日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
SIEM是什么?它是怎么運作的?又該如何選擇正確的工具?

安全信息與事件管理(SIEM)源于日志管理,但早已演變得比事件管理強大許多,今天的SIEM軟件提供商還引入了機器學(xué)習(xí)、高級統(tǒng)計分析和其他分析方法。

創(chuàng)新互聯(lián)是一家專業(yè)提供方山企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站建設(shè)、網(wǎng)站制作、H5網(wǎng)站設(shè)計、小程序制作等業(yè)務(wù)。10年已為方山眾多企業(yè)、政府機構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站建設(shè)公司優(yōu)惠進行中。

SIEM軟件是什么?

SIEM軟件能給企業(yè)安全人員提供其IT環(huán)境中所發(fā)生活動的洞見和軌跡記錄。

SIEM技術(shù)已存在了十年以上,最早是從日志管理發(fā)展起來的。它將安全事件管理(SEM)——實時分析日志和事件數(shù)據(jù)以提供威脅監(jiān)視、事件關(guān)聯(lián)和事件響應(yīng),與安全信息管理(SIM)——收集、分析并報告日志數(shù)據(jù),結(jié)合了起來。

SIEM的運作機制是什么

SIEM軟件收集并聚合公司所有技術(shù)基礎(chǔ)設(shè)施所產(chǎn)生的日志數(shù)據(jù),數(shù)據(jù)來源從主機系統(tǒng)及應(yīng)用,到防火墻及殺軟過濾器之類網(wǎng)絡(luò)和安全設(shè)備都有。

收集到數(shù)據(jù)后,SIEM軟件就開始識別并分類事件,對事件進行分析。該軟件的主要目標(biāo)有兩個:

  1. 產(chǎn)出安全相關(guān)事件的報告,比如成功/失敗的登錄、惡意軟件活動和其他可能的惡意活動。
  2. 如果分析表明某活動違反了預(yù)定義的規(guī)則集,有潛在的安全問題,就發(fā)出警報。

企業(yè)對更好合規(guī)管理的需求,是早期對該技術(shù)采用的主要驅(qū)動力。審計人員需要檢查規(guī)定有沒有被遵從的方法,而SIEM提供了滿足HIPPA、SOX和 PCI DDS 等強制要求的監(jiān)視與報告功能。然而,專家表示,近些年企業(yè)對更好的安全措施的需求,才是SIEM市場更大的驅(qū)動力。

如今,大型企業(yè)通常都將SIEM視為支撐安全運營中心(SOC)的基礎(chǔ)。

分析與情報

安全運營中SIEM軟件使用背后的一個主要推動因素,是市場上很多產(chǎn)品包含的新功能。除了傳統(tǒng)的日志數(shù)據(jù),很多SIEM技術(shù)還引入了威脅情報饋送,更有多種SIEM產(chǎn)品具備安全分析能力,不僅監(jiān)視網(wǎng)絡(luò)行為,還監(jiān)測用戶行為,可針對某動作是否惡意活動給出更多情報。

事實上,Gartner在其2017年5月對全球SIEM市場的報告中,點出了SIEM工具中的情報,描述為“SIEM市場中的創(chuàng)新,正以驚人的速度,創(chuàng)建更好的威脅檢測工具?!?/p>

報告進一步指出,提供商正往其產(chǎn)品中引入機器學(xué)習(xí)、高級統(tǒng)計分析和其他分析方法,其中一些還在實驗人工智能和深度學(xué)習(xí)功能。

提供商市場如此發(fā)展,是因為有了能更快產(chǎn)出更準(zhǔn)確檢測率的功能。不過,企業(yè)也不確定這些功能是否有給公司帶來新的收益,或者是怎么給公司創(chuàng)收的。

至于此類技術(shù)的前景, Forrester Research的***分析師羅博·斯特勞德認(rèn)為:

在AI和機器學(xué)習(xí)的幫助下,我們可以做推斷和基于模式的監(jiān)視與警報,但真正的機會是預(yù)見性的修復(fù)。這就是當(dāng)今市場動向。正在從監(jiān)視工具,變成提供修復(fù)建議的軟件。在未來,SIEM甚至可以自動化修復(fù)操作。

企業(yè)中的SIEM

全球企業(yè)的安全開銷中,SIEM軟件僅占很小的一部分。Gartner估測,2017年全球企業(yè)安全開支約在984億美元左右,SIEM軟件大概會收獲24億美元。Gartner預(yù)計,在SIEM技術(shù)上的開銷將會平穩(wěn)增長,2018年到26億美元,2021年到34億美元。

SIEM軟件主要被大型企業(yè)和上市公司采用,此類公司中合規(guī)要求是采納該技術(shù)的重要原因。

雖然有些中型企業(yè)也用SIEM軟件,小公司卻既沒必要也沒意愿往SIEM里投錢。分析師稱,他們通常無力購買自已的解決方案,因為其年度開銷可達(dá)數(shù)萬到十幾萬美元。而且,小公司也沒能力雇傭持續(xù)維護SIEM所需的人才。

也就是說,有些中小企業(yè)(SMB)通過軟件即服務(wù)的方式,從足以售賣該服務(wù)的外包供應(yīng)商處,獲得了SIEM。

鑒于流經(jīng)SIEM系統(tǒng)的部分?jǐn)?shù)據(jù)比較敏感,目前大型企業(yè)用戶習(xí)慣在本地運行SIEM軟件。GlaxoSmithKline美國SOC***分析師兼SANS研究所導(dǎo)師約翰·哈巴德說:“你在記錄敏感的東西,這種東西可不是人人都敢冒在互聯(lián)網(wǎng)上發(fā)送的風(fēng)險的?!?/p>

不過,隨著機器學(xué)習(xí)和人工智能在SIEM產(chǎn)品中的增多,一些分析師也預(yù)計,SIEM提供商會拿出一個混合選項,部分分析在云端執(zhí)行。

云端收集、整理和產(chǎn)出情報正在興起,因為提供商可以比公司收集并梳理更多數(shù)據(jù)。

SIEM工具和提供商選擇

基于全球銷售額,SIEM市場有幾家居于統(tǒng)治性地位的供應(yīng)商,尤其是IBM、Splunk和HPE(惠普企業(yè))。還有更多一些的主流玩家,比如 Alert Logic、Intel、LogRhythm、ManageEngine、Micro Focus、Solar Winds 和Trustwave。

Gartner2017 SIEM領(lǐng)域魔力象限圖

穆西奇稱,公司企業(yè)需根據(jù)自己的目標(biāo)來評估產(chǎn)品,決定哪款***自身需要。主要為了合規(guī)的企業(yè),就會比想利用SIEM建立SOC的公司,更看重報告之類的特定功能。

同時,擁有PT級海量數(shù)據(jù)的企業(yè),也會尋找更適合他們需求的某些供應(yīng)商,而擁有數(shù)據(jù)較少的企業(yè),可能選擇其他。同樣的,需要優(yōu)良威脅捕獵功能的公司,會尋求***數(shù)據(jù)可視化工具和搜索功能。

評估SIEM供應(yīng)商時,安全主管需要考慮很多其他因素,比如他們是否能支持特定工具、系統(tǒng)中會有多少數(shù)據(jù)、需要支付多少錢。舉個例子,HPE的 ArcSight ESM 是一款功能完善的成熟工具,但需要大量專業(yè)知識,且比其他選擇要貴。安全操作越復(fù)雜,越能充分利用好手中的工具。

鑒于SIEM選擇背后兩大驅(qū)動力導(dǎo)致的功能需求各不相同,很多企業(yè)會選取2套不同系統(tǒng),一套關(guān)注合規(guī),但這會減慢威脅檢測。另一套則是戰(zhàn)術(shù)性的SIEM,用于威脅檢測。

***化SIEM價值

大多數(shù)公司仍主要將SIEM軟件用于追蹤和調(diào)查已發(fā)生過什么。這一用例的驅(qū)動因素,是數(shù)據(jù)泄露威脅的升級,以及此類事件中安全主管和公司企業(yè)所面臨后果的不斷加碼。可以想象,如果公司被黑,沒有任何一位CIO,會在接受董事會問詢時說“我特么要是知道就好了?!彼麄冏顟?yīng)該想說的是“我們會梳理日志數(shù)據(jù),查明發(fā)生了什么。”

不過,現(xiàn)在也有很多公司不滿足于SIEM的這一用例,開始將該技術(shù)更多地用在檢測和近實時響應(yīng)上。現(xiàn)在的玩法是:你的檢測速度有多快?不斷發(fā)展的機器學(xué)習(xí),正幫助SIEM系統(tǒng)更加準(zhǔn)確地識別異?;顒雍蜐撛趷阂饣顒?。

盡管了有了這些發(fā)展,公司企業(yè)還是面臨***化工具效果,甚至***限度榨取已有系統(tǒng)價值的挑戰(zhàn)。其中原因多種多樣。

首先,SIEM技術(shù)是資源密集型工具,需要經(jīng)驗豐富的人員來實現(xiàn)、維護和調(diào)整——這種員工不是所有企業(yè)都能完全投入的。

很多企業(yè)因為知道這是自己需要的東西而買下了該技術(shù),但他們并沒有能夠搞定該技術(shù)的人員,或者他們沒對員工進行所需的培訓(xùn)。

想要***化SIEM軟件產(chǎn)出,就需要擁有高品質(zhì)的數(shù)據(jù)。數(shù)據(jù)源越大,該工具產(chǎn)出越好,越能識別出異常值。然而,公司企業(yè)在定義和提供正確數(shù)據(jù)方面苦苦掙扎。

且即便有了強大的數(shù)據(jù)和高端團隊來運營SIEM技術(shù),該軟件自身也有局限。在檢測可接受活動和合法潛在威脅上,SIEM并非完全準(zhǔn)確,正是這種差異,導(dǎo)致了很多SIEM部署中出現(xiàn)了大量誤報。該情況需要企業(yè)內(nèi)有強力監(jiān)管和有效規(guī)程,避免安全團隊被警報過載拖垮。

安全人員往往從追逐大量誤報開始。成熟的公司會學(xué)著調(diào)整工具,讓該軟件理解什么是正常事件,以此來降低誤報數(shù)量。但另一方面,一些安全團隊會跳過該步驟,習(xí)慣性直接無視太多誤報——有可能錯過真正威脅的一種操作。

更為高端的公司還會編寫腳本來自動化更多常規(guī)功能。比如從不同數(shù)據(jù)源拉取上下文數(shù)據(jù)以建立更完整的警報視圖,加速對真正威脅的調(diào)查和識別。這需要良好的過程和安全運營成熟度。也就是說,不僅僅將SIEM作為一個單獨的工具,而是將之與其他技術(shù)整合,有個整體的過程來引導(dǎo)各種行動。

如此,可以減少員工花費在低端動作上的時間,讓他們可以將自己的精力放在高價值任務(wù)上,以提升公司的整體安全態(tài)勢。


本文名稱:SIEM是什么?它是怎么運作的?又該如何選擇正確的工具?
網(wǎng)址分享:http://m.5511xx.com/article/cdsgpsp.html