searchusermenu
  • 发布文章
  • 消息中心
点赞
收藏
评论
分享
原创

SIEM产品介绍

2024-04-03 01:34:00
85
0

一、 SIEM概述

SIEM(security information and event managemen)是一种安全解决方案,用于监视、识别和响应网络上的安全事件。SIEM系统收集来自各种网络安全设备和应用程序的日志和事件数据,对这些数据进行分析和处理,并提供实时安全警报和报告,以帮助企业保护其网络免受安全威胁。

 

SIEM的整体架构大致如上图所示,以一条Windows系统登录日志为例,来过一遍经过的所有流程。

1.日志采集

当用户成功登录windows电脑时,会产生一条Event ID 4624的日志,系统会记录下很多信息,包括但不仅限于时间、IP、系统版本、登录类型(本地或远程)、用户名、登出状态。

2.范式化

在SIEM中就是把这一整串的原始日志进行拆分,并按厂商定义的说明或者企业自行定义来丰富标签内容。

3.事件过滤归并

就是把同类型的日志进行归类,如windows、Linux的登录日志其实格式是不一样的,可以归为2大类。并把暂时不关注的字段筛选去除,把需要关注的内容提取出来。

4.关联分析

这部分内容是SIEM的精髓,如何制定策略使误报率低,并产生有价值的场景(usecase)是各使用相关方需要重点考虑的。当然场景制定的优劣离不开日志源的质量、分析人员的经验等多方因素。继续以上为例,可以定义在30分钟内记录张三共产生了多少次登录行为。

5.告警

如果30分钟内有上百次的登录行为,那我们要判断下是否电脑有被入侵的可能?如果30分钟内有5次左右登录,那会不会张三同学上班在摸鱼。具体告警阈值和产生结果的判断,可以根据实际情况来制定。

6.安全事件运维

就是根据产生的告警来判断和处理。可以人工处置去现场或者远程确认情况。如被确定为高危行为也可以联动相关产品进行实时封禁操作。

7.可视化展现

设定预制报表,定期出具一份统计结果。也可直接在大屏展示以上事件的结果,如攻击事件+1 或 摸鱼事件+1 (UEBA用户实体行为分析更偏向此块内容分析)

综上所述,可以了解到SIEM的核心功能包括安全事件的收集、分析、报告和响应。首先,SIEM通过收集来自各种数据源的安全事件数据,包括网络设备、防火墙、入侵检测系统、操作系统和应用程序的日志等。这些数据被传输到SIEM系统中进行分析和处理。

SIEM系统利用各种技术和算法对收集到的数据进行实时分析。它可以检测出异常活动、潜在的安全威胁和漏洞,并提供实时的警报和通知。通过对数据进行聚合、关联和分析,SIEM能够识别出与已知的攻击模式和行为规则相匹配的安全事件。

SIEM还能够生成详细的报告和统计信息,帮助组织了解其安全状况。这些报告可以包括安全事件的类型、频率、来源和影响等信息。通过对这些报告的分析,组织可以识别出潜在的安全风险和漏洞,并采取相应的措施进行修复和改进。

最重要的是,SIEM还提供了对安全事件的响应和管理功能。它可以自动执行一些预定义的响应动作,如发送警报、阻止攻击和隔离受感染的系统。此外,SIEM还可以与其他安全工具和系统集成,实现安全事件的自动化响应和协调。

在学习SIEM的过程中,我还了解到它的一些优势。首先,SIEM能够提供实时的安全监控和分析,帮助组织及时发现和应对安全事件。其次,SIEM能够集成多个安全事件源的数据,提高安全事件的检测和分析能力。此外,SIEM还可以提供详细的报告和统计信息,帮助组织了解其安全状况。

当然,SIEM也面临一些挑战。首先,SIEM需要大量的数据来进行分析和处理,因此需要组织投入高性能的资源和设备。其次,SIEM的配置和管理需要一定的专业知识和技能。此外,SIEM还可能面临误报和漏报的问题,需要进行调整和优化。

 

二、SIEM的演变历程及未来

第一代

早期SIEM

第二代

大数据SIEM

第三代

自动化与机器学习

第一批SIEM结合了安全信息管理( SIM )和安全事件管理( SEM )。它们的数据管理和支持警报可视化规模有限。

 

基于大数据基础架构的集成式SIEM ,可在一处管理和关联历史日志数据,实时事件和威胁情报,从而提供企业安全数据的整体视图。

 

早期的SIEM对复杂的安全事件进行主动警告和响应的能力有限。新的SIEM执行自动行为分析( UEBA) ,并可以与IT和安全系统自动交互以减轻事件(SOAR)。

可扩展性

垂直缩放

历史数据

部分的

数据采集

手动提取日志数据

威肋检测

基于手动规则的手动分析和警报

突发事件响应

与下游系统几乎没有接口

仪表板和可视化

非常有限

 

可扩展性

水平扩展,支持大数据

历史数据

完整,有一些过滤

数据采集

自动提取,数据源有限

威胁检测

手动分析,警报和仪表板

突发事件响应

与下游系统的接口有限

仪表板和可视化

通常有限的建立可视化集

 

可扩展性

基于数据湖,无限规模

历史数据

无限的历史保留,包括云等新数据源

数据采集

自动提取任何数据源

威胁检测

自动化,基于机器学习和行为分析

突发事件响应.

与IT和安全工具集成,具有完整的安全协调和自动化( SOAR )功能

仪表板和可视化

全面的BI数据探索

 

三、SIEM的未来

未来SIEM会与IT和安全工具集成,具有完整的安全协调和自动化( SOAR )功能,提供更多高级功能,例如:

复杂威胁识别—由于关联规则缺乏上下文或无法应对新型事件,因此关联规则无法捕获许多复杂攻击。通过自动行为分析, SIEM可以检测到暗示威胁的行为。

实体行为分析—服务器、医疗设备或机械等网络上的关键资产具有独特的行为模式。SIEM可以了解这些模式并自动发现暗示威胁的异常。

自动化的事件响应—SIEM一旦检测到某种类型的安全事件,便可以执行预先计划的一系列操作来遏制和缓解事件。SIEM正在成为完整的安全协调和自动化( SOAR )工具。

横向移动—攻击者使用IP,凭据和计算机在网络中移动,以搜索关键资产。通过分析来自整个网络和多个系统资源的数据, SIEM可以检测到这种横向移动。

没有规则或特征的检测—手动定义的规则或已知的攻击特征无法捕获网络面临的许多威胁。SIEM可以使用机器学习来检测事件,而无需预先定义。

下一代SIEM的一个示例是Exabeam安全管理平台( SMP ) , 该平台结合了基于机器学习, 云连接器,灵活的数据湖基础结构,事件响应和威胁搜寻功能的行为分析。

 

四、总结

SIEM是一种重要的安全解决方案,可帮助企业保护其网络免受安全威胁。在SIEM产品研究中,我们发现优秀的SIEM解决方案都具有多种数据源支持、实时监控和警报、自定义查询和报告等优点。企业应根据自身需求选择最适合自己的SIEM产品。

 

0条评论
0 / 1000
c****n
3文章数
1粉丝数
c****n
3 文章 | 1 粉丝
c****n
3文章数
1粉丝数
c****n
3 文章 | 1 粉丝
原创

SIEM产品介绍

2024-04-03 01:34:00
85
0

一、 SIEM概述

SIEM(security information and event managemen)是一种安全解决方案,用于监视、识别和响应网络上的安全事件。SIEM系统收集来自各种网络安全设备和应用程序的日志和事件数据,对这些数据进行分析和处理,并提供实时安全警报和报告,以帮助企业保护其网络免受安全威胁。

 

SIEM的整体架构大致如上图所示,以一条Windows系统登录日志为例,来过一遍经过的所有流程。

1.日志采集

当用户成功登录windows电脑时,会产生一条Event ID 4624的日志,系统会记录下很多信息,包括但不仅限于时间、IP、系统版本、登录类型(本地或远程)、用户名、登出状态。

2.范式化

在SIEM中就是把这一整串的原始日志进行拆分,并按厂商定义的说明或者企业自行定义来丰富标签内容。

3.事件过滤归并

就是把同类型的日志进行归类,如windows、Linux的登录日志其实格式是不一样的,可以归为2大类。并把暂时不关注的字段筛选去除,把需要关注的内容提取出来。

4.关联分析

这部分内容是SIEM的精髓,如何制定策略使误报率低,并产生有价值的场景(usecase)是各使用相关方需要重点考虑的。当然场景制定的优劣离不开日志源的质量、分析人员的经验等多方因素。继续以上为例,可以定义在30分钟内记录张三共产生了多少次登录行为。

5.告警

如果30分钟内有上百次的登录行为,那我们要判断下是否电脑有被入侵的可能?如果30分钟内有5次左右登录,那会不会张三同学上班在摸鱼。具体告警阈值和产生结果的判断,可以根据实际情况来制定。

6.安全事件运维

就是根据产生的告警来判断和处理。可以人工处置去现场或者远程确认情况。如被确定为高危行为也可以联动相关产品进行实时封禁操作。

7.可视化展现

设定预制报表,定期出具一份统计结果。也可直接在大屏展示以上事件的结果,如攻击事件+1 或 摸鱼事件+1 (UEBA用户实体行为分析更偏向此块内容分析)

综上所述,可以了解到SIEM的核心功能包括安全事件的收集、分析、报告和响应。首先,SIEM通过收集来自各种数据源的安全事件数据,包括网络设备、防火墙、入侵检测系统、操作系统和应用程序的日志等。这些数据被传输到SIEM系统中进行分析和处理。

SIEM系统利用各种技术和算法对收集到的数据进行实时分析。它可以检测出异常活动、潜在的安全威胁和漏洞,并提供实时的警报和通知。通过对数据进行聚合、关联和分析,SIEM能够识别出与已知的攻击模式和行为规则相匹配的安全事件。

SIEM还能够生成详细的报告和统计信息,帮助组织了解其安全状况。这些报告可以包括安全事件的类型、频率、来源和影响等信息。通过对这些报告的分析,组织可以识别出潜在的安全风险和漏洞,并采取相应的措施进行修复和改进。

最重要的是,SIEM还提供了对安全事件的响应和管理功能。它可以自动执行一些预定义的响应动作,如发送警报、阻止攻击和隔离受感染的系统。此外,SIEM还可以与其他安全工具和系统集成,实现安全事件的自动化响应和协调。

在学习SIEM的过程中,我还了解到它的一些优势。首先,SIEM能够提供实时的安全监控和分析,帮助组织及时发现和应对安全事件。其次,SIEM能够集成多个安全事件源的数据,提高安全事件的检测和分析能力。此外,SIEM还可以提供详细的报告和统计信息,帮助组织了解其安全状况。

当然,SIEM也面临一些挑战。首先,SIEM需要大量的数据来进行分析和处理,因此需要组织投入高性能的资源和设备。其次,SIEM的配置和管理需要一定的专业知识和技能。此外,SIEM还可能面临误报和漏报的问题,需要进行调整和优化。

 

二、SIEM的演变历程及未来

第一代

早期SIEM

第二代

大数据SIEM

第三代

自动化与机器学习

第一批SIEM结合了安全信息管理( SIM )和安全事件管理( SEM )。它们的数据管理和支持警报可视化规模有限。

 

基于大数据基础架构的集成式SIEM ,可在一处管理和关联历史日志数据,实时事件和威胁情报,从而提供企业安全数据的整体视图。

 

早期的SIEM对复杂的安全事件进行主动警告和响应的能力有限。新的SIEM执行自动行为分析( UEBA) ,并可以与IT和安全系统自动交互以减轻事件(SOAR)。

可扩展性

垂直缩放

历史数据

部分的

数据采集

手动提取日志数据

威肋检测

基于手动规则的手动分析和警报

突发事件响应

与下游系统几乎没有接口

仪表板和可视化

非常有限

 

可扩展性

水平扩展,支持大数据

历史数据

完整,有一些过滤

数据采集

自动提取,数据源有限

威胁检测

手动分析,警报和仪表板

突发事件响应

与下游系统的接口有限

仪表板和可视化

通常有限的建立可视化集

 

可扩展性

基于数据湖,无限规模

历史数据

无限的历史保留,包括云等新数据源

数据采集

自动提取任何数据源

威胁检测

自动化,基于机器学习和行为分析

突发事件响应.

与IT和安全工具集成,具有完整的安全协调和自动化( SOAR )功能

仪表板和可视化

全面的BI数据探索

 

三、SIEM的未来

未来SIEM会与IT和安全工具集成,具有完整的安全协调和自动化( SOAR )功能,提供更多高级功能,例如:

复杂威胁识别—由于关联规则缺乏上下文或无法应对新型事件,因此关联规则无法捕获许多复杂攻击。通过自动行为分析, SIEM可以检测到暗示威胁的行为。

实体行为分析—服务器、医疗设备或机械等网络上的关键资产具有独特的行为模式。SIEM可以了解这些模式并自动发现暗示威胁的异常。

自动化的事件响应—SIEM一旦检测到某种类型的安全事件,便可以执行预先计划的一系列操作来遏制和缓解事件。SIEM正在成为完整的安全协调和自动化( SOAR )工具。

横向移动—攻击者使用IP,凭据和计算机在网络中移动,以搜索关键资产。通过分析来自整个网络和多个系统资源的数据, SIEM可以检测到这种横向移动。

没有规则或特征的检测—手动定义的规则或已知的攻击特征无法捕获网络面临的许多威胁。SIEM可以使用机器学习来检测事件,而无需预先定义。

下一代SIEM的一个示例是Exabeam安全管理平台( SMP ) , 该平台结合了基于机器学习, 云连接器,灵活的数据湖基础结构,事件响应和威胁搜寻功能的行为分析。

 

四、总结

SIEM是一种重要的安全解决方案,可帮助企业保护其网络免受安全威胁。在SIEM产品研究中,我们发现优秀的SIEM解决方案都具有多种数据源支持、实时监控和警报、自定义查询和报告等优点。企业应根据自身需求选择最适合自己的SIEM产品。

 

文章来自个人专栏
安全知识
3 文章 | 1 订阅
0条评论
0 / 1000
请输入你的评论
2
2