安全信息和事件管理 (SIEM) 系统是任何现代网络安全工具箱的重要组成部分,可帮助 SOC 收集、检测、调查和应对内部和外部网络威胁。此关键工具可帮助网络安全团队收集、分析和执行安全操作,同时可保持并确保快速的最佳事件响应。我们将介绍许多云安全词汇,但 SIEM 是一个复杂的主题,值得单独用一个页面进行介绍。继续阅读下文,详细了解 SIEM 的组件、最佳实践、用例和趋势。
SIEM 简介
SIEM 是一种从其他网络安全相关系统收集、汇总和分析信息的工具。在互联网的早期,不需要 SIEM 工具,因为面向互联网的系统相对较少。一个简单的防火墙来阻止未经授权的连接就足以保护任何需要在线的系统。通常可以安全地假设授权用户将从组织内部进行连接,而任何远程访问公司资源的尝试都是未经授权的。
然而,随着个人和企业演变为依赖数字的环境,网络安全团队监控和防范内外部威胁变得更加复杂。再加上整个数字生态系统的扩张、网络安全行业的技能短缺以及威胁参与者的攻击面范围的增加,为网络安全团队提供工具和资源以快速有效地应对这些威胁比以往任何时候都更加重要。一个组织可能具有多个服务器,这些服务器在各种不同端口上接受从文件服务器和数据库到视频聊天、虚拟专用网络等等的连接。随着更多数据采用数字方式存储,企业不得不担心来自企业内部和外部的威胁。
SIEM 已演变为监控和管理 IT 团队每天必须处理的大量信息的一种方式。从威胁检测到取证和事件响应,SIEM 大大简化了网络安全威胁任务的处理。
SIEM 的组件
SIEM 提供了一种收集、处理和分析有关安全相关事件的信息的方法。SIEM 系统中有许多组件,但它们可以分为两大类:
安全信息管理(SIM)
安全事件管理 (SEM)
SIM 是指在中央存储库中收集日志文件和其他数据,以便以后可以对其进行分析。也可以更不加掩饰地将其称为日志管理。相比之下,SEM 指的是处理信息和监控事件和警报的概念。SIEM 将两者结合在一起,从各种不同的来源获取数据(有些是实时数据,有些是非实时数据)并进行处理,以识别和更好地了解威胁或潜在问题。SIEM 系统可以合并来自日志、入侵检测系统、内部威胁系统和其他来源的数据,并做出明智的决定,来确定哪些威胁足够严重以至于需要提醒系统管理员进行响应,哪些威胁是不需要立即采取行动的更普通活动。
实施 SIEM 解决方案
随着 SOC 团队需要监控和保护的威胁量和攻击面的增加,企业很幸运能够获得大量的 SIEM 产品来支持其网络安全团队。一些受欢迎的 SIEM 供应商包括:
在选择 SIEM 解决方案时,请务必考虑现有的基础架构。有些工具在设计时考虑了特定的操作系统、服务器或环境。要考虑的事项包括解决方案是基于云的订阅服务还是您自己服务器上的内部解决方案。另外,您建议的 SIEM 是否适用于多云、混合和内部应用程序?
许可证内容值得仔细阅读。某些解决方案可能按服务器收费,或者因为添加特定的集成/分析工具而要收取更多费用,如果您运行的是大型/复杂系统,这可能会变得非常昂贵。
一些 SIEM 解决方案声称对来自不同供应商的数百个应用程序/服务器提供开箱即用的支持,如果您想快速设置您的 SIEM 解决方案,这可能是非常宝贵的。如果您使用的是相对较旧或不著名的服务器,并且需要以不寻常的格式解析日志,您可能会发现现代工具不支持这些现成的日志。幸运的是,您应该能够使用大多数工具手动配置解析。
某些工具是开源工具或具有免费版本,如果您需要自由地在大量服务器上运行解决方案,那么这些工具可能非常适合您。但是,如果您选择免费的开源解决方案,请务必调查可用的支持选项。为确保您的监控系统设置正确,购买高级支持包可能是值得的。
SIEM 集成策略
安全是一件复杂的事情,对于 SIEM,没有一种万能的方法。当您希望将现有安全工具与 SIEM 解决方案集成时,请首先考虑您的用例和您具有的信息盲点。请自问以下问题:
您已经确定了 SIEM 目标吗?
您是否创建了要解决的需求的列表?
您有数据需求清单吗?
您已经在记录哪些数据?
您是否有未记录但应该记录的内容的列表?
如何配置 SIEM 工具来满足您的需求并更好地了解您当前遇到的问题?
许多安全解决方案使用简单网络管理协议(SNMP)提供实时报告。它们包括 API 或数据导出系统,可帮助您将现有工具中的数据导入 SIEM 平台进行分析。如果使用得当,SIEM 工具可以帮助您识别异常情况并快速有效地响应安全漏洞。
但是,如果您记录过多或不确定如何处理正在记录的内容,您可能会发现自己被数据淹没了。了解您正在查看的内容并了解您的“基线”是什么至关重要,这样您才能发现正常活动的变化。
SIEM 用例
SIEM 部署可以选择的一些常见示例包括:
遭到攻击的帐户:如果工作人员在办公室登录,然后在 20 分钟后从 400 英里外登录,则该帐户可能已被入侵。
内部威胁:在办公时间以外从家中登录的具有特权凭据的系统管理员或工作人员可能试图泄露数据。
暴力破解尝试:传统的黑客攻击,例如暴力破解、传递哈希或使用黄金票证,这些情况通常会在日志中清晰可见。
网络钓鱼尝试:SIEM 可用于确定谁收到了网络钓鱼尝试,以及是否有人点击了网络钓鱼链接,从而在帐户遭到入侵时提供培训或采取补救措施的机会。
违规后的修复:如果确实发生了违规行为,那么即使不是通过上述途径之一发生的,SIEM 也可能会向管理员发出警报,告知服务器配置发生了变化,甚至出现了意料之外的内存使用量或处理器使用量激增。这可能会提醒团队发生了违规行为,使他们有时间锁定系统,诊断问题并采取补救措施。
恶意软件:SIEM 可用于监控文件更改,在恶意软件感染开始加密通常不被访问的文件时发出警报,从而作为抵御勒索软件的额外防线。
SIEM 在合规中的作用
SIEM 将日志记录和分析相结合,帮助公司保护其系统并 帮助他们遵守隐私 法规。需要澄清的是,SIEM 本身并不是合规工具。但是,SIEM 仪表板会提醒管理员注意指示未经授权或恶意活动的威胁和问题。知识是网络安全的重要组成部分,SIEM 为管理员提供了构建强大防御所需的知识。
公司需要遵守的一些最常见的框架(取决于他们的行业)是:
HIPAA:医疗保健机构每次违规可能面临 100 美元至 50,000 美元的罚款,一个安全漏洞可能算作多次违规。
PCI-DSS(英语:PCI-DSS):金融机构必须遵守这些法规,以确保支付和数据处理的安全。罚款可能在每月 $5,000 到 $100,000 之间。
通用数据保护条例(GDPR):在欧洲开展业务并处理个人数据的组织必须遵守通用数据保护条例 (GDPR),罚款最高可达 2000 万欧元,或企业营业额的 4%,以较高者为准。
还有州或地方法规,例如加利福尼亚州的隐私法规和英格兰的 ICO 数据处理法规。由每家公司决定他们需要遵守哪些法规,并确保他们按照这些法规运营。
SIEM 无法自行防止违规行为;但是,它可以提醒企业注意违规行为,帮助防止进一步损害。它也可以作为一种有价值的尽职调查形式。请考虑以下假设场景。
您的 SIEM 工具提醒您在一个早已被遗忘的服务器上进行了异常登录。您的系统管理员调查了该登录,发现这是一个漏洞并修复了它,同时确认攻击者没有访问任何敏感数据,从而为您避免了一些巨额罚款和糟糕的公关。如果没有 SIEM 工具的早期预警,黑客可能有数周或数月的时间来探索受感染的系统,可能会发现其他漏洞,并能够通过访问特权数据造成一些真正的破坏。
SIEM 最佳实践
为了充分利用您的 SIEM,根据您的独特要求定制您的实施至关重要。这包括确定要记录的内容以及如何将该数据转换为适合仪表板读取的格式。此外,请考虑如何实现系统自动化,以避免让您的 SOC 团队不堪重负。以下是一些值得考虑的实用最佳实践:
明确定义您的目标。
为您的日志建立一个集中的数据存储和一个用于整合该数据的简化系统。
确保您从所有与安全相关的工具和应用程序中记录所需的数据。
明确定义日志保留策略,以便您拥有足够多的旧数据来识别模式。
确认您的日志记录和审核足以满足您需要遵守的任何规定。
尽可能实现工作流程自动化,以节省员工时间并减少出错的可能性。
利用 API 或其他集成来简化将 SIEM 工具连接到安全基础架构的过程。
向所有相关员工简要介绍您的事件响应系统。
定期重新评估您的安全系统和策略。
为了使 SIEM 很好地发挥作用,它需要监控正确的目标,并且流经它的数据质量必须很高。如果您的 SIEM 系统经常发出错误警报,您的安全团队可能会开始忽略它。SIEM 的目标是过滤干扰信息并为您的 SOC 团队节省时间。对系统进行微调可能需要一些时间,但从长远来看,这个时间投资是值得的。
SIEM 的演变和未来趋势
正如 IT 生态系统的其他部分一样,SIEM 正在发展。AI 和机器学习工具正在帮助改进 SIEM 解决方案,特别是从自动化和快速威胁检测的角度来看。随着越来越多的组织迁移到云,现代安全工具需要能够在混合云和多云环境中高效工作。
此外,随着处理器速度越来越快,存储成本越来越低,处理大量数据变得更加容易。云数据湖和能够分析大量非结构化数据的复杂报告工具使 SIEM 工具能够分析以前可能因“太嘈杂”而被丢弃的数据。现在,这些大量数据可用于更好地分析用户并识别可疑的使用模式,从而更轻松地识别遭到攻击的帐户。
管理员可以使用基于角色的访问控制和用户配置文件来限制遭到入侵的用户帐户可能造成的损害。SIEM 工具可与防火墙、入侵检测、端点安全和内部威胁监控工具一起使用,以提供全方位的安全解决方案。在远程/混合工作司空见惯或自带设备(BYOD)策略到位的环境中,这种功能和灵活性至关重要。
释放 SIEM 的潜力
SIEM 是一个用于监控、评估和分析安全威胁的强大的概念。下一代 SIEM 工具利用深度学习技术,通过自动检测和识别异常网络行为来提高安全性。这些工具使用交互式仪表板提供有关恶意活动的实时信息,以便管理员及时采取纠正措施。
SIEM 是您武器库中的关键工具,可用于检测和消除网络犯罪分子破坏您系统的企图。
虽然 SIEM 是主动防御网络威胁的重要组成部分,但如果网络攻击得逞,有备用方案同样也很重要。为避免受到攻击,您应确保保留和维护安全可靠的不可变备份。
如果您想详细了解 Veeam 如何帮助您保护数据,请立即联系我们来预约咨询或安排软件演示。
