來源：https://logz.io/blog/what-is-siem/

SIEM(安全信息和事件管理)是一個由不同的監(jiān)視和分析組件組成的安全和審計系統(tǒng)。最近網(wǎng)絡(luò)攻擊的增加，加上組織要求更嚴(yán)格的安全法規(guī)，使SIEM成為越來越多的組織正在采用的標(biāo)準(zhǔn)安全方法。

但是SIEM實際上涉及到什么呢?它由哪些不同的部分組成?SIEM實際上如何幫助減輕攻擊?本文試圖提供一種SIEM 101。后續(xù)文章將深入探討一些可用于實際實現(xiàn)SIEM的解決方案。

1、為什么我們需要SIEM?

毫無疑問，對計算機(jī)系統(tǒng)的攻擊不斷增加。Coinmining, DDoS, ransomware，惡意軟件，僵尸網(wǎng)絡(luò)，網(wǎng)絡(luò)釣魚——這只是今天那些正義之戰(zhàn)所面臨的威脅的一部分。

有趣的是，正如賽門鐵克(Symantec)在其2018年互聯(lián)網(wǎng)安全威脅報告中所指出的那樣，不僅攻擊數(shù)量在上升，使用的途徑和方法也在上升:

“從WannaCry和Petya/NotPetya的突然傳播，到造幣商的迅速增長，2017年再次提醒我們，數(shù)字安全威脅可能來自新的和意想不到的來源。”隨著時間的推移，不僅威脅的數(shù)量在不斷增加，而且威脅的范圍也變得更加多樣化，攻擊者會更加努力地尋找新的攻擊途徑，并在此過程中隱藏自己的蹤跡。

系統(tǒng)和網(wǎng)絡(luò)監(jiān)控在幫助組織保護(hù)自己免受這些攻擊方面一直發(fā)揮著關(guān)鍵作用，多年來已經(jīng)發(fā)展了一些相關(guān)的方法和技術(shù)。然而，網(wǎng)絡(luò)犯罪性質(zhì)的變化意味著一些攻擊往往會被忽視，這一點很快就變得顯而易見。數(shù)據(jù)融合，即來自多個數(shù)據(jù)源的數(shù)據(jù)的聚合和不同事件之間的相關(guān)性，以及長時間保留這些數(shù)據(jù)的能力變得至關(guān)重要。

網(wǎng)絡(luò)攻擊的增長導(dǎo)致合規(guī)要求更加嚴(yán)格。健康保險流通與責(zé)任法案(HIPAA),支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS),薩班斯-奧克斯利法案(SOX),和一般的數(shù)據(jù)保護(hù)監(jiān)管(GDPR)——所有的這些都需要組織來實現(xiàn)一組全面的安全控制,包括監(jiān)測、審計和報告,所有這些都促進(jìn)了SIEM系統(tǒng)。

2、定義與演變

簡單地說，SIEM是一個由多個監(jiān)視和分析組件組成的安全系統(tǒng)，旨在幫助組織檢測和減輕威脅。

如上所述，SIEM將許多其他安全規(guī)程和工具結(jié)合在一個綜合的框架下:

日志管理(LMS)——用于傳統(tǒng)日志收集和存儲的工具。

安全信息管理(SIM)——集中于從多個數(shù)據(jù)源收集和管理與安全相關(guān)的數(shù)據(jù)的工具或系統(tǒng)。例如，這些數(shù)據(jù)源可以是防火墻、DNS服務(wù)器、路由器和防病毒應(yīng)用程序。

安全事件管理(SEM)——基于主動監(jiān)視和分析的系統(tǒng)，包括數(shù)據(jù)可視化、事件相關(guān)性和警報。

SIEM是今天的術(shù)語管理系統(tǒng),所有上述合并到一個層,知道如何從分布式自動收集和處理信息的來源,將它存儲在一個集中位置,不同事件之間的關(guān)聯(lián),并根據(jù)這些信息生成警報和報告。

3、SIEM組件

SIEM不是一個單獨的工具或應(yīng)用程序(盡管有一些工具可以幫助部署SIEM系統(tǒng)，見下文)，而是一組不同的構(gòu)建塊，它們都是系統(tǒng)的一部分。沒有標(biāo)準(zhǔn)的SIEM協(xié)議或已建立的方法，但是大多數(shù)SIEM系統(tǒng)將包含本節(jié)中描述的大部分(如果不是全部的話)元素。

3.1聚合

日志表示在數(shù)字環(huán)境中運行的進(jìn)程的原始輸出，是提供實時發(fā)生的事情的準(zhǔn)確圖像的最佳來源，因此是SIEM系統(tǒng)的主要數(shù)據(jù)源。

無論是防火墻日志、服務(wù)器日志、數(shù)據(jù)庫日志，還是在您的環(huán)境中生成的任何其他類型的日志，SIEM系統(tǒng)都能夠收集這些數(shù)據(jù)并將其存儲在一個中心位置以進(jìn)行擴(kuò)展的保留。此收集過程通常由代理或應(yīng)用程序執(zhí)行，部署在監(jiān)視的系統(tǒng)上，并配置為將數(shù)據(jù)轉(zhuǎn)發(fā)到SIEM系統(tǒng)的中央數(shù)據(jù)存儲。

3.2處理和標(biāo)準(zhǔn)化

在SIEM上下文中收集數(shù)據(jù)的最大挑戰(zhàn)是克服各種日志格式。從本質(zhì)上說，SIEM系統(tǒng)將從大量層(服務(wù)器、防火墻、網(wǎng)絡(luò)路由器、數(shù)據(jù)庫)中提取數(shù)據(jù)，每種記錄的格式都不同。

看看下面的例子:

這兩個日志消息報告的是同一個事件——特定用戶(您的真實用戶)和客戶機(jī)IP的身份驗證失敗。注意時間戳字段的格式、用戶的日志記錄方式和實際消息的不同。

為了能夠跨不同源和事件相關(guān)性高效地解釋數(shù)據(jù)，SIEM系統(tǒng)能夠規(guī)范化日志。這個規(guī)范化過程包括將日志處理為可讀的結(jié)構(gòu)化格式，從日志中提取重要數(shù)據(jù)，并映射日志中包含的不同字段。

3.3關(guān)聯(lián)

一旦收集、解析和存儲，SIEM系統(tǒng)中的下一步將負(fù)責(zé)連接這些點并關(guān)聯(lián)來自不同數(shù)據(jù)源的事件。這種關(guān)聯(lián)工作基于各種SIEM工具提供的規(guī)則、為不同的攻擊場景預(yù)定義的規(guī)則，或者由分析人員創(chuàng)建和調(diào)整的規(guī)則。

簡單地說，關(guān)聯(lián)規(guī)則定義了一個特定的事件序列，該序列可能表示安全性受到了破壞。例如，可以創(chuàng)建一個規(guī)則來確定在一段時間內(nèi)從特定IP范圍和端口發(fā)送的請求數(shù)量何時超過x。

環(huán)境中記錄的數(shù)據(jù)量非常大。即使是中小型組織也很可能每天發(fā)送數(shù)十gb的數(shù)據(jù)。實際上，規(guī)則通過消除干擾并指向可能有意義的事件，幫助將數(shù)據(jù)壓縮為更易于管理的數(shù)據(jù)集。

大多數(shù)SIEM系統(tǒng)還提供生成報告的內(nèi)置機(jī)制。這些報告可以用于管理、審計或合規(guī)性原因。例如，可以將詳細(xì)描述觸發(fā)警報或規(guī)則的每日報告嵌入到儀表板中。

3.4呈現(xiàn)

可視化數(shù)據(jù)和事件的能力是SIEM系統(tǒng)中的另一個關(guān)鍵組件，因為它允許分析人員方便地查看數(shù)據(jù)。包含多個可視化或視圖的儀表板有助于識別趨勢、異常情況，并監(jiān)控環(huán)境的總體健康或安全狀態(tài)。一些SIEM工具將附帶預(yù)先制作的儀表板，而另一些工具將允許用戶創(chuàng)建和調(diào)整自己的儀表板。

3.5緩解和修復(fù)

一旦相關(guān)規(guī)則就位，并監(jiān)視構(gòu)建的儀表板以提供系統(tǒng)的全面概述，SIEM系統(tǒng)的最后一個關(guān)鍵組件就是一旦識別事件如何處理。

大多數(shù)SIEM系統(tǒng)支持自動包含和減輕安全事件的機(jī)制。例如，根據(jù)相關(guān)規(guī)則，可以將SIEM系統(tǒng)配置為自動啟動內(nèi)部升級流程——執(zhí)行腳本，這些腳本通過觸發(fā)警報、打開票證等來啟動包含進(jìn)程并將球傳遞到組織中的正確資源。

4、那么，SIEM如何提供幫助呢?

我們已經(jīng)定義了什么是SIEM，并且對組成SIEM系統(tǒng)的主要組件有了大致的了解。但是SIEM系統(tǒng)實際上是如何幫助安全分析人員識別和阻止攻擊的呢?

4.1可見性

對于安全分析人員來說，SIEM系統(tǒng)是他們所保護(hù)的IT環(huán)境的焦點。SIEM系統(tǒng)集中收集來自所有相關(guān)數(shù)據(jù)源的安全數(shù)據(jù)，存儲大量信息，可以使用這些信息了解實時發(fā)生的事件和流程。

獲得的可見性程度直接受到作為SIEM系統(tǒng)一部分的日志聚合和收集過程的影響。如上所述，如果沒有適當(dāng)?shù)奶幚砗徒馕?#xff0c;日志數(shù)據(jù)將缺乏結(jié)構(gòu)，因此將更加難于分析。

SIEM系統(tǒng)的另一個主要優(yōu)點是能夠?qū)⑹录P(guān)聯(lián)起來并在儀表盤中可視化數(shù)據(jù)，這為分析人員提供了一種獲得實時可見性的方法。

4.2事件檢測和緩解

許多事件不會被第一行安全設(shè)備注意到，因為它們沒有更廣泛的上下文。SIEM相關(guān)規(guī)則以及圍繞它們構(gòu)建的報告機(jī)制可以幫助組織在發(fā)生這些事件時得到通知。

在DDoS攻擊的例子中，防火墻很可能報告異常的網(wǎng)絡(luò)流量，而web服務(wù)器請求則報告來自特定ip組的請求的404響應(yīng)。

在這種情況下，緩解可能只是指示防火墻阻止來自這些ip的通信，可以將SIEM規(guī)則配置為在這兩個事件之間進(jìn)行關(guān)聯(lián)，并向相關(guān)資源發(fā)出警報，以便在早期阻止攻擊。

4.3合規(guī)

當(dāng)今大多數(shù)合規(guī)性類型，如HIPAA、PCI DSS、SOX和GDPR，都要求組織遵守一系列的安全控制。這些控制包括:日志收集、監(jiān)視、審計和警報。

不用說，從上面的描述中已經(jīng)很清楚，SIEM系統(tǒng)為所有這些文章提供了支持，這也是SIEM成為實現(xiàn)安全性和合規(guī)性的行業(yè)標(biāo)準(zhǔn)的原因之一。

5、下一個什么?

這篇文章更多的是理論，而不是實踐。組織正在實現(xiàn)SIEM，以保護(hù)其環(huán)境，并遵從越來越多的合規(guī)類型。一旦組織將SIEM的需求內(nèi)在化，下一個自然階段就是規(guī)劃技術(shù)實現(xiàn)。

可以使用各種工具和平臺來實現(xiàn)SIEM，包括專有的(AlienVault、QRadar、LogRhythm)和開源的(OSSIM、OSSEC、ELK)。在以后的文章中，我們將討論這個精確的主題，概述不同的解決方案及其優(yōu)缺點。

?

0人點贊

?

隨筆

?

作者：Threathunter
鏈接：https://www.jianshu.com/p/f7330951e1ef
來源：簡書
著作權(quán)歸作者所有。商業(yè)轉(zhuǎn)載請聯(lián)系作者獲得授權(quán)，非商業(yè)轉(zhuǎn)載請注明出處。

總結(jié)

以上是生活随笔為你收集整理的【转】什么是SIEM？的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。