现代 SIEM 解决方案提供交互式、可自定义的仪表板，以实现直观的数据可视化，它们可自动执行合规报告，并提供详细的见解和实时监控，从而促进与不断发展和新推出的法规和标准保持一致。

威胁检测

SIEM 解决方案的核心功能是关联解析的数据并查找威胁模式，这是通过针对常见威胁、勒索软件攻击、可疑进程生成、攻击者工具的使用等的预定义关联规则提供的。

现代 SIEM 解决方案还使用基于 ML 的行为和统计分析来为用户和实体建立基线，以便发现偏离观察模式的真正异常情况，检测到此类异常后，SIEM 解决方案会通过电子邮件和短信发送警报。专用警报仪表板可用于配置、管理、分配和解决警报。

威胁调查

SIEM 解决方案的警报仪表板会收集所有需要调查的可疑事件，管理员可以从警报仪表板本身获取人员、内容、时间和地点的基本事件详细信息，为了进一步调查，分析人员使用日志搜索功能来构建搜索查询并深入挖掘。现代 SIEM 解决方案具有专用控制台，可协助引导式调查，它们还提供有用的集成，例如与 MITRE ATT&CK® 框架的集成，以进行主动威胁搜寻活动。

事件管理和响应

SIEM解决方案收集所有检测到的事件，并在仪表板上显示时间轴和关键数据点，以便管理员可以从单个控制台监视、构建有关事件的证据、分类和解决事件。将预定义的工作流与警报关联起来，以自动执行事件响应，工作流包括关闭系统、终止进程和禁用用户等操作。这些可以按顺序构建，以便立即响应攻击并减少其影响。

SIEM 解决方案安全用例

• APTs：SIEM 工具通过将安全事件与威胁源数据相关联，与 MITRE ATT&CK 框架集成以识别攻击的不同阶段，并实现快速事件响应以防止威胁进展，来检测和缓解复杂的攻击（如 APT）。
• 内部威胁 ：SIEM 解决方案可监视用户活动、建立行为基线并分配动态风险评分以识别内部威胁，从而保护敏感数据和关键资产免遭滥用或未经授权的访问。
• 恶意软件检测 ：SIEM 解决方案分析网络流量和系统日志，以识别恶意软件感染的指标，使组织能够在恶意软件造成重大损害之前检测和隔离恶意软件。
• DLP ：SIEM 解决方案监视数据访问和移动，识别潜在的数据外泄尝试，并触发警报或自动响应，以防止未经授权泄露敏感信息。
• 零日漏洞利用 ：SIEM 工具通过分析网络行为、识别指示新攻击媒介的异常模式，以及通过将恶意源与全局阻止列表中的恶意源进行比较来检测与网络交互的恶意源，从而帮助应对零日攻击。

SIEM 解决方案有哪些优势

• 遵守和管理：将各种合规性法规的要求与安全操作对应起来，并为各种法规要求提供可审计的合规性报告模板和合规性违规警报。
• 更快、更高效的安全运营：发现安全威胁并确定解决的优先级，自动响应已知威胁，并改进 MTTR。
• 优化网络运营：持续监控所有网络活动并存储日志数据，以便进行根本原因分析和故障排除。
• 网络弹性：通过日志取证和影响分析，在发生违规或安全事件后恢复业务，并立即生成事件报告，以避免合规性处罚。
• 安全编排：与网络中的其他 IT 解决方案集成并集中管理安全。

Log360 统一SIEM 解决方案，具有集成的 DLP 和 CASB 功能，可检测、优先处理、调查和响应安全威胁。它结合了威胁情报、基于 ML 的异常检测和基于规则的攻击检测来识别复杂的攻击，并提供事件管理控制台来有效修复检测到的威胁。