來源：https://logz.io/blog/what-is-siem/

SIEM(安全信息和事件管理)是一個由不同的監視和分析組件組成的安全和審計系統。最近網絡攻擊的增加，加上組織要求更嚴格的安全法規，使SIEM成為越來越多的組織正在采用的標準安全方法。

但是SIEM實際上涉及到什么呢?它由哪些不同的部分組成?SIEM實際上如何幫助減輕攻擊?本文試圖提供一種SIEM 101。后續文章將深入探討一些可用于實際實現SIEM的解決方案。

1、為什么我們需要SIEM?

毫無疑問，對計算機系統的攻擊不斷增加。Coinmining, DDoS, ransomware，惡意軟件，僵尸網絡，網絡釣魚——這只是今天那些正義之戰所面臨的威脅的一部分。

有趣的是，正如賽門鐵克(Symantec)在其2018年互聯網安全威脅報告中所指出的那樣，不僅攻擊數量在上升，使用的途徑和方法也在上升:

“從WannaCry和Petya/NotPetya的突然傳播，到造幣商的迅速增長，2017年再次提醒我們，數字安全威脅可能來自新的和意想不到的來源。”隨著時間的推移，不僅威脅的數量在不斷增加，而且威脅的范圍也變得更加多樣化，攻擊者會更加努力地尋找新的攻擊途徑，并在此過程中隱藏自己的蹤跡。

系統和網絡監控在幫助組織保護自己免受這些攻擊方面一直發揮著關鍵作用，多年來已經發展了一些相關的方法和技術。然而，網絡犯罪性質的變化意味著一些攻擊往往會被忽視，這一點很快就變得顯而易見。數據融合，即來自多個數據源的數據的聚合和不同事件之間的相關性，以及長時間保留這些數據的能力變得至關重要。

網絡攻擊的增長導致合規要求更加嚴格。健康保險流通與責任法案(HIPAA),支付卡行業數據安全標準(PCI DSS),薩班斯-奧克斯利法案(SOX),和一般的數據保護監管(GDPR)——所有的這些都需要組織來實現一組全面的安全控制,包括監測、審計和報告,所有這些都促進了SIEM系統。

2、定義與演變

簡單地說，SIEM是一個由多個監視和分析組件組成的安全系統，旨在幫助組織檢測和減輕威脅。

如上所述，SIEM將許多其他安全規程和工具結合在一個綜合的框架下:

日志管理(LMS)——用于傳統日志收集和存儲的工具。

安全信息管理(SIM)——集中于從多個數據源收集和管理與安全相關的數據的工具或系統。例如，這些數據源可以是防火墻、DNS服務器、路由器和防病毒應用程序。

安全事件管理(SEM)——基于主動監視和分析的系統，包括數據可視化、事件相關性和警報。

SIEM是今天的術語管理系統,所有上述合并到一個層,知道如何從分布式自動收集和處理信息的來源,將它存儲在一個集中位置,不同事件之間的關聯,并根據這些信息生成警報和報告。

3、SIEM組件

SIEM不是一個單獨的工具或應用程序(盡管有一些工具可以幫助部署SIEM系統，見下文)，而是一組不同的構建塊，它們都是系統的一部分。沒有標準的SIEM協議或已建立的方法，但是大多數SIEM系統將包含本節中描述的大部分(如果不是全部的話)元素。

3.1聚合

日志表示在數字環境中運行的進程的原始輸出，是提供實時發生的事情的準確圖像的最佳來源，因此是SIEM系統的主要數據源。

無論是防火墻日志、服務器日志、數據庫日志，還是在您的環境中生成的任何其他類型的日志，SIEM系統都能夠收集這些數據并將其存儲在一個中心位置以進行擴展的保留。此收集過程通常由代理或應用程序執行，部署在監視的系統上，并配置為將數據轉發到SIEM系統的中央數據存儲。

3.2處理和標準化

在SIEM上下文中收集數據的最大挑戰是克服各種日志格式。從本質上說，SIEM系統將從大量層(服務器、防火墻、網絡路由器、數據庫)中提取數據，每種記錄的格式都不同。

看看下面的例子:

這兩個日志消息報告的是同一個事件——特定用戶(您的真實用戶)和客戶機IP的身份驗證失敗。注意時間戳字段的格式、用戶的日志記錄方式和實際消息的不同。

為了能夠跨不同源和事件相關性高效地解釋數據，SIEM系統能夠規范化日志。這個規范化過程包括將日志處理為可讀的結構化格式，從日志中提取重要數據，并映射日志中包含的不同字段。

3.3關聯

一旦收集、解析和存儲，SIEM系統中的下一步將負責連接這些點并關聯來自不同數據源的事件。這種關聯工作基于各種SIEM工具提供的規則、為不同的攻擊場景預定義的規則，或者由分析人員創建和調整的規則。

簡單地說，關聯規則定義了一個特定的事件序列，該序列可能表示安全性受到了破壞。例如，可以創建一個規則來確定在一段時間內從特定IP范圍和端口發送的請求數量何時超過x。

環境中記錄的數據量非常大。即使是中小型組織也很可能每天發送數十gb的數據。實際上，規則通過消除干擾并指向可能有意義的事件，幫助將數據壓縮為更易于管理的數據集。

大多數SIEM系統還提供生成報告的內置機制。這些報告可以用于管理、審計或合規性原因。例如，可以將詳細描述觸發警報或規則的每日報告嵌入到儀表板中。

3.4呈現

可視化數據和事件的能力是SIEM系統中的另一個關鍵組件，因為它允許分析人員方便地查看數據。包含多個可視化或視圖的儀表板有助于識別趨勢、異常情況，并監控環境的總體健康或安全狀態。一些SIEM工具將附帶預先制作的儀表板，而另一些工具將允許用戶創建和調整自己的儀表板。

3.5緩解和修復

一旦相關規則就位，并監視構建的儀表板以提供系統的全面概述，SIEM系統的最后一個關鍵組件就是一旦識別事件如何處理。

大多數SIEM系統支持自動包含和減輕安全事件的機制。例如，根據相關規則，可以將SIEM系統配置為自動啟動內部升級流程——執行腳本，這些腳本通過觸發警報、打開票證等來啟動包含進程并將球傳遞到組織中的正確資源。

4、那么，SIEM如何提供幫助呢?

我們已經定義了什么是SIEM，并且對組成SIEM系統的主要組件有了大致的了解。但是SIEM系統實際上是如何幫助安全分析人員識別和阻止攻擊的呢?

4.1可見性

對于安全分析人員來說，SIEM系統是他們所保護的IT環境的焦點。SIEM系統集中收集來自所有相關數據源的安全數據，存儲大量信息，可以使用這些信息了解實時發生的事件和流程。

獲得的可見性程度直接受到作為SIEM系統一部分的日志聚合和收集過程的影響。如上所述，如果沒有適當的處理和解析，日志數據將缺乏結構，因此將更加難于分析。

SIEM系統的另一個主要優點是能夠將事件關聯起來并在儀表盤中可視化數據，這為分析人員提供了一種獲得實時可見性的方法。

4.2事件檢測和緩解

許多事件不會被第一行安全設備注意到，因為它們沒有更廣泛的上下文。SIEM相關規則以及圍繞它們構建的報告機制可以幫助組織在發生這些事件時得到通知。

在DDoS攻擊的例子中，防火墻很可能報告異常的網絡流量，而web服務器請求則報告來自特定ip組的請求的404響應。

在這種情況下，緩解可能只是指示防火墻阻止來自這些ip的通信，可以將SIEM規則配置為在這兩個事件之間進行關聯，并向相關資源發出警報，以便在早期阻止攻擊。

4.3合規

當今大多數合規性類型，如HIPAA、PCI DSS、SOX和GDPR，都要求組織遵守一系列的安全控制。這些控制包括:日志收集、監視、審計和警報。

不用說，從上面的描述中已經很清楚，SIEM系統為所有這些文章提供了支持，這也是SIEM成為實現安全性和合規性的行業標準的原因之一。

5、下一個什么?

這篇文章更多的是理論，而不是實踐。組織正在實現SIEM，以保護其環境，并遵從越來越多的合規類型。一旦組織將SIEM的需求內在化，下一個自然階段就是規劃技術實現。

可以使用各種工具和平臺來實現SIEM，包括專有的(AlienVault、QRadar、LogRhythm)和開源的(OSSIM、OSSEC、ELK)。在以后的文章中，我們將討論這個精確的主題，概述不同的解決方案及其優缺點。

?

0人點贊

?

隨筆

?

作者：Threathunter
鏈接：https://www.jianshu.com/p/f7330951e1ef
來源：簡書
著作權歸作者所有。商業轉載請聯系作者獲得授權，非商業轉載請注明出處。

總結

以上是生活随笔為你收集整理的【转】什么是SIEM？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。