【转】什么是SIEM?
來源:https://logz.io/blog/what-is-siem/
SIEM(安全信息和事件管理)是一個由不同的監(jiān)視和分析組件組成的安全和審計系統(tǒng)。最近網(wǎng)絡(luò)攻擊的增加,加上組織要求更嚴(yán)格的安全法規(guī),使SIEM成為越來越多的組織正在采用的標(biāo)準(zhǔn)安全方法。
但是SIEM實際上涉及到什么呢?它由哪些不同的部分組成?SIEM實際上如何幫助減輕攻擊?本文試圖提供一種SIEM 101。后續(xù)文章將深入探討一些可用于實際實現(xiàn)SIEM的解決方案。
1、為什么我們需要SIEM?
毫無疑問,對計算機(jī)系統(tǒng)的攻擊不斷增加。Coinmining, DDoS, ransomware,惡意軟件,僵尸網(wǎng)絡(luò),網(wǎng)絡(luò)釣魚——這只是今天那些正義之戰(zhàn)所面臨的威脅的一部分。
有趣的是,正如賽門鐵克(Symantec)在其2018年互聯(lián)網(wǎng)安全威脅報告中所指出的那樣,不僅攻擊數(shù)量在上升,使用的途徑和方法也在上升:
“從WannaCry和Petya/NotPetya的突然傳播,到造幣商的迅速增長,2017年再次提醒我們,數(shù)字安全威脅可能來自新的和意想不到的來源。”隨著時間的推移,不僅威脅的數(shù)量在不斷增加,而且威脅的范圍也變得更加多樣化,攻擊者會更加努力地尋找新的攻擊途徑,并在此過程中隱藏自己的蹤跡。
系統(tǒng)和網(wǎng)絡(luò)監(jiān)控在幫助組織保護(hù)自己免受這些攻擊方面一直發(fā)揮著關(guān)鍵作用,多年來已經(jīng)發(fā)展了一些相關(guān)的方法和技術(shù)。然而,網(wǎng)絡(luò)犯罪性質(zhì)的變化意味著一些攻擊往往會被忽視,這一點很快就變得顯而易見。數(shù)據(jù)融合,即來自多個數(shù)據(jù)源的數(shù)據(jù)的聚合和不同事件之間的相關(guān)性,以及長時間保留這些數(shù)據(jù)的能力變得至關(guān)重要。
網(wǎng)絡(luò)攻擊的增長導(dǎo)致合規(guī)要求更加嚴(yán)格。健康保險流通與責(zé)任法案(HIPAA),支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS),薩班斯-奧克斯利法案(SOX),和一般的數(shù)據(jù)保護(hù)監(jiān)管(GDPR)——所有的這些都需要組織來實現(xiàn)一組全面的安全控制,包括監(jiān)測、審計和報告,所有這些都促進(jìn)了SIEM系統(tǒng)。
2、定義與演變
簡單地說,SIEM是一個由多個監(jiān)視和分析組件組成的安全系統(tǒng),旨在幫助組織檢測和減輕威脅。
如上所述,SIEM將許多其他安全規(guī)程和工具結(jié)合在一個綜合的框架下:
日志管理(LMS)——用于傳統(tǒng)日志收集和存儲的工具。
安全信息管理(SIM)——集中于從多個數(shù)據(jù)源收集和管理與安全相關(guān)的數(shù)據(jù)的工具或系統(tǒng)。例如,這些數(shù)據(jù)源可以是防火墻、DNS服務(wù)器、路由器和防病毒應(yīng)用程序。
安全事件管理(SEM)——基于主動監(jiān)視和分析的系統(tǒng),包括數(shù)據(jù)可視化、事件相關(guān)性和警報。
SIEM是今天的術(shù)語管理系統(tǒng),所有上述合并到一個層,知道如何從分布式自動收集和處理信息的來源,將它存儲在一個集中位置,不同事件之間的關(guān)聯(lián),并根據(jù)這些信息生成警報和報告。
3、SIEM組件
SIEM不是一個單獨的工具或應(yīng)用程序(盡管有一些工具可以幫助部署SIEM系統(tǒng),見下文),而是一組不同的構(gòu)建塊,它們都是系統(tǒng)的一部分。沒有標(biāo)準(zhǔn)的SIEM協(xié)議或已建立的方法,但是大多數(shù)SIEM系統(tǒng)將包含本節(jié)中描述的大部分(如果不是全部的話)元素。
3.1聚合
日志表示在數(shù)字環(huán)境中運行的進(jìn)程的原始輸出,是提供實時發(fā)生的事情的準(zhǔn)確圖像的最佳來源,因此是SIEM系統(tǒng)的主要數(shù)據(jù)源。
無論是防火墻日志、服務(wù)器日志、數(shù)據(jù)庫日志,還是在您的環(huán)境中生成的任何其他類型的日志,SIEM系統(tǒng)都能夠收集這些數(shù)據(jù)并將其存儲在一個中心位置以進(jìn)行擴(kuò)展的保留。此收集過程通常由代理或應(yīng)用程序執(zhí)行,部署在監(jiān)視的系統(tǒng)上,并配置為將數(shù)據(jù)轉(zhuǎn)發(fā)到SIEM系統(tǒng)的中央數(shù)據(jù)存儲。
3.2處理和標(biāo)準(zhǔn)化
在SIEM上下文中收集數(shù)據(jù)的最大挑戰(zhàn)是克服各種日志格式。從本質(zhì)上說,SIEM系統(tǒng)將從大量層(服務(wù)器、防火墻、網(wǎng)絡(luò)路由器、數(shù)據(jù)庫)中提取數(shù)據(jù),每種記錄的格式都不同。
看看下面的例子:
這兩個日志消息報告的是同一個事件——特定用戶(您的真實用戶)和客戶機(jī)IP的身份驗證失敗。注意時間戳字段的格式、用戶的日志記錄方式和實際消息的不同。
為了能夠跨不同源和事件相關(guān)性高效地解釋數(shù)據(jù),SIEM系統(tǒng)能夠規(guī)范化日志。這個規(guī)范化過程包括將日志處理為可讀的結(jié)構(gòu)化格式,從日志中提取重要數(shù)據(jù),并映射日志中包含的不同字段。
3.3關(guān)聯(lián)
一旦收集、解析和存儲,SIEM系統(tǒng)中的下一步將負(fù)責(zé)連接這些點并關(guān)聯(lián)來自不同數(shù)據(jù)源的事件。這種關(guān)聯(lián)工作基于各種SIEM工具提供的規(guī)則、為不同的攻擊場景預(yù)定義的規(guī)則,或者由分析人員創(chuàng)建和調(diào)整的規(guī)則。
簡單地說,關(guān)聯(lián)規(guī)則定義了一個特定的事件序列,該序列可能表示安全性受到了破壞。例如,可以創(chuàng)建一個規(guī)則來確定在一段時間內(nèi)從特定IP范圍和端口發(fā)送的請求數(shù)量何時超過x。
環(huán)境中記錄的數(shù)據(jù)量非常大。即使是中小型組織也很可能每天發(fā)送數(shù)十gb的數(shù)據(jù)。實際上,規(guī)則通過消除干擾并指向可能有意義的事件,幫助將數(shù)據(jù)壓縮為更易于管理的數(shù)據(jù)集。
大多數(shù)SIEM系統(tǒng)還提供生成報告的內(nèi)置機(jī)制。這些報告可以用于管理、審計或合規(guī)性原因。例如,可以將詳細(xì)描述觸發(fā)警報或規(guī)則的每日報告嵌入到儀表板中。
3.4呈現(xiàn)
可視化數(shù)據(jù)和事件的能力是SIEM系統(tǒng)中的另一個關(guān)鍵組件,因為它允許分析人員方便地查看數(shù)據(jù)。包含多個可視化或視圖的儀表板有助于識別趨勢、異常情況,并監(jiān)控環(huán)境的總體健康或安全狀態(tài)。一些SIEM工具將附帶預(yù)先制作的儀表板,而另一些工具將允許用戶創(chuàng)建和調(diào)整自己的儀表板。
3.5緩解和修復(fù)
一旦相關(guān)規(guī)則就位,并監(jiān)視構(gòu)建的儀表板以提供系統(tǒng)的全面概述,SIEM系統(tǒng)的最后一個關(guān)鍵組件就是一旦識別事件如何處理。
大多數(shù)SIEM系統(tǒng)支持自動包含和減輕安全事件的機(jī)制。例如,根據(jù)相關(guān)規(guī)則,可以將SIEM系統(tǒng)配置為自動啟動內(nèi)部升級流程——執(zhí)行腳本,這些腳本通過觸發(fā)警報、打開票證等來啟動包含進(jìn)程并將球傳遞到組織中的正確資源。
4、那么,SIEM如何提供幫助呢?
我們已經(jīng)定義了什么是SIEM,并且對組成SIEM系統(tǒng)的主要組件有了大致的了解。但是SIEM系統(tǒng)實際上是如何幫助安全分析人員識別和阻止攻擊的呢?
4.1可見性
對于安全分析人員來說,SIEM系統(tǒng)是他們所保護(hù)的IT環(huán)境的焦點。SIEM系統(tǒng)集中收集來自所有相關(guān)數(shù)據(jù)源的安全數(shù)據(jù),存儲大量信息,可以使用這些信息了解實時發(fā)生的事件和流程。
獲得的可見性程度直接受到作為SIEM系統(tǒng)一部分的日志聚合和收集過程的影響。如上所述,如果沒有適當(dāng)?shù)奶幚砗徒馕?#xff0c;日志數(shù)據(jù)將缺乏結(jié)構(gòu),因此將更加難于分析。
SIEM系統(tǒng)的另一個主要優(yōu)點是能夠?qū)⑹录P(guān)聯(lián)起來并在儀表盤中可視化數(shù)據(jù),這為分析人員提供了一種獲得實時可見性的方法。
4.2事件檢測和緩解
許多事件不會被第一行安全設(shè)備注意到,因為它們沒有更廣泛的上下文。SIEM相關(guān)規(guī)則以及圍繞它們構(gòu)建的報告機(jī)制可以幫助組織在發(fā)生這些事件時得到通知。
在DDoS攻擊的例子中,防火墻很可能報告異常的網(wǎng)絡(luò)流量,而web服務(wù)器請求則報告來自特定ip組的請求的404響應(yīng)。
在這種情況下,緩解可能只是指示防火墻阻止來自這些ip的通信,可以將SIEM規(guī)則配置為在這兩個事件之間進(jìn)行關(guān)聯(lián),并向相關(guān)資源發(fā)出警報,以便在早期阻止攻擊。
4.3合規(guī)
當(dāng)今大多數(shù)合規(guī)性類型,如HIPAA、PCI DSS、SOX和GDPR,都要求組織遵守一系列的安全控制。這些控制包括:日志收集、監(jiān)視、審計和警報。
不用說,從上面的描述中已經(jīng)很清楚,SIEM系統(tǒng)為所有這些文章提供了支持,這也是SIEM成為實現(xiàn)安全性和合規(guī)性的行業(yè)標(biāo)準(zhǔn)的原因之一。
5、下一個什么?
這篇文章更多的是理論,而不是實踐。組織正在實現(xiàn)SIEM,以保護(hù)其環(huán)境,并遵從越來越多的合規(guī)類型。一旦組織將SIEM的需求內(nèi)在化,下一個自然階段就是規(guī)劃技術(shù)實現(xiàn)。
可以使用各種工具和平臺來實現(xiàn)SIEM,包括專有的(AlienVault、QRadar、LogRhythm)和開源的(OSSIM、OSSEC、ELK)。在以后的文章中,我們將討論這個精確的主題,概述不同的解決方案及其優(yōu)缺點。
?
0人點贊
?
隨筆
?
作者:Threathunter
鏈接:https://www.jianshu.com/p/f7330951e1ef
來源:簡書
著作權(quán)歸作者所有。商業(yè)轉(zhuǎn)載請聯(lián)系作者獲得授權(quán),非商業(yè)轉(zhuǎn)載請注明出處。
總結(jié)
以上是生活随笔為你收集整理的【转】什么是SIEM?的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 第一节: Timer的定时任务的复习、Q
- 下一篇: Apsara Clouder专项技能认证