SIEM是什么

安全信息和事件管理 (SIEM) 是一种安全解决方案，可帮助组织在威胁风险对业务造成不良影响之前检测到威胁风险。

SIEM 定义

安全信息和事件管理（简称 SIEM）是一种可帮助组织在安全威胁危害到业务运营之前检测、分析和响应安全威胁的解决方案。
SIEM 发音为“sim”，将安全信息管理 (SIM) 和安全事件管理 (SEM) 结合到一个安全管理系统中。SIEM 技术从广泛来源收集事件日志数据，通过实时分析识别偏离规范的活动，并采取适当措施。
简单来说，SIEM 使组织能够了解其网络中的活动，从而能够快速响应可能发生的网络攻击，同时满足合规要求。
在过去的十年中，SIEM 技术已经发展到可利用人工智能让威胁检测和事件响应更加智能和快速。

SIEM 工具的工作原理

SIEM 工具实时收集、聚合和分析来自组织的应用程序、设备、服务器和用户的大量数据，以便安全团队能够检测和阻止攻击。SIEM 工具使用预先确定的规则来帮助安全团队定义威胁并生成警报。

SIEM 功能和用例

SIEM 系统的功能各不相同，但通常提供以下核心功能：

日志管理(LMS)
SIEM 在组织整个网络中，从广泛分布的各类来源捕获事件数据。 实时收集、存储和分析来自用户、应用程序、资产、云环境和网络的日志和流数据，确保 IT 和安全团队可在一个集中的位置自动管理其网络的事件日志和网络流数据。
一些 SIEM 解决方案还纳入第三方威胁情报订阅源，集成后即可将其内部安全数据与先前识别的威胁特征符和概要文件详细比对。 集成纳入实时威胁情报订阅源，可确保团队阻止或检测新型的攻击特征符。

事件关联和分析(SIM)
事件关联构成任何 SIEM 解决方案的重要组成部分。 事件关联利用高级分析来识别和理解复杂的数据模式，以提供洞察分析，快速定位潜在威胁，降低对业务安全性的影响。 通过减少用于深入分析安全性事件的手动工作流，SIEM 解决方案可显著改善 IT 安全团队的平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

事件监控和安全警报(SEM)
SIEM 解决方案支持对本地和基于云的基础架构进行集中管理，因此能够识别 IT 环境的所有实体。 这允许 SIEM 技术可监控所有连接的用户、设备和应用程序的安全事件，同时在网络中检测到异常行为时对其进行分类。 使用可自定义、预定义的关联规则，管理员可以立即收到警报并采取适当措施来缓解异常行为，以免产生更严重的安全问题。
合规管理和报告
许多组织需要接受和应对各种不同形式的监管及合规要求；对于这些组织而言，SIEM 解决方案向来是备受欢迎的选择。 SIEM 提供自动数据收集和分析功能，因此，在收集和验证整个业务基础架构中的合规数据方面，SIEM 是一种极具价值的工具。 SIEM 解决方案可以为 PCI-DSS、GDPR、HIPPA、SOX 和其他合规标准生成实时的合规报告，从而减轻安全管理的负担并及早发现潜在的违规行为，以便解决这些问题。 许多 SIEM 解决方案都带有预构建的、开箱即用的附加组件，可以自动生成旨在满足合规要求的报告。

SIEM 是今天的术语管理系统,所有上述合并到一个层,知道如何从分布式自动收集和处理信息的来源,将它存储在一个集中位置,不同事件之间的关联,并根据这些信息生成警报和报告。

SIEM 的优点

SIEM 工具提供了许多有助于加强组织整体安全状况的优点，包括：

• 潜在威胁的集中视图
• 实时威胁识别和响应
• 高级威胁情报
• 法规合规性审计和报告
• 更透明地监视用户、应用程序和设备

如何实现 SIEM 解决方案

各种规模的组织都使用 SIEM 解决方案来缓解网络安全风险，同时满足合规标准。实现 SIEM 系统的最佳实践包括：

• 定义 SIEM 部署要求
• 开展测试运行
• 收集足够的数据
• 制定事件响应计划
• 不断改进 SIEM

SIEM 对企业的作用

SIEM 是组织网络安全生态系统的重要组成部分。SIEM 为安全团队提供了一个中心位置来收集、聚合和分析整个企业中的大量数据，从而有效地简化了安全工作流。它还提供了操作性功能，如合规报告、事件管理和确定威胁活动优先级的仪表盘。

SIEM 组件

SIEM 不是一个单独的工具或应用程序(尽管有一些工具可以帮助部署 SIEM 系统，见下文)，而是一组不同的构建块，它们都是系统的一部分。没有标准的 SIEM 协议或已建立的方法，但是大多数 SIEM 系统将包含本节中描述的大部分(如果不是全部的话)元素。

聚合

日志表示在数字环境中运行的进程的原始输出，是提供实时发生的事情的准确图像的最佳来源，因此是 SIEM 系统的主要数据源。
无论是防火墙日志、服务器日志、数据库日志，还是在您的环境中生成的任何其他类型的日志，SIEM 系统都能够收集这些数据并将其存储在一个中心位置以进行扩展的保留。此收集过程通常由代理或应用程序执行，部署在监视的系统上，并配置为将数据转发到 SIEM 系统的中央数据存储。

处理和标准化

在 SIEM 上下文中收集数据的最大挑战是克服各种日志格式。从本质上说，SIEM 系统将从大量层(服务器、防火墙、网络路由器、数据库)中提取数据，每种记录的格式都不同。
看看下面的例子:
这两个日志消息报告的是同一个事件——特定用户(您的真实用户)和客户机 IP 的身份验证失败。注意时间戳字段的格式、用户的日志记录方式和实际消息的不同。
为了能够跨不同源和事件相关性高效地解释数据，SIEM 系统能够规范化日志。这个规范化过程包括将日志处理为可读的结构化格式，从日志中提取重要数据，并映射日志中包含的不同字段。

关联

一旦收集、解析和存储，SIEM 系统中的下一步将负责连接这些点并关联来自不同数据源的事件。这种关联工作基于各种 SIEM 工具提供的规则、为不同的攻击场景预定义的规则，或者由分析人员创建和调整的规则。
简单地说，关联规则定义了一个特定的事件序列，该序列可能表示安全性受到了破坏。例如，可以创建一个规则来确定在一段时间内从特定 IP 范围和端口发送的请求数量何时超过 x。
环境中记录的数据量非常大。即使是中小型组织也很可能每天发送数十 gb 的数据。实际上，规则通过消除干扰并指向可能有意义的事件，帮助将数据压缩为更易于管理的数据集。
大多数 SIEM 系统还提供生成报告的内置机制。这些报告可以用于管理、审计或合规性原因。例如，可以将详细描述触发警报或规则的每日报告嵌入到仪表板中。

呈现

可视化数据和事件的能力是 SIEM 系统中的另一个关键组件，因为它允许分析人员方便地查看数据。包含多个可视化或视图的仪表板有助于识别趋势、异常情况，并监控环境的总体健康或安全状态。一些 SIEM 工具将附带预先制作的仪表板，而另一些工具将允许用户创建和调整自己的仪表板。

缓解和修复

一旦相关规则就位，并监视构建的仪表板以提供系统的全面概述，SIEM 系统的最后一个关键组件就是一旦识别事件如何处理。
大多数 SIEM 系统支持自动包含和减轻安全事件的机制。例如，根据相关规则，可以将 SIEM 系统配置为自动启动内部升级流程——执行脚本，这些脚本通过触发警报、打开票证等来启动包含进程并将球传递到组织中的正确资源。

SIEM 如何提供帮助呢?

我们已经定义了什么是 SIEM，并且对组成 SIEM 系统的主要组件有了大致的了解。但是 SIEM 系统实际上是如何帮助安全分析人员识别和阻止攻击的呢?

可见性

对于安全分析人员来说，SIEM 系统是他们所保护的 IT 环境的焦点。SIEM 系统集中收集来自所有相关数据源的安全数据，存储大量信息，可以使用这些信息了解实时发生的事件和流程。
获得的可见性程度直接受到作为 SIEM 系统一部分的日志聚合和收集过程的影响。如上所述，如果没有适当的处理和解析，日志数据将缺乏结构，因此将更加难于分析。
SIEM 系统的另一个主要优点是能够将事件关联起来并在仪表盘中可视化数据，这为分析人员提供了一种获得实时可见性的方法。

事件检测和缓解

许多事件不会被第一行安全设备注意到，因为它们没有更广泛的上下文。SIEM 相关规则以及围绕它们构建的报告机制可以帮助组织在发生这些事件时得到通知。
在 DDoS 攻击的例子中，防火墙很可能报告异常的网络流量，而 web 服务器请求则报告来自特定 ip 组的请求的 404 响应。
在这种情况下，缓解可能只是指示防火墙阻止来自这些 ip 的通信，可以将 SIEM 规则配置为在这两个事件之间进行关联，并向相关资源发出警报，以便在早期阻止攻击。

合规

当今大多数合规性类型，如 HIPAA、PCI DSS、SOX 和 GDPR，都要求组织遵守一系列的安全控制。这些控制包括:日志收集、监视、审计和警报。
不用说，从上面的描述中已经很清楚，SIEM 系统为所有这些文章提供了支持，这也是 SIEM 成为实现安全性和合规性的行业标准的原因之一。