最近对SIEM平台很感兴趣,在b站上看了日志易安全产品总监对SIEM平台的讲解,进行一点小小的总结:
1.多源数据收集
- 收集来自各种安全设备和系统的日志数据,包括WAF(Web应用防火墙)、IPS/IDS(入侵防御/检测系统)、防火墙、流量检测系统等网络层设备,以及Windows、Linux等操作系统层面的系统日志。
2.数据解析与清洗
- 对收集到的原始数据进行解析,去除冗余和噪声,确保数据的准确性和有效性。
- 在此过程中,可以补充资产信息,如IP地址、域名、服务端口等,为后续的安全分析提供更多判断依据。
3.威胁检测分析
- 将解析后的数据送入分析搜索引擎,利用内置的威胁模型进行分析。
- 结合资产信息和情报管理,实现更加精确的威胁检测和告警。
- 分析结果可用于识别潜在的安全漏洞和攻击行为,并触发自动响应机制,如封锁特定IP或用户账号等。
4.调查分析与人工干预
- 对于无法自动处理的复杂威胁或漏洞,进行深入的调查分析。
- 如关联分析其他告警信息,下钻分析原始日志(包括网络维度和端点维度),绘制溯源图谱,以追踪攻击源头或攻击点等。
- 结合漏洞管理功能,评估被攻击目标的脆弱性,确定威胁的优先级。
5.响应处置与闭环管理
- 根据分析结果和威胁评估,采取相应的响应措施,如隔离受感染系统、恢复受损数据等。
- 形成从数据收集、分析、调查到响应处置的完整闭环,确保安全事件得到妥善处理。
6.漏洞管理与加固
- 对漏洞扫描结果进行管理,跟踪漏洞的修复进度和效果。
- 将漏洞管理纳入SIEM系统的整体流程中,实现漏洞发现、评估、修复和验证的闭环管理。
讲解链接:【日志易安全产品总监讲解SIEM安全大数据分析平台】 https://www.bilibili.com/video/BV1bQ4y1k7dY/?share_source=copy_web&vd_source=02f491aae8cb6801c9d701ce979ab84c