新钛云服已为您服务1443天
SIEM技术已经存在并被使用了25年以上,起初只是在海外和国内部分头部企业使用,用以解决数据孤岛、安全事件分析、运维管等问题。鉴于技术原因起初的它并不好伺候,甚至是花钱买罪受。但随着技术的不断发展和实际需求,它又再次回归我们的视线。本文将带您了解SIEM并提供SIEM建设的一些建议。
内容提要
· SIEM定义
· SIEM技术成熟度
· SIEM投入产出
· SIEM架构
· SIEM关键技术指标
· SIEM建设建议
SIEM定义
Security information and event management (SIEM) 安全信息和事件管理,通过多个维度的日志收集和场景分析,实现实时和历史事件的分析,旨在帮忙企业提升事前预测、事中检测和事后调查取证的能力,同时配合企业内部工作流程做到信息安全事件的闭环落地,以提高信息安全防御水平,提升信息安全管理能力。
SIEM技术成熟度
在Gartner发布的2021安全运营技术成熟度曲线中(如下图),对主流的安全运营技术进行了分析,其中SIEM已步入稳步发展并趋进成熟的阶段,这个分析也正符合市场的现状,很多企业在安全运营中已把SIEM(或者叫做态势感知)作为主要实现平台。
知识点补充:
技术成熟度曲线中指出技术的发展需要经历:萌芽期、膨胀期、低谷期、恢复期、成熟期(对应上图横轴的5个阶段)。在判断时先看报告的出具年份①,其次查看您关注的技术成熟度②,根据标注的淡蓝色③来看还有多少年到达成熟期。以SIEM为例就是2021+2~5年,在2023-2026年是SIEM技术彻底成熟的时候。
SIEM价值体现
1
外部驱动
不管是国家一把手在重要精神讲话中提到态势感知,还是等保2.0中的“一个安全管理中心+三重防护”的要求,都可以与SIEM进行契合。
2
内部驱动
以SIEM为抓手,帮助企业内部各层面人员开展安全运营工作。
领导层:
可纵览安全现状和决策:这里特指CIO这个层面,他们普遍对于业务非常熟悉,也懂部分技术。他们的职责是规划信息化建设,搭建IT团队,向上层汇报获得老板的支持,为企业降本增效和体现个人价值。那一个运营良好的SIEM可以帮助CIO判断现有安全现状,如安全态势展现、攻击可溯源、工作量可视化。
运维层:
可集中管理和舒心运维:运维人员考虑的是确保各服务安全稳定的运行,及时发现可以安全事件。他们的点在于保障业务对老板有交代,同时在运维中尽可能的便捷和自动化。通过SIEM可以解决分散日志的管理、解决各安全产品多控制台界面查询、解决设备间联动、告警事件工单流转、并可依托此平台进行攻防演练,提升自身应急响应能力。
业务层安全:
业务更多的关注系统的可用性,以及业务数据分析挖掘给他们带来创收机会。SIEM通过收集业务埋点数据采集,分析业务关注的指标点,并结合场景给到一些建议和提示(不能替代风控产品)。
SIEM投入产出
如果问这个解决方案贵吗?回答是,相比其他安全产品会略贵。但是这个投入主要看怎么衡量,如果采购了只是安全团队自己在“玩儿”(产品定位主打安全可再看下定义),那只是少部分人在使用,并没有充分发挥它的价值。在实施之前因充分评估,特别是跨部门跨团队的场景协作(起初肯定应该定位在安全场景用例),用的人越多参与的需求越多,性价比就越高。