浅谈SIEM
一、概念
SIEM ( Security Information Event Management,安全信息與事件管理)
Gartner的定義:SIEM為來自企業(yè)和組織中所有IT資產(chǎn)(包括網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用)產(chǎn)生的安全信息(包括日志、告警等)進(jìn)行統(tǒng)一的實(shí)時(shí)監(jiān)控、歷史分析,對來自外部的入侵和內(nèi)部的違規(guī)、誤操作行為進(jìn)行監(jiān)控、審計(jì)分析、調(diào)查取證、出具各種報(bào)表報(bào)告,實(shí)現(xiàn)IT資源合規(guī)性管理的目標(biāo),同時(shí)提升企業(yè)和組織的安全運(yùn)營、威脅管理和應(yīng)急響應(yīng)能力。
SIEM技術(shù)已經(jīng)存在了十多年,是從日志管理學(xué)科發(fā)展而來的。最初是基于傳統(tǒng)的日志收集和管理,引入了對日志數(shù)據(jù)的長期存儲(chǔ),分析和報(bào)告,并將日志與威脅情報(bào)結(jié)合起來(SIM);后來具備可以解決系統(tǒng)安全事件的能力:通過對防病毒系統(tǒng)、防火墻和入侵檢測等事件的聚合、關(guān)聯(lián),實(shí)時(shí)分析日志和事件數(shù)據(jù),提供威脅監(jiān)控和事件響應(yīng)(SEM)。SIEM 作為SOC平臺(tái)的基礎(chǔ)支撐技術(shù),主要是用來收集、監(jiān)測和分析網(wǎng)絡(luò)資產(chǎn)和安全設(shè)備的日志和事件。高級(jí)的SIEM已經(jīng)發(fā)展到包括用戶行為分析(UEBA)以及安全編排自動(dòng)響應(yīng)(SOAR),近幾年也出現(xiàn)了SIEM和SOAR之爭。SOAR解決方案可以作為SIEM解決方案的一種補(bǔ)充,因?yàn)镾IEM偏“記錄”,SOAR偏“行動(dòng)”。
二、作用
1、數(shù)據(jù)聚合
聚合來自網(wǎng)絡(luò),服務(wù)器,數(shù)據(jù)庫,應(yīng)用程序和其他安全系統(tǒng)(如防火墻,防病毒和入侵檢測系統(tǒng)(IDS))的數(shù)據(jù)。
2、威脅情報(bào)提供
將內(nèi)部數(shù)據(jù)與包含漏洞,威脅參與者和攻擊模式數(shù)據(jù)的威脅情報(bào)源相結(jié)合。
3、關(guān)聯(lián)
將事件和相關(guān)數(shù)據(jù)鏈接到有意義的捆綁包中,這些捆綁包代表真正的安全事件,威脅,漏洞或取證發(fā)現(xiàn)。
4、Analytics(分析)
使用統(tǒng)計(jì)模型和機(jī)器學(xué)習(xí)來識(shí)別數(shù)據(jù)元素之間更深層次的關(guān)系,以及與已知趨勢相比的異常,并將它們與安全問題聯(lián)系起來。
5、警報(bào)
分析事件并發(fā)出警報(bào),通過電子郵件或其他方式,比如安全儀表板即時(shí)告知安全人員。
6、儀表板和可視化
創(chuàng)建可視化,以允許員工查看事件數(shù)據(jù),識(shí)別不符合標(biāo)準(zhǔn)模式的活動(dòng)
7、合規(guī)
自動(dòng)收集合規(guī)性數(shù)據(jù),生成適應(yīng)HIPAA,PCI / DSS,HITECH,SOX和GDPR等標(biāo)準(zhǔn)的安全性、治理和審計(jì)流程的報(bào)告。
8、存儲(chǔ)
長期存儲(chǔ)歷史數(shù)據(jù),以便為合規(guī)性要求、追蹤取證等提供數(shù)據(jù)。
9、威脅發(fā)現(xiàn)
允許安全人員對SIEM數(shù)據(jù)運(yùn)行查詢,過濾和透視數(shù)據(jù),以主動(dòng)發(fā)現(xiàn)威脅或漏洞。
10、事件響應(yīng)
提供圍繞安全事件的案例管理,協(xié)作和知識(shí)共享,使安全團(tuán)隊(duì)能夠快速同步基本數(shù)據(jù)并及時(shí)響應(yīng)威脅。
11、SOC自動(dòng)化
使用API與其他安全解決方案集成,并允許安全人員定義應(yīng)執(zhí)行以響應(yīng)特定事件的自動(dòng)化手冊和工作流。
以下是評(píng)估SIEM產(chǎn)品時(shí)要審核的一些最重要的功能:
?與其他控件集成 - 系統(tǒng)是否可以向其他企業(yè)安全控件發(fā)出命令以防止或阻止正在進(jìn)行的攻擊?
? 人工智能 - 系統(tǒng)能否通過機(jī)器和深度學(xué)習(xí)提高自身的準(zhǔn)確性?
?威脅情報(bào)源 - 系統(tǒng)是否支持組織選擇的威脅情報(bào)源,或者是否強(qiáng)制要求使用特定的源?
?強(qiáng)大的合規(guī)性報(bào)告 - 系統(tǒng)是否包含針對常見合規(guī)性需求的內(nèi)置報(bào)告,以及是否為組織提供定制或創(chuàng)建新合規(guī)性報(bào)告的能力?
? 取證功能 - 系統(tǒng)是否可以通過記錄感興趣的數(shù)據(jù)包的標(biāo)頭和內(nèi)容來捕獲有關(guān)安全事件的其他信息?
三、工作原理
SIEM軟件的工作原理是收集整個(gè)組織基礎(chǔ)架構(gòu)中的主機(jī)系統(tǒng),安全設(shè)備和應(yīng)用程序生成的日志以及事件數(shù)據(jù),并在集中平臺(tái)上進(jìn)行整理。從防病毒事件到防火墻日志,SIEM軟件可識(shí)別此數(shù)據(jù)并將其分類,例如惡意軟件活動(dòng),失敗和成功登錄以及其他潛在的惡意活動(dòng)。
安全信息和事件管理過程可以分解如下:
數(shù)據(jù)收集??- 所有網(wǎng)絡(luò)安全信息源(例如服務(wù)器,操作系統(tǒng),防火墻,防病毒軟件和入侵防御系統(tǒng))都配置為將事件數(shù)據(jù)提供給SIEM工具。大多數(shù)現(xiàn)代SIEM工具使用代理從企業(yè)系統(tǒng)收集事件日志,然后處理,過濾并將它們發(fā)送到SIEM。一些SIEM允許無代理數(shù)據(jù)收集。例如,Splunk使用WMI(Windows Manage Instrumentation,windows管理規(guī)范)在Windows中提供無代理數(shù)據(jù)收集。
策略??- 配置文件由SIEM管理員創(chuàng)建,該管理員在正常情況下和預(yù)定義的安全事件期間定義企業(yè)系統(tǒng)的行為。SIEM提供默認(rèn)規(guī)則,警報(bào),報(bào)告和儀表板,可以進(jìn)行調(diào)整和自定義以滿足特定的安全需求。
數(shù)據(jù)整合和關(guān)聯(lián)??- SIEM解決方案整合,解析和分析日志文件。然后根據(jù)原始數(shù)據(jù)對事件進(jìn)行分類,并應(yīng)用將各個(gè)數(shù)據(jù)事件組合成有意義的安全問題的關(guān)聯(lián)規(guī)則。
通知??- 如果事件或事件集觸發(fā)SIEM規(guī)則,系統(tǒng)會(huì)通知安全人員
當(dāng)軟件識(shí)別出可能對組織構(gòu)成威脅的活動(dòng)時(shí),會(huì)生成警報(bào)以指示潛在的安全問題。可以使用一組預(yù)定義規(guī)則將這些警報(bào)設(shè)置為低優(yōu)先級(jí)或高優(yōu)先級(jí)。例如,如果用戶帳戶在20分鐘內(nèi)生成20次失敗登錄嘗試,則可能會(huì)將其標(biāo)記為可疑活動(dòng),但設(shè)置為較低優(yōu)先級(jí),因?yàn)樗钣锌赡苁峭浧涞卿浽敿?xì)信息的用戶。但是,如果帳戶在5分鐘內(nèi)遇到120次登錄嘗試失敗,則更有可能是正在進(jìn)行的暴力攻擊并被標(biāo)記為高嚴(yán)重性事件。
四、日志管理流程
SIEM服務(wù)器的根源是日志管理平臺(tái)。日志管理涉及收集數(shù)據(jù),對其進(jìn)行管理以啟用分析以及保留歷史數(shù)據(jù)。
哪些組織系統(tǒng)將其日志提供給SIEM?SIEM對哪些其他業(yè)務(wù)數(shù)據(jù)感興趣呢,下圖大致描繪了SIEM的數(shù)據(jù)源。
1、數(shù)據(jù)采集
SIEM從數(shù)百個(gè)組織系統(tǒng)收集日志和事件(有關(guān)部分列表,請參閱下面的日志源)。每次設(shè)備發(fā)生時(shí),每個(gè)設(shè)備都會(huì)生成一個(gè)事件,并將事件收集到平面日志文件或數(shù)據(jù)庫中。SIEM可以通過四種方式收集數(shù)據(jù):
通過安裝在設(shè)備上的代理(最常用的方法)
通過使用網(wǎng)絡(luò)協(xié)議或API調(diào)用直接連接到設(shè)備
通過直接從存儲(chǔ)訪問日志文件,通常采用Syslog格式
通過SNMP,Netflow或IPFIX等事件流協(xié)議
SIEM的任務(wù)是從設(shè)備中收集數(shù)據(jù),對其進(jìn)行標(biāo)準(zhǔn)化并將其保存為能夠進(jìn)行分析的格式。下一代SIEM預(yù)先集成了通用云系統(tǒng)和數(shù)據(jù)源,允許直接提取日志數(shù)據(jù)。
2、數(shù)據(jù)管理
在大型組織中,SIEM可以存儲(chǔ)大量數(shù)據(jù)。這些數(shù)據(jù)或存儲(chǔ)在本地或存儲(chǔ)在云端,基于Amazon S3,Hadoop或ElasticSearch等技術(shù)實(shí)現(xiàn)數(shù)據(jù)的高效存儲(chǔ)和檢索。
3、記錄保留
PCI DSS,HIPAA和SOX等行業(yè)標(biāo)準(zhǔn)要求將日志保留1到7年,大型企業(yè)每天都會(huì)從IT系統(tǒng)中創(chuàng)建大量日志,SIEM需要了解他們保留哪些日志以滿足合規(guī)性和取證要求,SIEM使用以下策略來減少日志量:
Syslog服務(wù)器 - syslog是一種標(biāo)準(zhǔn)化日志的標(biāo)準(zhǔn),僅保留標(biāo)準(zhǔn)格式的基本信息。Syslog允許您壓縮日志并保留大量歷史數(shù)據(jù)。
刪除計(jì)劃 - SIEM會(huì)自動(dòng)清除不再需要的舊日志,通過從Syslog格式訪問日志文件。
日志過濾 - 并非所有日志都是組織面臨的合規(guī)性要求或法醫(yī)目的所需的。可以按源系統(tǒng),時(shí)間或SIEM管理員定義的其他規(guī)則過濾日志。
匯總 - log數(shù)據(jù)可以匯總為僅維護(hù)重要的數(shù)據(jù)元素,例如事件計(jì)數(shù),唯一IP等。
歷史日志不僅對合規(guī)性和取證有用,還可用于深度行為分析。如用戶行為分析(UEBA)技術(shù),該技術(shù)使用機(jī)器學(xué)習(xí)和行為分析來智能地識(shí)別異常或趨勢。
下一代SIEM利用低成本的分布式存儲(chǔ),允許組織保留完整的源數(shù)據(jù)。這樣可以對歷史數(shù)據(jù)進(jìn)行深入的行為分析,以捕獲更廣泛的異常和安全問題。
六、SOAR的介入
1、概念
SOAR(security orchestration, automation and response,安全編排自動(dòng)化響應(yīng))
安全編排自動(dòng)化響應(yīng)(SOAR,Security Orchestration and Automation Response)是Gartner 2018年在安全領(lǐng)域定義的最新前沿技術(shù),與UEBA、EDR等側(cè)重于威脅識(shí)別發(fā)現(xiàn)的技術(shù)不同,SOAR集中在識(shí)別后的威脅處理,強(qiáng)調(diào)用戶可以通過事件編排以編碼實(shí)現(xiàn)任意的威脅處理邏輯。
2、作用
大部分傳統(tǒng)安全廠商只關(guān)注識(shí)別,忽略了處理,支持簡單的阻斷/通知/放行的處理方式,另一方面,企業(yè)對于威脅的處理又有復(fù)雜的邏輯編排需求,希望通過和已有的安全產(chǎn)品聯(lián)動(dòng)起來,形成威脅處理的閉環(huán)。SIEM雖然可以對可疑行為發(fā)出警報(bào),但真正的目標(biāo)是盡可能快速有效地對可疑行為采取行動(dòng)。SOAR整合數(shù)據(jù)源,使用威脅情報(bào)源提供的信息,并自動(dòng)響應(yīng)以提高效率和效果。SIEM可以“說”某些東西,但那些包含SOAR的東西可以“做”某些東西。
SOAR通過更豐富,更高質(zhì)量的數(shù)據(jù)和日常安全任務(wù)的自動(dòng)化的聚合和關(guān)聯(lián),幫助組織增強(qiáng)威脅檢測和響應(yīng)。SOAR影響SIEM的另一個(gè)關(guān)鍵方法是幫助標(biāo)準(zhǔn)化事件分析和響應(yīng)程序。這里的目標(biāo)是部分或完全自動(dòng)化一系列活動(dòng),以便安全人員有更多時(shí)間來尋找威脅而不是響應(yīng)威脅。通過自動(dòng)執(zhí)行響應(yīng)操作,例如阻止防火墻或入侵檢測系統(tǒng)上的IP地址,暫停用戶帳戶或?qū)⑹芨腥镜亩它c(diǎn)與網(wǎng)絡(luò)隔離,SOAR可以幫助促進(jìn)更快的事件響應(yīng),從而減少潛在的破壞和破壞原因。
最后
購買和運(yùn)行SIEM產(chǎn)品的復(fù)雜性和成本,以及其他安全分析技術(shù)的出現(xiàn),引起了人們對收集和分析事件數(shù)據(jù)以識(shí)別和響應(yīng)高級(jí)攻擊的替代方法的興趣。Elasticsearch,Logstash和Kibana(又名ELK堆棧或Elastic Stack)的組合就是一個(gè)很好的例子。還出現(xiàn)了替代基礎(chǔ)廣泛的SIEM解決方案的替代方案,這些解決方案主要集中在日志收集和安全分析元素上。在這個(gè)領(lǐng)域競爭的廠商包括Elastic,Cybraics,Empow,Elysium,Jask(由Sumo Logic收購),MistNet,PatternEx,Qomplx,Rank Software和Seceon。
與商業(yè)技術(shù)相比,擁有足夠資源來部署和管理這些資源以及開發(fā)和維護(hù)分析的組織,也許能夠獲得一種滿足其需求的解決方案,從而以更低的成本獲得解決方案。然而,對研發(fā)和安全能力不足的客戶來說,盡管這些軟件是免費(fèi)的,但為這些解決方案進(jìn)行規(guī)模化設(shè)計(jì)所涉及的工作量以及支持所需事件源和分析所需的開發(fā)工作仍然是巨大的,從投入產(chǎn)出比來說,有可能購買商業(yè)版解決方案或許是更好的選擇。
參考
https://www.gartner.com/doc/reprints?id=1-1YEDHXVD&ct=200219&st=sb
https://mp.weixin.qq.com/s/PZ7ofQqHsFyQ7JBr3sAkCg
https://mp.weixin.qq.com/s/RXUw6wZ6UIusiUWz0Ccsrw
總結(jié)
- 上一篇: 摊饼怎么做?
- 下一篇: 怎么创建具有真实纹理的CG场景岩石?