什么是安全信息和事件管理(SIEM),有什么用处

安全信息和事件管理(SIEM)对于企业主动识别、管理和消除安全威胁至关重要。SIEM 解决方案采用事件关联、AI 驱动的异常检测以及机器学习驱动的用户和实体行为分析 (UEBA) 等机制来检测、审查和应对网络安全威胁。这些功能使 SIEM 系统能够提供实时安全警报,并增强组织快速有效地响应事件的能力。

SIEM 的演变

2005 年,Gartner®创造了 SIEM 一词,将安全信息管理(SIM)和安全事件管理(SEM)结合在一起。

  • 安全信息管理(SIM):SIM 涉及收集和存储所有与网络活动相关的数据。这可以从从服务器、防火墙、域控制器、路由器、数据库和 NetFlow 收集的日志数据,也可以从网络中存在的非结构化数据(例如电子邮件)中收集。
  • 安全事件管理(SEM):SEM是指对安全事件的监控和分析。使用各种技术实时分析这些内容,发送警报,并启动工作流以响应任何异常行为。
  • 下一代 SIEM:随着网络威胁的演变和日益复杂,对更先进的 SIEM 解决方案的需求显而易见。下一代 SIEM 在传统 SIEM 的基础上集成了高级分析、UEBA 和编排功能。这样可以更主动地进行威胁搜寻、更好的异常检测和更快的事件响应时间。

多年来,SIEM 工具已从简单的日志管理发展到复杂的威胁检测和管理。如今的 SIEM 在利用 AI 和 ML 功能(如 UEBA)进行高级持续性威胁检测方面发挥着重要作用。SIEM 工具可满足 SOC 的安全监控和分析用例的需求,例如确保数据和云安全、评估和管理网络风险以及遵守法规要求。

SIEM 解决方案的工作原理是什么

SIEM 解决方案从整个网络的源引入和分析与安全相关的数据点,并为安全管理员提供见解,以检测和缓解安全攻击。它的工作原理如下:

SIEM 解决方案引入事件数据(如日志和流数据)以进行网络行为分析。在基本层面上,该解决方案使用基于代理和无代理的机制收集网络中每个设备和应用程序生成的数据。该解决方案还采用非事件数据和上下文信息,例如威胁源。在 SIEM 软件中集中聚合所有数据后,将使用关联和 ML 算法对其进行规范化和分析,并将其转换为可操作的信息,这些信息以通知和交互式仪表板的形式交付给安全团队。

SIEM 解决方案的仪表板和图形报告提供对整个网络中发生的安全事件的实时洞察,这些分析仪表板可帮助安全分析师识别趋势和可疑行为,检查最近的警报,并监控整个网络的运行状况。

SIEM 解决方案的主要特性和功能是什么

  • 全面的日志管理
  • 事件关联
  • 取证分析
  • 安全事件管理
  • 高级威胁分析
  • 用户行为分析(UBA)

全面的日志管理

SIEM 解决方案从整个网络的来源引入日志数据,包括服务器、防火墙、入侵检测和防御系统、应用程序、数据库服务器、交换机、路由器、Active Directory 服务器、工作站等。这些汇总的日志数据安全地存储在一个中心位置,便于分析。日志收集通常使用各种技术执行,例如无代理和基于代理的日志收集。

  • 基于代理的日志收集:此方法要求在每台设备上部署代理。代理收集日志,然后分析并筛选日志,然后再将日志返回到 SIEM 服务器。该技术主要用于封闭和安全的网络,例如通信受到限制的非军事区。
  • 无代理日志收集:这是更常用的方法,其中设备生成的日志由 SIEM 服务器使用安全通信通道(例如使用安全协议的特定端口)自动收集。

在日志收集之后,SIEM 工具会解析日志,提取和规范化数据,使其适合有效的分析和关联。

事件关联

SIEM 解决方案的主要用途是威胁检测,通过聚合和关联安全数据来实现。关联引擎处理规则,这些规则是可能指示安全威胁的事件序列。现代 SIEM 解决方案使用非事件数据和威胁源来丰富其关联引擎的效率。SIEM 解决方案是可定制的,使用户能够微调关联规则以捕获特定于企业的威胁。此外,关联能力与自动化工作流执行相关联,从而减少了解决需要立即干预的威胁的手动过程。

应通过在企业防火墙中编写规则来立即阻止来自恶意来源的流量。SIEM 解决方案不仅应将防火墙日志与威胁源相关联,以检测允许的恶意流量,还应提供通过编写防火墙规则或策略立即阻止流量的选项。

取证分析

借助 SIEM 解决方案,安全分析师可以安全地长时间保留日志数据,并有效地梳理大量日志。这使他们能够检查安全事件,以确定数据泄露的程度,确定攻击的肇事者,查看攻击者在环境中停留的时间,了解他们采取的一系列操作,并评估业务影响。此外,取证团队还可以重建过去的安全事件,以查明任何安全漏洞并防止未来的网络攻击。

安全事件管理

SIEM 解决方案收集所有检测到的事件,并在仪表板中显示时间线和关键数据点,以便从单个控制台监控、会审和解决这些事件。虽然 SIEM 解决方案的实时警报系统有助于缩短平均检测时间(MTTD),但安全事件管理控制台通过提供从控制台内执行缓解步骤的功能来帮助最大限度地减少平均解决时间(MTTR)。SIEM 工具的事件管理功能还通过提供仪表板来跟踪和分类事件解决过程,从而确保对安全专业人员的问责制。

高级威胁分析

实施不同的威胁检测机制(基于规则的关联、基于签名的威胁检测和基于 ML 的异常检测)与实时安全警报相结合,增强了 SIEM 解决方案准确发现威胁和减少 MTTD 的能力。安全分析为有效的威胁调查提供了一个平台,通过来自可靠的开源工具或第三方供应商的威胁源集成,进一步增强了这一平台。威胁建模框架(如 MITRE ATT&CK)的实施进一步增强了 SIEM 解决方案的威胁搜寻、检测、分析和修复功能。这允许管理员快速识别威胁源,从而加快缓解过程。

用户行为分析(UBA)

SIEM 工具的 UEBA 功能使用 ML 和深度学习算法检测组织网络中的异常行为。通过收集与网络中的用户和实体活动相关的数据来创建行为基线。当检测到任何偏离基线的情况时,将根据严重程度分配风险评分。偏差可能包括在异常时间登录、短时间内登录失败次数过多、权限提升等。如果风险评分超过设定的阈值,安全管理员会收到实时通知。ML 驱动的 UEBA 可捕获高级持续性威胁,这些威胁通常无法通过基于规则的检测机制检测到。UEBA 在检测内部威胁、帐户泄露和数据泄露方面也发挥着重要作用。

在这里插入图片描述

SIEM 解决方案用例

  • 合规审计
  • 云安全和监控
  • 用户监控和内部威胁检测

合规审计

许多组织都需要遵守法规要求。SIEM工具可以简化整个审计流程,通过为各种合规标准(如 PCI DSS、GDPR、HIPAA、FISMA、SOX、FERPA、NERC CIP、PDPA 等)提供开箱即用的审计就绪报告,最大限度地降低安全风险并简化企业的合规性演示,某些 SIEM 解决方案还允许用户根据其审核要求自定义或创建新的合规性报告。

云安全和监控

随着越来越多的组织转向云,新的安全挑战可能会出现。使用 SIEM 工具可以提高对云环境的可见性,帮助组织降低风险并增强对威胁的防御能力。

云访问安全代理(CASB)使用组织的安全策略来检查云服务提供商和组织之间传输的数据。例如,如果员工将敏感的公司数据存储在未经批准的云应用程序上,CASB 会协助 IT 团队识别用户访问的所有非托管应用程序并实施补救措施。将 SIEM 与 CASB 集成,可为 IT 管理员提供云安全的整体视图,增强威胁检测并建立协调的事件响应。

用户监控和内部威胁检测

除了增强网络监控外,SIEM 解决方案还提供监控组织内用户活动的功能,从而能够检测和预防有意和无意的内部威胁。这确保了用户不会滥用其访问权限来泄露敏感信息或使网络系统受到外部攻击。SIEM 解决方案提供对用户登录和注销活动的宝贵见解,并跟踪对敏感文件和文件夹所做的配置更改和修改。

部署 SIEM 解决方案有哪些优势

  • 遵守和管理:将各种合规性法规的要求与安全操作对应起来,并为各种法规要求提供可审计的合规性报告模板和合规性违规警报。
  • 更快、更高效的安全运营:发现安全威胁并确定解决的优先级,自动响应已知威胁,并改进 MTTR。
  • 优化网络运营:持续监控所有网络活动并存储日志数据,以便进行根本原因分析和故障排除。
  • 网络弹性:通过日志取证和影响分析,在发生违规或安全事件后恢复业务,并立即生成事件报告,以避免合规性处罚。
  • 安全编排:与网络中的其他 IT 解决方案集成并集中管理安全。

下一代SIEM 功能

为了应对不断变化的安全环境,下一代 SIEM 工具提供了一组新的功能,可提供可操作的情报,帮助企业实施主动安全策略并改善其安全态势。

下一代 SIEM 解决方案提供高级功能,例如:

  • 跨平台检测异常活动:除了检测外围网络中的异常活动外,下一代 SIEM 还将此功能扩展到各种平台,以关联混合业务环境中发生的事件。
  • 先进而复杂的威胁检测机制:攻击者采用高级攻击技术(例如无文件恶意软件、窃取凭据和加密敏感数据的勒索软件等)来破坏企业网络,下一代 SIEM 解决方案中支持 AI 的威胁检测功能和基于 ML 的行为分析可帮助组织检测这些复杂的攻击技术。
  • 安全编排和自动化响应(SOAR):下一代 SIEM 解决方案与其他关键 IT 基础架构(如 IT 服务管理、IT 运营管理等)进行协调,以确保稳固的安全态势。此外,自动化事件响应有助于减少 MTTR。
  • 身份驱动的安全方法:随着越来越多的组织迁移到云,标识已成为新的边界。当身份遭到入侵时,它会使整个云和本地网络容易受到攻击。下一代 SIEM 解决方案通过引入安全访问、影子 IT 监控和用户行为分析来帮助保护身份。

Log360 连续六次入选Gartner® SIEM 魔力象限™,是一个统一的 SIEM 解决方案,具有集成的 DLP 和 CASB 功能,可检测、优先处理、调查和响应安全威胁。它结合了威胁情报、基于 ML 的异常检测和基于规则的攻击检测来识别复杂的攻击,并提供事件管理控制台来有效修复检测到的威胁。Log360 凭借其直观和先进的安全分析和监控功能,提供跨本地、云和混合网络的整体可见性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/229923.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

14:00面试,14:06就出来了,问的问题有点变态

从小厂出来,没想到在另一家公司又寄了。 到这家公司开始上班,加班是每天必不可少的,看在钱给的比较多的份上,就不太计较了。没想到8月一纸通知,所有人不准加班,加班费不仅没有了,薪资还要降40%,…

mpi 与 nccl 多进程多卡单机示例结果验证

做了部分注释&#xff0c;比较乱 本示例结构&#xff1a; 1&#xff0c;源代码 #include <stdio.h> #include "cuda_runtime.h" #include "nccl.h" #include "mpi.h" #include <unistd.h> #include <stdint.h> #include <…

如何正确使用docker搭建靶场--pikachu

在Linux中搭建靶场——pikachu 1.开启docker systemctl start docker 2.查看docker状态 systemctl status docker 3.查看docker存在那些镜像 docker images 4.拉取镜像&#xff0c;这里是以pikachu为例因此需要一个php5的版本 &#xff08;1&#xff09;打开代理&#xff…

照片怎么抠图换背景?不会的伙伴看这里!

随着数字技术的日新月异&#xff0c;抠图换背景技术已成为图像处理的翘楚。它是指将图片中的主体与背景分离&#xff0c;再将其置于新的背景之上。这一技艺在广告、摄影和设计等领域中占据着举足轻重的地位。本文将为您揭示三种抠图换背景的秘籍&#xff0c;助您轻松掌握这一技…

Baumer工业相机堡盟工业相机如何通过NEOAPI SDK设置相机的图像剪切(ROI)功能(C#)

Baumer工业相机堡盟工业相机如何通过NEOAPI SDK设置相机的图像剪切&#xff08;ROI&#xff09;功能&#xff08;C#&#xff09; Baumer工业相机Baumer工业相机的图像剪切&#xff08;ROI&#xff09;功能的技术背景CameraExplorer如何使用图像剪切&#xff08;ROI&#xff09;…

electron预加载脚本

webPreferences 指定预加载脚本,可以使用部分node脚本 webPreferences: {preload: path.join(__dirname, "preload.js"),},创建preload.js 中 测试文件读取功能 const fs require(fs) const text fs.readFileSync(package.json, utf-8)console.log(text)报错,为了…

基于果蝇算法优化的Elman神经网络数据预测 - 附代码

基于果蝇算法优化的Elman神经网络数据预测 - 附代码 文章目录 基于果蝇算法优化的Elman神经网络数据预测 - 附代码1.Elman 神经网络结构2.Elman 神经用络学习过程3.电力负荷预测概述3.1 模型建立 4.基于果蝇优化的Elman网络5.测试结果6.参考文献7.Matlab代码 摘要&#xff1a;针…

Windows搭建RTSP视频流服务(EasyDarWin服务器版)

文章目录 引言1、安装FFmpeg2、安装EasyDarWin3、实现本地\虚拟摄像头推流服务4、使用VLC或PotPlayer可视化播放器播放视频5、RTSP / RTMP系列文章 引言 RTSP和RTMP视频流的区别 RTSP &#xff08;Real-Time Streaming Protocol&#xff09;实时流媒体协议。 RTSP定义流格式&am…

Apache Commons VFS(虚拟文件系统)使用详解

第1章&#xff1a;Apache Commons VFS简介 大家好&#xff0c;我是小黑&#xff0c;今天我们来聊聊Apache Commons VFS&#xff08;虚拟文件系统&#xff09;。想必很多朋友都听说过或者用过Apache Commons的其他库&#xff0c;但是VFS可能还有点陌生。那么&#xff0c;什么是…

Tomcat Notes: Deployment File

This is a personal study notes of Apache Tomcat. Below are main reference material. - YouTube Apache Tomcat Full Tutorial&#xff0c;owed by Alpha Brains Courses. https://www.youtube.com/watch?vrElJIPRw5iM&t801s 1、Tomcat deployment1.1、Two modes of …

test ui-02-UI 测试组件之 Appium 入门介绍

Appium简介 正如主页所述&#xff0c;Appium的目标是支持许多不同平台&#xff08;移动、Web、桌面等&#xff09;的UI自动化。 不仅如此&#xff0c;它还旨在支持用不同语言&#xff08;JS、Java、Python等&#xff09;编写的自动化代码。 将所有这些功能组合到一个程序中是…

贝叶斯推断:细谈贝叶斯变分和贝叶斯网络

1. 贝叶斯推断 统计推断这件事大家并不陌生&#xff0c;如果有一些采样数据&#xff0c;我们就可以去建立模型&#xff0c;建立模型之后&#xff0c;我们通过对这个模型的分析会得到一些结论&#xff0c;不管我们得到的结论是什么样的结论&#xff0c;我们都可以称之为是某种推…

数据结构【线性表篇】(一)

数据结构【线性表篇】(一&#xff09; 文章目录 数据结构【线性表篇】(一&#xff09;前言为什么突然想学算法了&#xff1f;为什么选择码蹄集作为刷题软件&#xff1f; 目录一、顺序表(一)、顺序表的定义(二)、顺序表的插入删除(三)、顺序表的查找 二、完整代码(一)、顺序表的…

骑砍战团MOD开发(29)-module_scenes.py游戏场景

骑砍1战团mod开发-场景制作方法_哔哩哔哩_bilibilihttps://www.bilibili.com/video/BV1Cw411N7G4/ 一.骑砍游戏场景 骑砍战团中进入城堡,乡村,战斗地图都被定义为场景,由module_scenes.py进行管理。 scene(游戏场景) 天空盒(Skyboxes.py) 地形(terrain code) 场景物(scene_…

《3D数学基础-图形和游戏开发》阅读笔记 | 3D数学基础 (学习中)

文章目录 3D数学基础矢量/向量概述 - 什么是向量单位矢量&#xff1a;只关注方向不关注大小 数学运算矢量的加法与减法减法的几何意义计算一个点到另一个点的位移矢量的点积与叉积 矩阵矩阵的几何意义 3D数学基础 矢量/向量 在笔记中 变量使用小写字母表示&#xff0c;a由于…

Springboot集成RabbitMq二

接上一篇&#xff1a;Springboot集成RabbitMq一-CSDN博客 1、搭建项目-消费者 与之前一样 2、创建配置类 package com.wym.rabbitmqconsumer.utils;import org.springframework.amqp.core.Binding; import org.springframework.amqp.core.BindingBuilder; import org.spring…

2023-12-16 LeetCode每日一题(统计区间中的整数数目)

2023-12-16每日一题 一、题目编号 2276. 统计区间中的整数数目二、题目链接 点击跳转到题目位置 三、题目描述 给你区间的 空 集&#xff0c;请你设计并实现满足要求的数据结构&#xff1a; **新增&#xff1a;**添加一个区间到这个区间集合中。 **统计&#xff1a;**计算…

华为服务器安装银河麒麟V10操作系统(IBMC安装)

iBMC是华为面向服务器全生命周期的服务器嵌入式管理系统。提供硬件状态监控、部署、节能、安全等系列管理工具&#xff0c;标准化接口构建服务器管理更加完善的生态系统。 服务器BMC IP&#xff1a;192.168.2.100 一、准备工作 1、确保本机和服务器BMC管理口在同一网络 2、银…

用Audio2Face驱动UE - MetaHuman

新的一年咯&#xff0c;很久没发博客了&#xff0c;就发两篇最近的研究吧。 开始之前说句话&#xff0c;别轻易保存任何内容&#xff0c;尤其是程序员不要轻易Ctrl S 在UE中配置Audio2Face 先检查自身电脑配置看是否满足&#xff0c;按最小配置再带个UE可能会随时崩&#x…

设计模式--适配器模式

适配器模式 适配器模式&#xff08;Adapter&#xff09;&#xff0c;将一个类的接口转换为客户希望的另一个接口&#xff0c;Adapter模式使得原本由于接口不兼容而不能一起工作的那些类可以一起工作。 系统的数据和行为都正确&#xff0c;但接口不符合时&#xff0c;我们应该…